7.2. 配置镜像设置

您可通过编辑 image.config.openshift.io/cluster 资源来配置镜像 registry 设置。Machine Config Operator (MCO) 会监控 image.config.openshift.io/cluster 以了解对 registry 的任何更改,并在检测到更改时重启节点。

流程

  1. 编辑 image.config.openshift.io/cluster 自定义资源: 

    $ oc edit image.config.openshift.io/cluster

    以下是 image.config.openshift.io/cluster 资源示例: 

    apiVersion: config.openshift.io/v1
kind: Image1
metadata:
  annotations:
    release.openshift.io/create-only: "true"
  creationTimestamp: "2019-05-17T13:44:26Z"
  generation: 1
  name: cluster
  resourceVersion: "8302"
  selfLink: /apis/config.openshift.io/v1/images/cluster
  uid: e34555da-78a9-11e9-b92b-06d6c7da38dc
spec:
  allowedRegistriesForImport:2
    - domainName: quay.io
      insecure: false
  additionalTrustedCA:3
    name: myconfigmap
  registrySources:4
    insecureRegistries:5
    - insecure.com
    blockedRegistries:6
    - untrusted.com
status:
  internalRegistryHostname: image-registry.openshift-image-registry.svc:5000
    1
    Image:包含有关如何处理镜像的集群范围信息。规范且唯一有效的名称是 cluster
    2
    allowedRegistriesForImport:限制普通用户可从中导入镜像的容器镜像 registry。将此列表设置为您信任包含有效镜像且希望应用程序能够从中导入的 registry。有权从 API 创建镜像或 ImageStreamMappings 的用户不受此策略的影响。通常只有集群管理员具有适当权限。
    3
    additionalTrustedCA:引用包含 ImageStream importpod image pullopenshift-image-registry pullthrough 和构建期间应受信任的额外 CA 的 ConfigMap。该 ConfigMap 的命名空间为 openshift-config。ConfigMap 的格式是使用 registry 主机名作为键,使用 base64 编码证书作为值,用于每个要信任的额外 registry CA。
    4
    registrySources:包含用于决定容器运行时在访问构建和 pod 的镜像时应如何处理个别 registry 的配置。例如,是否允许不安全的访问。它不包含内部集群 registry 的配置。
    5
    insecureRegistries:无有效 TLS 证书或仅支持 HTTP 连接的 registry。
    6
    blockedRegistries:列入镜像拉取(pull)和推送(push)操作黑名单。允许所有其他 registry。

7.2.1. 导入不安全的 registry 和阻止 registry

您可通过编辑 image.config.openshift.io/cluster 自定义资源 (CR) 来添加不安全的 registry 或阻止任何 registry。OpenShift Container Platform 会将对此 CR 的更改应用到集群中的所有节点。

应避免不安全的外部 registry,如无有效 TLS 证书或仅支持 HTTP 连接的 registry。

流程

  1. 编辑 image.config.openshift.io/cluster 自定义资源: 

    $ oc edit image.config.openshift.io/cluster

    以下是 image.config.openshift.io/cluster 资源示例: 

    apiVersion: config.openshift.io/v1
kind: Image
metadata:
  annotations:
    release.openshift.io/create-only: "true"
  creationTimestamp: "2019-05-17T13:44:26Z"
  generation: 1
  name: cluster
  resourceVersion: "8302"
  selfLink: /apis/config.openshift.io/v1/images/cluster
  uid: e34555da-78a9-11e9-b92b-06d6c7da38dc
spec:
  allowedRegistriesForImport:
    - domainName: quay.io
      insecure: false
  additionalTrustedCA:
    name: myconfigmap
  registrySources:
    insecureRegistries:1
    - insecure.com
    blockedRegistries:2
    - untrusted.com
    allowedRegistries:
    - quay.io 3
status:
  internalRegistryHostname: image-registry.openshift-image-registry.svc:5000
    1
    指定不安全的 registry。
    2
    指定应列入镜像拉取(pull)和推送(push)操作黑名单的 registry。允许所有其他 registry。可以设置 blockedRegistriesallowedRegistries ,但不能同时都被设置。
    3
    指定允许进行镜像拉取(pull)和推送(push)操作的 registry。所有其他 registry 都将被阻止。可以设置 blockedRegistriesallowedRegistries ,但不能同时都被设置。

