Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

11.4. 使用 Admission Controller 来始终拉取镜像

镜像拉取到某个节点后,来自任何用户在该节点上的任何 Pod 都可以使用该镜像,而无需对镜像进行授权检查。为确保 Pod 不使用它们没有凭证的镜像,请使用 AlwaysPullImages 准入控制器。

准入控制器 会修改每个新 Pod 来强制镜像拉取(pull)策略为 Always,确保私有镜像只能由拥有凭证的用户使用,即使 Pod 规格使用 Never 镜像拉取策略

启用 AlwaysPullImages 准入控制器:

  1. 将以下内容添加到 master-config.yaml 中: 

    admissionConfig:
  pluginConfig:
    AlwaysPullImages: 1
      configuration:
        kind: DefaultAdmissionConfig
        apiVersion: v1
        disable: false 2
    1
    准入插件名称。
    2
    指定 false 来表示该插件应启用。

  2. 使用 master-restart 命令重启 control plane 静态 Pod 中运行的 master 服务: 

    $ master-restart api
$ master-restart controllers