☸️ نحوه فعال کردن ثبات های ناامن در یک خوشه OpenShift / OKD 4.x – جوخه امنیت اطلاعات

ازvpn

برای هرگونه استقرار در یک خوشه 4.x OpenShift / OKD ، منبع تصویر کانتینر شرط اجرای موفقیت آمیز است.

OpenShift به شما اجازه می دهد تا از ثبت های خصوصی خود به عنوان منبع تصویر استفاده کنید.

ثبت های عمومی مانند Docker Hub، Quay ، gcr ، و غیره ، ثبت های OpenShift یکپارچه همیشه خوب کار می کنند.

اما اگر بخواهید از ثبت های خصوصی بدون گواهی SSL معتبر یا با استفاده از HTTP استفاده کنید ، مشکلاتی وجود دارد. رشته های موجود در خوشه OpenShift / OKD.

  • اگر از یک گواهی SSL خود امضا شده استفاده می کنید ، مجوز CA OpenShift CA را وارد کنید.
  • یک رجیستری به لیست ثبات های ناامن اضافه کنید – عملگر پیکربندی رایانه (MCO) به روزرسانی های همه گره های موجود در خوشه را انجام داده و آنها را راه اندازی مجدد می کند. [19659008] برای دسترسی به رجیستری تصویر ، مخازن مورد اعتماد دیگری را اضافه کنید

    فرض کنید URL رجیستری شما ocr.example.com است ، پیش فرض HTTPS پورت 443 است ، و پرونده گواهینامه ocr.example.com.crt است.

    به این ترتیب مقامات مجوز اضافی را تنظیم می کنید ، که در هنگام وارد كردن تصاویر ، استخراج تصویر و مونتاژ یك قلب باید به چشم اعتماد كرد.

    توجه داشته باشید كه CA باید در قالب PEM باشد. 

     --- نحو ---
$ oc ایجاد پیکربندی رجیستری پیکربندی نقشه 
  --from-file =  = ca.crt 
  پیکربندی openshift

--- مثال ---
$ oc ایجاد پیکربندی رجیستری پیکربندی نقشه 
  --from-file = ocr.example.com = ocr.example.com.crt 
  -n openshift-config

    سپس پیکربندی خوشه رجیستری تصویر را ویرایش کرده و AdditionalTrustedCA را مشخص کنید. 

     $ oc edit image.config.openshift.io خوشه
مشخصات:
  اضافی TrustedCA:
    name: record-config

    افزودن نام امن ثبت نام در لیست سفید

    همچنین می توانید با ویرایش منبع کاربر image.config.openshift.io/cluster (CR) رجیستری های ناامن را اضافه کنید.

    این معمولی است ثبت هایی که فقط از اتصالات HTTP پشتیبانی می کنند یا دارای گواهینامه های نامعتبر هستند.

    ویرایشگر منبع کاربر image.config.openshift.io/cluster:ociation19659020†$ اکتبر ویرایش image.config.openshift.io/clusterfaq19659021† رجیستری را مشخص کنید ، که باید برای انجام اقدامات برای استخراج و ارسال تصاویر در بخش مجاز مقررات 

    ….
مشخصات:
  اضافی TrustedCA:
    نام: رجیستری-پیکربندی
  رجیستری منابع:
    ناامنی ثبت نام ها:
    - ocr.example.com

    در صورت داشتن چندین مورد از آنها ، می توانید برای ثبت نام های محافظت نشده ، خطوط بیشتری اضافه کنید.

    برای مسدود کردن ثبت نام ها: 

    ….
مشخصات:
  اضافی TrustedCA:
    نام: رجیستری-پیکربندی
  رجیستری منابع:
    ناامنی ثبت نام ها:
    - ocr.example.com
    مسدود شده ثبت ها:
    - untrusted.com

    Operator Configators Machine (MCO) : image.config.openshift.io/cluster را برای هرگونه تغییر و در صورت مشاهده تغییرات میزبان را دوباره راه اندازی می کند.

    تنظیمات رجیستری جدید به پرونده نوشته شده است / و غیره / ظروف / registries.conf در هر میزبان!