    Machine Config Operator (MCO) 会监控 image.config.openshift.io/cluster 以了解对 registry 的任何更改,并在检测到更改时重启节点。对 registry 的更改将出现在每个节点上的 /host/etc/containers/registries.conf 文件中。 

    cat /host/etc/containers/registries.conf
[registries]
  [registries.search]
    registries = ["registry.access.redhat.com", "docker.io"]
  [registries.insecure]
    registries = ["insecure.com"]
  [registries.block]
    registries = ["untrusted.com"]

7.2.2. 配置镜像 registry 存储库镜像

通过设置容器 registry 存储库镜像,您可以:

  • 配置 OpenShift Container Platform 集群,以便重定向从源镜像 registry 上的存储库拉取(pull)镜像的请求,并通过已镜像 (mirror) 的镜像 registry 上的存储库来解决该请求。
  • 为每个目标存储库识别多个已镜像 (mirror)的存储库,以确保如果一个镜像停止运作,仍可使用其他镜像。

以下是 OpenShift Container Platform 中存储库镜像的一些属性:

  • 镜像拉取(pull)可应对 registry 停机时间
  • 受限网络中的集群可请求从关键位置(如 quay.io)拉取(pull)镜像,并让公司防火墙后的 registry 提供所请求的镜像。
  • 发出镜像拉取(pull)请求时尝试特定 registry 顺序,通常最后才会尝试持久性 registry。
  • 您所输入的镜像信息会添加到 OpenShift Container Platform 集群中每个节点上的 /etc/containers/registries.conf 文件中。
  • 当节点从源存储库中请求镜像时,它会依次尝试每个已镜像的存储库,直到找到所请求的内容。如果所有镜像均失败,集群则会尝试源存储库。如果成功,镜像则会被拉取(pull)至节点中。

可通过以下方式设置存储库镜像:

  • 安装 OpenShift Container Platform 时:通过拉取(pull) OpenShift Container Platform 所需的容器镜像,然后将这些镜像放至公司防火墙后,即可将 OpenShift Container Platform 安装到受限网络中的数据中心。详情请参阅镜像 OpenShift Container Platform 的镜像存储库。
  • 安装 OpenShift Container Platform 后:即使没有在 OpenShift Container Platform 安装期间配置镜像 (mirror),之后您仍可使用 ImageContentSourcePolicy 对象进行配置。

以下流程提供安装后镜像配置,您可在此处创建 ImageContentSourcePolicy 对象来识别:

  • 您希望镜像 (mirror) 的容器镜像存储库的源
  • 您希望为其提供从源存储库请求的内容的每个镜像存储库的单独条目。

先决条件

  • 使用具有 cluster-admin 角色的用户访问集群。

流程

  1. 配置已镜像的存储库。为此,您可以:

    • 按照 Red Hat Quay 存储库镜像中所述,使用 Red Hat Quay 来设置已镜像的存储库。使用 Red Hat Quay 有助于您将镜像从一个存储库复制到另一存储库,并可随着时间的推移重复自动同步这些存储库。

    • 使用 skopeo 等工具手动将镜像从源目录复制到已镜像的存储库。

      例如:在 Red Hat Enterprise Linux(RHEL 7 或 RHEL 8)系统上安装 skopeo RPM 软件包后,使用 skopeo 命令,如下例所示: 

      $ skopeo copy \
   docker://registry.access.redhat.com/ubi8/ubi-minimal@sha256:c505667389712dc337986e29ffcb65116879ef27629dc3ce6e1b17727c06e78f \
   docker://example.io/ubi8/ubi-minimal

