Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Esta é uma documentação não divulgada para Admission Controller 1.34-dev.

Configurando PolicyServers para usar registros privados

É possível configurar os PolicyServers para usar credenciais de registros OCI privados. Isso permite que esses PolicyServers baixem políticas de registros públicos e privados.

Uma vez que você configure o PolicyServer para acessar registros privados, as políticas em execução nele também podem acessar esses registros. Isso funciona quando as políticas usam os SDKs fornecidos ou APIs de capacidade do host. Isso ocorre porque os PolicyServers expõem essa funcionalidade através dos SDKs de política definidos e da API de capacidade do host de nível inferior. Esse é o caso, por exemplo, em políticas que verificam assinaturas de imagens de contêiner.

Para alcançar isso, você deve criar um Segredo contendo as credenciais do registro privado. Em seguida, configure os recursos dos seus PolicyServers e, em seguida, seu gráfico Helm para usá-lo.

Criando o Segredo

Os PolicyServers suportam os habituais Segredos de configuração do Docker, seja do tipo kubernetes.io/dockercfg ou do tipo kubernetes.io/dockerconfigjson. Você pode criar esses segredos com kubectl create secret docker-registry.

Você cria o segredo no namespace onde você executa seu PolicyServer. Isso segue o princípio do menor privilégio e permite que diferentes PolicyServers validem artefatos OCI, de diferentes registros, de forma independente.

Você cria este Segredo para o PolicyServer com o seguinte comando:

kubectl --namespace kubewarden create secret docker-registry secret-ghcr-docker \
  --docker-username=myuser \
  --docker-password=mypass123 \
  --docker-server=myregistry.io

Rotule o Segredo conforme especificado em User secrets para que ele faça parte dos backups realizados pelo Rancher Backup Operator

Para mais informações sobre como criar os Segredos do Docker, consulte a documentação do Kubernetes.

Consumindo o Segredo nos PolicyServers

Uma vez que você tenha criado o Segredo, é necessário configurar a instância do PolicyServer. Defina o campo spec.imagePullSecret com o nome do Segredo que contém as credenciais:

# Example of a PolicyServer using a private registry
apiVersion: policies.kubewarden.io/v1
kind: PolicyServer
metadata:
  name: default
spec:
  image: ghcr.io/kubewarden/policy-server:v1.1.1
  serviceAccountName: policy-server
  replicas: 1
  annotations:
  imagePullSecret: "secret-ghcr-docker"

Consumindo o Segredo em gráficos Helm

Quando implantado a partir do gráfico Helm kubewarden-defaults, você pode definir o valor policyServer.imagePullSecret como o nome do Segredo. Então, o PolicyServer padrão criado é capaz de baixar políticas do seu registro privado também:

# values file example
policyServer:
  telemetry:
    enabled: False
  imagePullSecret: secret-ghcr-docker