Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Il s'agit d'une documentation non publiée pour Admission Controller 1.34-dev.

Utilisation des autorités de certification personnalisées

Autorités de certification personnalisées pour les registres de politiques

Il est possible de spécifier et de configurer les autorités de certification que PolicyServer utilise lors du téléchargement des artefacts ClusterAdmissionPolicy depuis le registre de politiques. Les champs suivants spec configurent l’exécutable déployé policy-server à cet effet.

Sources non sécurisées

Le comportement par défaut de kwctl et policy-server est d’imposer HTTPS avec des certificats de confiance correspondant au magasin CA du système. Vous pouvez interagir avec des registres utilisant des certificats non fiables ou même sans TLS, en utilisant le paramètre insecure_sources. Cette approche est fortement déconseillée pour les environnements proches de la production.

Pour configurer le PolicyServer afin d’accepter des connexions non sécurisées à des registres spécifiques, utilisez le champ spec.insecureSources de PolicyServer. Ce champ accepte une liste d’URIs non sécurisées. Par exemple :

spec:
  insecureSources:
    - localhost:5000
    - host.k3d.internal:5000

Voir Autorités de certification personnalisées pour plus d’informations sur la façon dont l’exécutable policy-server traite les URIs non sécurisées.

Autorités de certification personnalisées

Vous pouvez configurer le PolicyServer avec une chaîne de certificats personnalisée de 1 ou plusieurs certificats pour une URI spécifique. Pour ce faire, vous utilisez le champ spec.sourceAuthorities.

Ce champ est une table de correspondance d’URIs, chacune avec sa propre liste de chaînes contenant des certificats encodés en Privacy Enhanced Mail (PEM). Par exemple :

spec:
  sourceAuthorities:
    "registry-pre.example.com":
      - |
        -----BEGIN CERTIFICATE-----
        ca-pre1-1 PEM cert
        -----END CERTIFICATE-----
      - |
        -----BEGIN CERTIFICATE-----
        ca-pre1-2 PEM cert
        -----END CERTIFICATE-----
    "registry-pre2.example.com:5500":
      - |
        -----BEGIN CERTIFICATE-----
        ca-pre2 PEM cert
        -----END CERTIFICATE-----

Voir Autorités de certification personnalisées pour plus d’informations sur la façon dont l’exécutable policy-server les traite.