Sdílet prostřednictvím

Konfigurace integrovaného registru kontejneru pro Azure Red Hat OpenShift 4

  • Článek

Azure Red Hat OpenShift poskytuje integrovaný registr imagí kontejneru, který umožňuje automaticky zřizovat nová úložiště imagí na vyžádání. Díky tomu mají uživatelé předdefinované umístění pro sestavení aplikace, aby mohli nasdílit výsledné image.

V tomto článku nakonfigurujete integrovaný registr imagí kontejneru pro cluster Azure Red Hat OpenShift (ARO) 4. Získáte následující informace:

  • Autorizace identity pro přístup k registru
  • Přístup k integrovanému registru imagí kontejneru z clusteru
  • Přístup k integrovanému registru imagí kontejneru mimo cluster

Než začnete

Tento článek předpokládá, že máte existující cluster ARO (viz Vytvoření clusteru Azure Red Hat OpenShift 4). Pokud chcete nakonfigurovat integraci Microsoft Entra, nezapomeňte vytvořit cluster s argumentem --pull-secret .az aro create

Poznámka:

Konfigurace ověřování Microsoft Entra pro váš cluster je nejjednodušší způsob interakce s interním registrem mimo cluster.

Jakmile cluster máte, připojte se ke clusteru tak, že se jako uživatel ověřtekubeadmin.

Konfigurace ověřování v registru

U jakékoli identity (uživatele clusteru, uživatele Microsoft Entra nebo ServiceAccount) pro přístup k internímu registru musí mít udělená oprávnění uvnitř clusteru:

Stejně jako kubeadminspusťte následující příkazy:

# Note: replace "<user>" with the identity you need to access the registry
oc policy add-role-to-user -n openshift-image-registry registry-viewer <user>
oc policy add-role-to-user -n openshift-image-registry registry-editor <user>

Poznámka:

Pro uživatele clusteru a uživatele Microsoft Entra – bude to stejný název, který používáte k ověření v clusteru. Pro OpenShift ServiceAccounts naformátujte název jako system:serviceaccount:<project>:<name>

Přístup k registru

Teď, když jste pro registr nakonfigurovali ověřování, můžete s ním pracovat:

Z clusteru

Pokud potřebujete získat přístup k registru z clusteru (např. používáte platformu CI/CD jako pody, které budou do registru odesílat a stahovat image), můžete k registru přistupovat prostřednictvím služby ClusterIP v plně kvalifikovaném názvu image-registry.openshift-image-registry.svc.cluster.local:5000domény, který je přístupný pro všechny pody v rámci clusteru.

Mimo cluster

Pokud vaše pracovní postupy vyžadují přístup k internímu registru mimo cluster (například chcete nasdílení a vyžádání imagí z přenosného počítače vývojáře, externí platformy CI/CD nebo jiného clusteru ARO), budete muset provést několik dalších kroků:

Spuštěním kubeadminnásledujících příkazů zpřístupňte předdefinovaný registr mimo cluster přes trasu:

oc patch config.imageregistry.operator.openshift.io/cluster --patch='{"spec":{"defaultRoute":true}}' --type=merge
oc patch config.imageregistry.operator.openshift.io/cluster --patch='[{"op": "add", "path": "/spec/disableRedirect", "value": true}]' --type=json

Pak můžete najít externě směrovatelný plně kvalifikovaný název domény registru:

Jako kubeadmin, spusťte:

oc get route -n openshift-image-registry default-route --template='{{ .spec.host }}'

Další kroky

Teď, když jste nastavili integrovaný registr imagí kontejneru, můžete začít nasazením aplikace na OpenShift. V případě aplikací v Javě se podívejte na nasazení aplikace v Javě s open liberty/WebSphere Liberty v clusteru Azure Red Hat OpenShift 4.