Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Dies ist eine unveröffentlichte Dokumentation für Admission Controller 1.34-dev.

Konfigurieren von PolicyServern zur Verwendung privater Registries

Es ist möglich, PolicyServern so zu konfigurieren, dass sie die Anmeldeinformationen privater OCI-Registries verwenden. Dies ermöglicht es diesen PolicyServern, Richtlinien aus öffentlichen und privaten Registries herunterzuladen.

Sobald Sie den PolicyServer so konfigurieren, dass er auf private Registries zugreift, können auch die darauf laufenden Richtlinien auf diese Registries zugreifen. Dies funktioniert, wenn Richtlinien die bereitgestellten SDKs oder Hostfähigkeits-APIs verwenden. Das liegt daran, dass PolicyServern diese Funktionalität über die definierten Richtlinien-SDKs und die niedrigere Hostfähigkeits-API bereitstellen. Dies ist beispielsweise der Fall bei Richtlinien, die die Signaturen von Container-Images überprüfen.

Um dies zu erreichen, sollten Sie ein Geheimnis erstellen, das die Anmeldeinformationen der privaten Registries enthält. Konfigurieren Sie dann die Ressourcen dieser PolicyServer und anschließend Ihr Helm-Chart, um das Geheimnis zu verwenden.

Erstellen des Geheimnisses

PolicyServer unterstützen die üblichen Docker-Konfigurationsgeheimnisse, entweder vom Typ kubernetes.io/dockercfg oder vom Typ kubernetes.io/dockerconfigjson. Sie können diese Geheimnisse mit kubectl create secret docker-registry erstellen.

Sie erstellen das Geheimnis im Namespace, in dem Sie Ihren PolicyServer ausführen. Dies folgt dem Prinzip der minimalen Berechtigung und ermöglicht es verschiedenen PolicyServern, OCI-Artefakte unabhängig von verschiedenen Registries zu validieren.

Sie erstellen dieses Geheimnis für den PolicyServer mit dem folgenden Befehl:

kubectl --namespace kubewarden create secret docker-registry secret-ghcr-docker \
  --docker-username=myuser \
  --docker-password=mypass123 \
  --docker-server=myregistry.io

Kennzeichnen Sie das Geheimnis wie in User secrets angegeben, damit es Teil der von Rancher Backup Operator durchgeführten Sicherungen ist.

Für weitere Informationen zur Erstellung der Docker-Geheimnisse siehe die Kubernetes-Dokumentation.

Das Geheimnis in PolicyServern verwenden.

Sobald Sie das Geheimnis erstellt haben, ist es notwendig, die PolicyServer-Instanz zu konfigurieren. Setzen Sie das spec.imagePullSecret-Feld mit dem Namen des Geheimnisses, das die Anmeldeinformationen enthält:

# Example of a PolicyServer using a private registry
apiVersion: policies.kubewarden.io/v1
kind: PolicyServer
metadata:
  name: default
spec:
  image: ghcr.io/kubewarden/policy-server:v1.1.1
  serviceAccountName: policy-server
  replicas: 1
  annotations:
  imagePullSecret: "secret-ghcr-docker"

Das Geheimnis in Helm-Charts verwenden.

Wenn es aus dem kubewarden-defaults Helm-Chart bereitgestellt wird, können Sie den policyServer.imagePullSecret-Wert auf den Namen des Geheimnisses setzen. Dann ist der erstellte Standard-Policy-Server in der Lage, Richtlinien auch von Ihrer privaten Registry herunterzuladen:

# values file example
policyServer:
  telemetry:
    enabled: False
  imagePullSecret: secret-ghcr-docker