12.4.3. 从签名存储中自动导入镜像签名
如果在所有 OpenShift Container Platform master 节点上通过 registry 配置目录配置了签名存储,OpenShift Container Platform 可以自动导入镜像签名。
registry 配置目录包含各种 registry(存储远程容器镜像)和其中存储的内容的配置。单个目录确保不必在每一个命令的命令行选项中提供配置,以便容器/镜像的所有用户可以共享该配置。
默认 registry 配置目录位于 /etc/containers/registries.d/default.yaml 文件中。
导致所有红帽镜像自动导入镜像签名的示例配置示例:
docker:
registry.redhat.io:
sigstore: https://registry.redhat.io/containers/sigstore 1- 1
- 定义签名存储的 URL。此 URL 用于读取现有签名。
注意
默认情况下,OpenShift Container Platform 自动导入的签名将被认为是未验证,必须由镜像管理员验证。
有关 registry 配置目录的详情,请参阅 registry 配置目录。
