|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
|
这是尚未发布的文档。 Admission Controller 1.34-dev. |
自定义证书颁发机构
通过`kwctl`和`policy-server`,您可以从开放容器倡议(OCI)注册表和HTTP服务器中提取策略。 您只能将策略推送到OCI注册表。 默认情况下,使用HTTPS和主机TLS验证。
系统的证书颁发机构(CA)存储用于验证来自OCI注册表的受信任证书链。 在标准的SUSE Security Admission Controller安装中,`policy-server`使用随其 Linux Container 一起提供的CA存储。 在客户端,`kwctl`使用您的操作系统CA存储。
如果您使用的是https://github.com/kubewarden/kubewarden-controller[Controller],您可以通过其`spec`字段配置PolicyServer。
|
`kwctl`和`policy-server`的默认行为强制使用与系统CA存储匹配的受信任证书的HTTPS。 您可以使用不受信任的证书或甚至不使用TLS与注册表进行交互,方法是使用`insecure_sources`设置。 显然,这不适合生产环境。 |
sources.yaml 文件
您可以使用`sources.yaml`文件调整`kwctl`和`policy-server`的推拉行为。
有关参考详细信息,请查看sources.yaml参考。