11.7. 为 Image Registry 配置自定义证书
OpenShift Container Platform 镜像 registry 是一个可促进构建和部署的内部服务。大多数与 registry 的通信都由 OpenShift Container Platform 中的内部组件处理。因此,您不应该需要替换 registry 服务本身使用的证书。
但是,默认情况下,registry 使用路由来允许外部系统和用户拉取和推送镜像。您可以使用带有提供给外部用户的自定义证书的重新加密路由,而不使用内部自签名证书。
要配置此功能,请将以下行添加到 Ansible 清单文件的 [OSEv3:vars]
部分,默认为 /etc/ansible/hosts 文件。指定要与 registry 路由一起使用的证书。
openshift_hosted_registry_routehost=registry.apps.c1-ocp.myorg.com 1 openshift_hosted_registry_routecertificates={"certfile": "/path/to/registry.apps.c1-ocp.myorg.com.crt", "keyfile": "/path/to/registry.apps.c1-ocp.myorg.com.key", "cafile": "/path/to/registry.apps.c1-ocp.myorg.com-ca.crt"} 2 openshift_hosted_registry_routetermination=reencrypt 3
- 1
- registry 的主机名。
- 2
- cacert, cert, 和 key 文件的位置。
- cert File 是包含 OpenShift Container Platform registry 证书的文件的路径。
- keyfile 是包含 OpenShift Container Platform registry 证书密钥的文件的路径。
- CAfile 是包含此密钥和证书 root CA 的文件的路径。如果使用了中间 CA,则该文件应包含中间和 root CA。
- 3
- 指定执行加密的位置:
-
设置为
reencrypt
,使用重新加密路由在边缘路由器中终止加密,并使用目的地提供的新证书重新加密。 -
设置为
passthrough
会在目的地终止加密。目的地负责对数据进行解密。
-
设置为