Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Il s'agit d'une documentation non publiée pour Admission Controller 1.34-dev.

Configuration du proxy

Pour kwctl et policy-server, vous pouvez configurer des proxies HTTP et HTTPS, ainsi qu’exempter des domaines de cette configuration de proxy.

Vous pouvez le faire de deux manières : * En définissant les variables d’environnement HTTP_PROXY, HTTPS_PROXY, NO_PROXY (et leurs équivalents en minuscules) pour kwctl ou policy-server. Pour configurer un CR PolicyServer, définissez son tableau spec.env. * En fournissant un fichier sources.yaml via l’argument --sources-path. Un fichier sources.yaml a la priorité sur les variables d’environnement. Consommer cette configuration via le champ spec n’est pas encore exposé dans les CR PolicyServer.

Définir une configuration de proxy influence :

  • Le pull, le push et le pull-and-run des stratégies depuis et vers le registre OCI.

  • Les capacités d’hôte des appels contextuels, tels que :

    • Le registre de conteneurs, comme l’obtention d’un manifeste OCI ou d’un hachage de manifeste. Au lieu d’accéder directement au registre OCI, le trafic sera acheminé via les proxies configurés.

    • Les capacités de Sigstore, comme la vérification d’une signature sans clé. Au lieu d’accéder aux services définis par Sigstore, le trafic sera acheminé via les proxies configurés.

Par exemple :

Vous pouvez définir les variables d’environnement suivantes, pour kwctl ou policy-server (via le PolicyServer spec.env) :

HTTP_PROXY="http://proxy.corp:3128"
https_proxy="http://proxy.corp:3129"
NO_PROXY="localhost,.corp"

Avec cette configuration : * Le trafic non sécurisé via HTTP, tel que celui vers et depuis un registre OCI non sécurisé, est acheminé via http://proxy.corp:3128. Cela affecte le pull des stratégies, et les stratégies appelant des capacités contextuelles qui ont des hachages de manifeste d’image OCI pour les conteneurs dans ce dépôt. * Le trafic chiffré via HTTPS est acheminé via https://proxy.corp:3129. Par exemple, cela inclut le pull et le push de stratégies vers tout registre OCI sécurisé, ainsi que les capacités contextuelles des stratégies mentionnées. * Le trafic vers et depuis l’hôte local ou tout domaine sous .corp est exempt des configurations précédentes.

Fichier sources.yaml

Pour plus de détails, consultez la référence sources.yaml.