      在本例中,您有一个名为 example.io 的容器镜像 registry,其中包含一个名为 example 的镜像存储库,您希望将 ubi8/ubi-minimal 镜像从 registry.access.redhat.com 复制到此镜像存储库。创建该 registry 后,您可将 OpenShift Container Platform 集群配置为将源存储库的请求重定向到已镜像的存储库。

  2. 登录您的 OpenShift Container Platform 集群。

  3. 创建 ImageContentSourcePolicy 文件(如:registryrepomirror.yaml),将源和镜像 (mirror) 替换为您自己的 registry、存储库对和镜像中的源和镜像: 

    apiVersion: operator.openshift.io/v1alpha1
kind: ImageContentSourcePolicy
metadata:
  name: ubi8repo
spec:
  repositoryDigestMirrors:
  - mirrors:
    - example.io/example/ubi-minimal1
    source: registry.access.redhat.com/ubi8/ubi-minimal2
  - mirrors:
    - example.com/example/ubi-minimal
    source: registry.access.redhat.com/ubi8/ubi-minimal
~
    1
    指明镜像 registry 和存储库的名称
    2
    指明包含所镜像内容的 registry 和存储库

  4. 创建新的 ImageContentSourcePolicy

    $ oc create -f registryrepomirror.yaml

    创建 ImageContentSourcePolicy 之后,新的设置会部署到每个节点,随即使用已镜像的存储库向源存储库发起请求。

  5. 要检查已镜像的配置是否正常工作,请转至其中一个节点。例如:

    1. 列出您的节点: 

      $ oc get node
NAME                           STATUS                     ROLES    AGE  VERSION
ip-10-0-137-44.ec2.internal    Ready                      worker   7m   v1.14.6+90fadebfa
ip-10-0-138-148.ec2.internal   Ready                      master   11m  v1.14.6+90fadebfa
ip-10-0-139-122.ec2.internal   Ready                      master   11m  v1.14.6+90fadebfa
ip-10-0-147-35.ec2.internal    Ready,SchedulingDisabled   worker   7m   v1.14.6+90fadebfa
ip-10-0-153-12.ec2.internal    Ready                      worker   7m   v1.14.6+90fadebfa
ip-10-0-154-10.ec2.internal    Ready                      master   11m  v1.14.6+90fadebfa

      您可以发现,在应用更改时每个 worker 节点上的调度都会被禁用。

    2. 检查 /etc/containers/registries.conf 文件,确保已完成更改: 

      $ oc debug node/ip-10-0-147-35.ec2.internal
Starting pod/ip-10-0-147-35ec2internal-debug ...
To use host binaries, run `chroot /host`

sh-4.2# chroot /host
sh-4.2# cat /etc/containers/registries
unqualified-search-registries = ["registry.access.redhat.com", "docker.io"]
[[registry]]
  location = "registry.access.redhat.com/ubi8/"
  insecure = false
  blocked = false
  mirror-by-digest-only = true
  prefix = ""

  [[registry.mirror]]
    location = "example.io/example/ubi8-minimal"
    insecure = false

  [[registry.mirror]]
    location = "example.com/example/ubi8-minimal"
    insecure = false

    3. 将镜像从源拉取(pull)到节点,并检查是否真正通过镜像解析。 

      sh-4.2# podman pull --log-level=debug registry.access.redhat.com/ubi8/ubi-minimal

存储库镜像故障排除

如果存储库镜像流程未按规定工作,请使用以下有关存储库镜像如何工作的信息协助排查问题。

  • 首个工作镜像用于提供拉取(pull)的镜像。
  • 只有在无其他镜像工作时,才会使用主 registry。
  • 从系统上下文,Insecure 标志用作回退。
  • 最近更改了 /etc/containers/registries 文件的格式。现在是第 2 版,采用 TOML 格式。*