Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

11.7. 为 Image Registry 配置自定义证书

OpenShift Container Platform 镜像 registry 是一个可促进构建和部署的内部服务。大多数与 registry 的通信都由 OpenShift Container Platform 中的内部组件处理。因此，您不应该需要替换 registry 服务本身使用的证书。

但是，默认情况下，registry 使用路由来允许外部系统和用户拉取和推送镜像。您可以使用带有提供给外部用户的自定义证书的重新加密路由，而不使用内部自签名证书。

要配置此功能，请将以下行添加到 Ansible 清单文件的 [OSEv3:vars] 部分，默认为 /etc/ansible/hosts 文件。指定要与 registry 路由一起使用的证书。

openshift_hosted_registry_routehost=registry.apps.c1-ocp.myorg.com 1
openshift_hosted_registry_routecertificates={"certfile": "/path/to/registry.apps.c1-ocp.myorg.com.crt", "keyfile": "/path/to/registry.apps.c1-ocp.myorg.com.key", "cafile": "/path/to/registry.apps.c1-ocp.myorg.com-ca.crt"} 2
openshift_hosted_registry_routetermination=reencrypt 3

1

registry 的主机名。

2

cacert, cert, 和 key 文件的位置。

cert File 是包含 OpenShift Container Platform registry 证书的文件的路径。
keyfile 是包含 OpenShift Container Platform registry 证书密钥的文件的路径。
CAfile 是包含此密钥和证书 root CA 的文件的路径。如果使用了中间 CA，则该文件应包含中间和 root CA。

3

指定执行加密的位置：

设置为 reencrypt，使用重新加密路由在边缘路由器中终止加密，并使用目的地提供的新证书重新加密。
设置为 passthrough 会在目的地终止加密。目的地负责对数据进行解密。

Select Your Language

Red Hat Training

11.7. 为 Image Registry 配置自定义证书

Quick Links

Help

Site Info

Related Sites

About

Red Hat legal and privacy links

Red Hat legal and privacy links

Language and Page Formatting Options

Red Hat Training

11.7. 为 Image Registry 配置自定义证书

Quick Links

Help

Site Info

Related Sites

Systems Status

About

Red Hat legal and privacy links

Red Hat legal and privacy links