|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
|
これは未公開の文書です Admission Controller 1.34-dev. |
カスタム認証局の使用
ポリシーレジストリ用のカスタム認証局
PolicyServerがポリシーレジストリからClusterAdmissionPolicyアーティファクトを取得する際に使用する認証局を指定して構成することが可能です。次の`spec`フィールドは、デプロイされた`policy-server`実行可能ファイルをその目的に合わせて構成します。
安全でないソース
|
`kwctl`と`policy-server`のデフォルトの動作は、システムCAストアに一致する信頼された証明書でHTTPSを強制することです。`insecure_sources`設定を使用することで、信頼されていない証明書を使用したり、TLSなしでレジストリと対話することができます。このアプローチは、プロダクションに近い環境では*強く非推奨*です。 |
特定のレジストリへの安全でない接続を受け入れるようにPolicyServerを構成するには、PolicyServerの`spec.insecureSources`フィールドを使用します。このフィールドは、安全でないURIのリストを受け入れます。次に例を示します。
spec:
insecureSources:
- localhost:5000
- host.k3d.internal:5000カスタム認証局を参照して、`policy-server`実行可能ファイルが安全でないURIをどのように扱うかについての詳細情報を確認してください。
カスタム認証局
特定のURIのために、1つ以上の証明書のカスタム証明書チェーンでPolicyServerを構成することができます。これを行うには、フィールド`spec.sourceAuthorities`を使用します。
このフィールドは、各URIに対してPEMエンコードされた証明書を含む文字列のリストを持つURIのマップです。次に例を示します。
spec:
sourceAuthorities:
"registry-pre.example.com":
- |
-----BEGIN CERTIFICATE-----
ca-pre1-1 PEM cert
-----END CERTIFICATE-----
- |
-----BEGIN CERTIFICATE-----
ca-pre1-2 PEM cert
-----END CERTIFICATE-----
"registry-pre2.example.com:5500":
- |
-----BEGIN CERTIFICATE-----
ca-pre2 PEM cert
-----END CERTIFICATE-----カスタム認証局を参照して、`policy-server`実行可能ファイルがそれらをどのように扱うかについての詳細情報を確認してください。