Pesquisa de site

Como permitir registros inseguros no cluster OpenShift/OKD 4.x


Para qualquer implantação no cluster OpenShift/OKD 4.x, uma fonte para imagens de contêiner é um requisito para que seja bem-sucedida. OpenShift permite que você use seus registros privados como fonte de imagens. Registros públicos como Docker Hub, Quay, gcr, etc. e o registro OpenShift integrado sempre funcionam bem. Mas o problema surge quando você deseja usar registros privados sem certificado SSL válido ou usando HTTP.

Existem duas maneiras de usar registros privados inseguros no cluster OpenShift/OKD.

  1. Se estiver usando certificado SSL autoassinado – importe o certificado OpenShift CA trust.
  2. Adicione o registro à lista de registros inseguros – O Machine Config Operator (MCO) enviará atualizações para todos os nós do cluster e os reinicializará.

Cursos OpenShift:

OpenShift prático para desenvolvedores – Novo curso 2021

Ultimate Openshift (2021) Bootcamp pela School of Devops

Registros de imagens privadas para OpenShift/Kubernetes:

Instale o Harbour Image Registry no Kubernetes/OpenShift com Helm Chart

Instale o Harbour Container Image Registry no CentOS/Debian/Ubuntu

Instale o Project Quay Registry no OpenShift com operador

Como configurar o registro Red Hat Quay no CentOS/RHEL/Ubuntu

Adicione armazenamentos confiáveis adicionais para acesso ao registro de imagem

Vamos supor que seu URL de registro seja ocr.example.com, na porta HTTPS padrão (443) e o arquivo de certificado seja ocr.example.com.crt.

É assim que você configurará CAs adicionais que devem ser confiáveis durante importações de imagens, extração de imagens de pod e compilações. Observe que as CAs devem estar no formato codificado em PEM.

--- syntax ---
$ oc create configmap registry-config \
  --from-file=<external_registry_address>=ca.crt \
  -n openshift-config

--- Example ---
$ oc create configmap registry-config \
  --from-file=ocr.example.com=ocr.example.com.crt \
  -n openshift-config

Em seguida, edite a configuração do cluster de registro de imagem e especifique additionalTrustedCA.

$ oc edit image.config.openshift.io cluster
spec:
  additionalTrustedCA:
    name: registry-config

Lista de permissões de registros de imagens inseguras

Você também pode adicionar um registro inseguro editando o recurso personalizado (CR) image.config.openshift.io/cluster . Isso é comum para registros que suportam apenas conexões HTTP ou possuem certificados inválidos.

Edite o recurso personalizado image.config.openshift.io/cluster :

$ oc edit image.config.openshift.io/cluster

Especifique os registros a serem permitidos para ações de pull e push de imagens na seção allowedRegistries.

....
spec:
  additionalTrustedCA:
    name: registry-config
  registrySources:
    insecureRegistries:
    - ocr.example.com

Você pode adicionar mais linhas para registros inseguros se tiver vários. Para bloquear um registro, adicione como abaixo.

....
spec:
  additionalTrustedCA:
    name: registry-config
  registrySources:
    insecureRegistries:
    - ocr.example.com
    blockedRegistries:
    - untrusted.com

O Machine Config Operator (MCO) observa image.config.openshift.io/cluster em busca de quaisquer alterações nos registros e reinicializa os nós quando detecta alterações.

As novas configurações de registro são gravadas no arquivo /etc/containers/registries.conf em cada nó.

Mais guias:

Como verificar métricas de pod/contêiner no OpenShift e Kubernetes

Instale o cluster Kubernetes de produção com Rancher RKE

Instale Minikube Kubernetes no CentOS 8/CentOS 7 com KVM

Como criar um usuário administrador para acessar o painel do Kubernetes

Artigos relacionados: