5.4.2.2. 非セキュアなレジストリー

手順

1. image.config.openshift.io/cluster CR を編集します。

   $ oc edit image.config.openshift.io/cluster

   以下は、非セキュアなレジストリーのリストを含む image.config.openshift.io/cluster CR の例になります。

   apiVersion: config.openshift.io/v1
   kind: Image
   metadata:
     annotations:
       release.openshift.io/create-only: "true"
     creationTimestamp: "2019-05-17T13:44:26Z"
     generation: 1
     name: cluster
     resourceVersion: "8302"
     selfLink: /apis/config.openshift.io/v1/images/cluster
     uid: e34555da-78a9-11e9-b92b-06d6c7da38dc
   spec:
     registrySources: 1
       insecureRegistries: 2
       - insecure.com
       allowedRegistries:
       - example.com
       - quay.io
       - registry.redhat.io
       - insecure.com 3
   status:
     internalRegistryHostname: image-registry.openshift-image-registry.svc:5000

   1

   registrySources: コンテナーランタイムがビルドおよび Pod のイメージへのアクセス時に個々のレジストリーを処理する方法を決定する設定が含まれます。内部クラスターレジストリーの設定は含まれません。

   2

   非セキュアなレジストリーを指定します。

   3

   非セキュアなレジストリーが allowedRegistries 一覧に含まれていることを確認します。

   注記

   allowedRegistries パラメーターが定義されると、明示的に一覧表示されない限り、registry.redhat.io レジストリーと quay.io レジストリー、およびデフォルトの内部イメージレジストリーを含むすべてのレジストリーがブロックされます。パラメーターを使用する場合は、Pod の失敗を防ぐために、registry.redhat.io レジストリーと quay.io レジストリー、および internalRegistryHostname を含むすべてのレジストリーを allowedRegistries 一覧に追加します。これらは、お使いの環境内のペイロードイメージで必要とされます。非接続クラスターの場合、ミラーレジストリーも追加する必要があります。

   Machine Config Operator (MCO) は、 image.config.openshift.io/cluster CR でレジストリーへの変更の有無を監視し、変更を検出するとノードを再起動します。非セキュアでブロックされたレジストリーへの変更は、各ノードの /etc/containers/registries.conf ファイルに表示されます。

2. レジストリーがポリシーファイルに追加されていることを確認するには、ノードで以下のコマンドを使用します。

   $ cat /host/etc/containers/registries.conf

   以下の例は、insecure.com レジストリーからのイメージが非セキュアであり、イメージのプルおよびプッシュで許可されることを示しています。

   出力例

   unqualified-search-registries = ["registry.access.redhat.com", "docker.io"]
   
   [[registry]]
     prefix = ""
     location = "insecure.com"
     insecure = true