Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Il s'agit d'une documentation non publiée pour Admission Controller 1.34-dev.

Autorités de certification personnalisées

Avec kwctl et policy-server, vous pouvez récupérer des stratégies à partir des registres de l’Open Container Initiative (OCI) et des serveurs HTTP. Vous ne pouvez pousser des stratégies que vers des registres OCI. Par défaut, HTTPS est utilisé avec la vérification TLS de l’hôte pour cela.

Le magasin d’autorités de certification (CA) du système est utilisé pour valider la chaîne de certificats de confiance provenant du registre OCI. Dans une installation standard de SUSE Security Admission Controller, le policy-server utilise le magasin CA fourni avec son Linux Container. Du côté client, kwctl utilise le magasin CA de votre système d’exploitation.

Si vous utilisez le Contrôleur, vous pouvez configurer le PolicyServer via ses `spec`champs.

Le comportement par défaut de kwctl et policy-server impose HTTPS avec des certificats de confiance correspondant au magasin CA du système. Vous pouvez interagir avec des registres en utilisant des certificats non fiables ou même sans TLS, en utilisant le paramètre insecure_sources. Il est clair que ce n’est pas pour les environnements de production.

Fichier sources.yaml

Vous pouvez ajuster le comportement de push-pull de kwctl et policy-server en utilisant le fichier sources.yaml.

Pour des détails de référence, consultez la référence sources.yaml.