14.2. 了解断开连接的安装镜像

您可以使用镜像 registry 进行断开连接的安装,并确保集群只使用满足机构对外部内容控制的容器镜像。在受限网络中置备的基础架构上安装集群前,您必须将所需的容器镜像镜像(mirror)到那个环境中。要镜像容器镜像,您必须有一个 registry 才能进行镜像(mirror)。

14.2.1. 通过基于代理的安装程序为断开连接的安装镜像镜像

您可以使用以下流程之一将 OpenShift Container Platform 镜像存储库镜像到您的镜像 registry:

14.2.2. 关于为断开连接的 registry 镜像 OpenShift Container Platform 镜像存储库

要将镜像镜像用于基于代理的安装程序的断开连接的安装,您必须修改 install-config.yaml 文件。

您可以使用 oc adm release mirroroc mirror 命令的输出来镜像发行镜像。这取决于您用来设置镜像 registry 的命令。

以下示例显示了 oc adm release mirror 命令的输出。 

$ oc adm release mirror

输出示例

To use the new mirrored repository to install, add the following
section to the install-config.yaml:

imageContentSources:

mirrors:
virthost.ostest.test.metalkube.org:5000/localimages/local-release-image
source: quay.io/openshift-release-dev/ocp-v4.0-art-dev
mirrors:
virthost.ostest.test.metalkube.org:5000/localimages/local-release-image
source: registry.ci.openshift.org/ocp/release

以下示例显示了 oc-mirror 插件生成的 imageContentSourcePolicy.yaml 文件的一部分。该文件可以在结果目录中找到,如 oc-mirror-workspace/results-1682697932/

imageContentSourcePolicy.yaml 文件示例

spec:
  repositoryDigestMirrors:
  - mirrors:
    - virthost.ostest.test.metalkube.org:5000/openshift/release
    source: quay.io/openshift-release-dev/ocp-v4.0-art-dev
  - mirrors:
    - virthost.ostest.test.metalkube.org:5000/openshift/release-images
    source: quay.io/openshift-release-dev/ocp-release

14.2.2.1. 配置基于代理的安装程序以使用镜像的镜像

您必须使用 oc adm release mirror 命令的输出或 oc-mirror 插件来配置基于 Agent 的安装程序以使用镜像镜像。

流程

  1. 如果您使用 oc-mirror 插件来镜像发行镜像:

    1. 打开位于结果目录中的 imageContentSourcePolicy.yaml,如 oc-mirror-workspace/results-1682697932/
    2. 在 yaml 文件的 repositoryDigestMirrors 部分中复制文本。

  2. 如果使用 oc adm release mirror 命令镜像发行镜像:

    • 在命令输出的 imageContentSources 部分中复制文本。
  3. 将复制的文本粘贴到 install-config.yaml 文件的 imageContentSources 字段中。

  4. 将用于镜像 registry 的证书文件添加到 yaml 文件的 additionalTrustBundle 字段中。

    重要

    该值必须是您用于镜像 registry 的证书文件内容。证书文件可以是现有的可信证书颁发机构,也可以是您为镜像 registry 生成的自签名证书。

    install-config.yaml 文件示例

      additionalTrustBundle: |
    -----BEGIN CERTIFICATE-----
    ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
    -----END CERTIFICATE-----

  5. 如果使用 {ztp} 清单:将 registry.confca-bundle.crt 文件添加到 mirror 路径中,以便在代理 ISO 镜像中添加镜像配置。

    注意

    您可以从 oc adm release mirror 命令的输出或 oc mirror 插件创建 registries.conf 文件。/etc/containers/registries.conf 文件的格式已更改。现在它是第 2 版,采用 TOML 格式。

    registry.conf 文件示例

    [[registry]]
location = "registry.ci.openshift.org/ocp/release" mirror-by-digest-only = true

[[registry.mirror]] location = "virthost.ostest.test.metalkube.org:5000/localimages/local-release-image"

[[registry]]
location = "quay.io/openshift-release-dev/ocp-v4.0-art-dev" mirror-by-digest-only = true

[[registry.mirror]] location = "virthost.ostest.test.metalkube.org:5000/localimages/local-release-image"