Como permitir registros inseguros no cluster OpenShift/OKD 4.x
Para qualquer implantação no cluster OpenShift/OKD 4.x, uma fonte para imagens de contêiner é um requisito para que seja bem-sucedida. OpenShift permite que você use seus registros privados como fonte de imagens. Registros públicos como Docker Hub, Quay, gcr, etc. e o registro OpenShift integrado sempre funcionam bem. Mas o problema surge quando você deseja usar registros privados sem certificado SSL válido ou usando HTTP.
Existem duas maneiras de usar registros privados inseguros no cluster OpenShift/OKD.
- Se estiver usando certificado SSL autoassinado – importe o certificado OpenShift CA trust.
- Adicione o registro à lista de registros inseguros – O Machine Config Operator (MCO) enviará atualizações para todos os nós do cluster e os reinicializará.
Cursos OpenShift:
OpenShift prático para desenvolvedores – Novo curso 2021
Ultimate Openshift (2021) Bootcamp pela School of Devops
Registros de imagens privadas para OpenShift/Kubernetes:
Instale o Harbour Image Registry no Kubernetes/OpenShift com Helm Chart
Instale o Harbour Container Image Registry no CentOS/Debian/Ubuntu
Instale o Project Quay Registry no OpenShift com operador
Como configurar o registro Red Hat Quay no CentOS/RHEL/Ubuntu
Adicione armazenamentos confiáveis adicionais para acesso ao registro de imagem
Vamos supor que seu URL de registro seja ocr.example.com, na porta HTTPS padrão (443) e o arquivo de certificado seja ocr.example.com.crt.
É assim que você configurará CAs adicionais que devem ser confiáveis durante importações de imagens, extração de imagens de pod e compilações. Observe que as CAs devem estar no formato codificado em PEM.
--- syntax ---
$ oc create configmap registry-config \
--from-file=<external_registry_address>=ca.crt \
-n openshift-config
--- Example ---
$ oc create configmap registry-config \
--from-file=ocr.example.com=ocr.example.com.crt \
-n openshift-config
Em seguida, edite a configuração do cluster de registro de imagem e especifique additionalTrustedCA.
$ oc edit image.config.openshift.io cluster
spec:
additionalTrustedCA:
name: registry-config
Lista de permissões de registros de imagens inseguras
Você também pode adicionar um registro inseguro editando o recurso personalizado (CR) image.config.openshift.io/cluster . Isso é comum para registros que suportam apenas conexões HTTP ou possuem certificados inválidos.
Edite o recurso personalizado image.config.openshift.io/cluster :
$ oc edit image.config.openshift.io/cluster
Especifique os registros a serem permitidos para ações de pull e push de imagens na seção allowedRegistries.
....
spec:
additionalTrustedCA:
name: registry-config
registrySources:
insecureRegistries:
- ocr.example.com
Você pode adicionar mais linhas para registros inseguros se tiver vários. Para bloquear um registro, adicione como abaixo.
....
spec:
additionalTrustedCA:
name: registry-config
registrySources:
insecureRegistries:
- ocr.example.com
blockedRegistries:
- untrusted.com
O Machine Config Operator (MCO) observa image.config.openshift.io/cluster em busca de quaisquer alterações nos registros e reinicializa os nós quando detecta alterações.
As novas configurações de registro são gravadas no arquivo /etc/containers/registries.conf em cada nó.
Mais guias:
Como verificar métricas de pod/contêiner no OpenShift e Kubernetes
Instale o cluster Kubernetes de produção com Rancher RKE
Instale Minikube Kubernetes no CentOS 8/CentOS 7 com KVM
Como criar um usuário administrador para acessar o painel do Kubernetes