|
Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar. |
|
Dies ist eine unveröffentlichte Dokumentation für Admission Controller 1.34-dev. |
Referenz für sources.yaml
Sie können das Push-Pull-Verhalten der kwctl und policy-server Binärdateien mit dem --sources-path Argument anpassen, um den Pfad zur sources.yaml Datei anzugeben.
Um einen PolicyServer-CR zu konfigurieren, setzen Sie die Felder spec.insecureSources und spec.sourceAuthorities. Das Format dieser Felder entspricht den jeweiligen Abschnitten unten.
Die sources.yaml-Datei
Wenn Sie das --sources-path Argument aus dem kwctl Befehl weglassen, versucht es, die sources.yaml Datei aus diesen Ordnern zu laden:
-
Linux:
$HOME/.config/kubewarden/sources.yaml -
Mac:
$HOME/Library/Application Support/io.kubewarden.kubewarden/sources.yaml -
Windows:
$HOME\AppData\Roaming\kubewarden\config\sources.yaml
Seine Struktur ist wie folgt:
insecure_sources:
- "registry-dev.example.com"
- "registry-dev2.example.com:5500"
source_authorities:
"registry-pre.example.com":
- type: Path
path: /opt/example.com/pki/ca-pre1-1.pem
- type: Path
path: /opt/example.com/pki/ca-pre1-2.der
"registry-pre2.example.com:5500":
- type: Data
data: |
-----BEGIN CERTIFICATE-----
ca-pre2 PEM cert
-----END CERTIFICATE-----Diese Datei ist im YAML- oder JSON-Format. Alle Schlüssel sind optional, daher ist das Folgende eine gültige sources.yaml Datei:
insecure_sources: ["dev.registry.example.com"]Wie gehabt:
{
"source_authorities": {
"host.k3d.internal:5000": [
{"type": "Data","data":"pem cert 1"},
{"type": "Data","data":"pem cert 2"}
]
}
}Abschnitt für unsichere Quellen
Hosts im insecure_sources Abschnitt verhalten sich anders als die nicht aufgelisteten Hosts.
-
Nicht aufgelistete Hosts, versuchen Sie:
-
sich über HTTPS zu verbinden und die Serveridentität zu überprüfen
Wenn die Verbindung fehlschlägt, stoppt der Vorgang. * Aufgelistete Hosts in
insecure_sources, versuchen Sie in der Reihenfolge: sich über HTTPS zu verbinden und die Serveridentität zu überprüfen sich über HTTPS zu verbinden und die Hostüberprüfung zu überspringen ** sich über HTTP zu verbinden
Der Vorgang stoppt, wenn alle fehlschlagen.
-
|
Es ist normalerweise in Ordnung, |
Abschnitt der Quellbehörden
Der source_authorities Abschnitt enthält URIs und CA-Zertifikate. Es bildet eine Zertifikatkette für diese URI. Es wird verwendet, um die Identität von OpenContainer Initiative (OCI) Registries und HTTPS-Servern zu überprüfen.
Sie kodieren diese Zertifikate entweder im Privacy Enhanced Mail (PEM) oder im Distinguished Encoding Rule (DER) Format. Um DER-Format-Zertifikate anzugeben, verwenden Sie einen Pfad zu einer Datei, die das Zertifikat enthält. Im PEM-Format geben Sie entweder einen Pfad zur Zertifikatdatei oder einen String mit dem tatsächlichen Zertifikat an. Sie geben beides mit einem type Schlüssel an:
source_authorities:
"registry-pre.example.com":
- type: Path
path: /opt/example.com/pki/ca-pre1-1.pem
- type: Path
path: /opt/example.com/pki/ca-pre1-2.der
- type: Data
data: |
-----BEGIN CERTIFICATE-----
A string with the ca-pre1-3 PEM cert
-----END CERTIFICATE-----
"registry-pre2.example.com:5500":
- type: Path
path: /opt/example.com/pki/ca-pre2-1.derAbschnitt der Proxys
Der proxies Abschnitt enthält eine Proxy-Konfiguration, die analog zu den üblichen Umgebungsvariablen HTTP_PROXY, HTTPS_PROXY und NO_PROXY (sowie deren kleingeschriebenen Varianten) ist.
Diese Konfiguration hat Vorrang vor der Einstellung dieser Umgebungsvariablen.
Siehe die Anleitungsseite für weitere Informationen zu diesem Feature.
Sein Format ist:
proxies:
http_proxy: "http://proxy.corp:3128"
https_proxy: "http://proxy.corp:3129"
no_proxy: "localhost,.corp"