11.7. 为 Image Registry 配置自定义证书


OpenShift Container Platform 镜像 registry 是一个可促进构建和部署的内部服务。大多数与 registry 的通信都由 OpenShift Container Platform 中的内部组件处理。因此,您不应该需要替换 registry 服务本身使用的证书。

但是,默认情况下,registry 使用路由来允许外部系统和用户拉取和推送镜像。您可以使用带有提供给外部用户的自定义证书的重新加密路由,而不使用内部自签名证书。

要配置此功能,请将以下行添加到 Ansible 清单文件的 [OSEv3:vars] 部分,默认为 /etc/ansible/hosts 文件。指定要与 registry 路由一起使用的证书。

openshift_hosted_registry_routehost=registry.apps.c1-ocp.myorg.com 1
openshift_hosted_registry_routecertificates={"certfile": "/path/to/registry.apps.c1-ocp.myorg.com.crt", "keyfile": "/path/to/registry.apps.c1-ocp.myorg.com.key", "cafile": "/path/to/registry.apps.c1-ocp.myorg.com-ca.crt"} 2
openshift_hosted_registry_routetermination=reencrypt 3
1
registry 的主机名。
2
cacert, cert, 和 key 文件的位置。
  • cert File 是包含 OpenShift Container Platform registry 证书的文件的路径。
  • keyfile 是包含 OpenShift Container Platform registry 证书密钥的文件的路径。
  • CAfile 是包含此密钥和证书 root CA 的文件的路径。如果使用了中间 CA,则该文件应包含中间和 root CA。
3
指定执行加密的位置:
  • 设置为 reencrypt,使用重新加密路由在边缘路由器中终止加密,并使用目的地提供的新证书重新加密。
  • 设置为 passthrough 会在目的地终止加密。目的地负责对数据进行解密。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.