OpenShift 4 - 通过 secret 访问受保护的镜像

最新推荐文章于 2022-10-07 14:05:25 发布
最新推荐文章于 2022-10-07 14:05:25 发布
阅读量338 收藏
点赞数
分类专栏: 安全 Quay Registry 文章标签: secret registry quay
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/120814851
版权
安全 同时被 3 个专栏收录
76 篇文章 6 订阅
订阅专栏
Registry
15 篇文章 2 订阅
订阅专栏
Quay
9 篇文章 1 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.8环境中验证

文章目录

环境要求

  • OpenShift 集群
  • quay.io 账号
  • podman

向 quay.io 推送应用镜像

  1. 设置环境
$ QUAY_USER=dawnskyliu
$ QUAY_PASS=XXXXX
  1. 获取镜像到本地
$ podman pull docker.io/openshift/hello-openshift
  1. 修改“hardening_pipeline/Dockerfile”文件,将第一行内容
$ podman tag docker.io/openshift/hello-openshift quay.io/${QUAY_USER}/hello-openshift
  1. 登录 quay.io,将镜像推送到 quay.io。注意:这里需要执行 2 次 push 命令,第一遍会在 quay.io 中创建 Repository,第二遍会生成镜像。
$ podman login quay.io -u ${QUAY_USER} -p ${QUAY_PASS}
$ podman push quay.io/${QUAY_USER}/hello-openshift
$ podman push quay.io/${QUAY_USER}/hello-openshift
  1. 确认自己的 quay.io 账号下已经有 “hello-openshift” 镜像。
    在这里插入图片描述

向 OpenShift 部署 quay.io 的镜像

  1. 根据 “quay.io”上的“hello-openshift”镜像创建应用,确认会出现一下错误。在这里插入图片描述
  2. 执行命令创建能访问 “quay.io” 的 “**secret **”对象,并将其和名为 “default”的“ServiceAccount”关联,指定用来 “pull” 操作。
$ oc create secret docker-registry quay-pull-secret --docker-server=quay.io --docker-username=${QUAY_USER} --docker-password=${QUAY_PASS} --docker-email=nobody@nowhere.com -n external-registry
$ oc secret link default quay-pull-secret --for=pull -n external-registry
  1. 再次根据 “quay.io”上的“hello-openshift”镜像创建应用,确认已经可以访问容器。
    在这里插入图片描述
dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
快速解释 OpenShift 4 镜像仓库
Christina の Blog
02-03 404
如果我们想下载 OpenShift 4 的 iso 应该去哪里找呢 主库在这里 OpenShift4.6 OpenShift4.5 OpenShift4.4 OpenShift的所有版本在这里
openshift 学习笔记-6 secret and quota
vito
10-18 3975
容器是在linux命名空间和CGroup的基础上,通过SELinux限制容器进程对资源的读取访问或限制容器的容量。容器的安全隔离已经达到了生产可用级别。 容器安全涉及到多个层面:1、容器自身安全;2、容器镜像安全;3、宿主机安全; 1、用户认证openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内
openshiftsecret
Jian Sun_的博客
03-05 1069
1、用户认证 openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内对系统进行访问。 获取token:oc whoami -t 获取tokenAPI:/oauth/token/request 2、身份验证 identity provider openshift提供不同的适配器链接不同的用户...
OpenShift 4 - 了解Secret
多恩斯基的博客
09-30 1296
文章目录关于Secret对象三种途径创建Secret对象Secret对象的结构创建Secret对象一般结构Secret通过命令创建Secret通过YAML创建Secret属于dockerconfigjson或dockercfg类型的pull-secretbasic-auth类型secretssh-auth类型secret引用或使用Secret内容在Pod通过挂载存储使用Secret在Pod通过环境变量使用Secret在Pod使用pull_secret在ServiceAccount使用secret和
OpenShift 4 - 如何利用“风险镜像+配置漏洞”攻击应用 Secret(附视频)
多恩斯基的博客
10-07 668
》本文在 OpenShift 4 和 Kubernetes 1.20 环境进行验证。
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM创建所有SRV,A和PTR...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
更新 OpenShift pull-secret
Christina の Blog
05-25 242
当 Insights 失效的时候,可能有以下几种情况 是否最近更改了配置 是否没有设置 proxy 是否最近更改了 secret 官方文档更新 secret 也可以用命令更新 secret $ oc -n openshift-config create secret generic support --from-literal=endpoint=https://cloud.redhat.com/api/ingress/v1/upload --dry-run -o yaml | oc apply -f -
openshift-jee-sample:将在openshift环境部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
容器编排技术 -- Kubernetes kubectl create secret docker-registry 命令详解
YunWisdom
08-28 3232
容器编排技术 -- Kubernetes kubectl create secret docker-registry 命令详解 1kubectl create secret docker-registry 2语法 3示例 4Flags kubectl create secret docker-registry 创建与Docker registries一起使用的secret。...
OpenShift 4.1 探索(持续更新)
weixin_30877755的博客
08-20 613
因为在OpenShift 4.1环境不建议直接登录集群主机操作,因此很多操作可能需要外部的Client VM上完成。当然用rhel的worker node的同事也可以和原来习惯保持一致。 这里记录一下经常遇到的一些问题: 如何查看密码 在4.1集群安装完后,系统会打印一句话出来,比如 INFO Creating infrastructure resour...
如何在自己的MacBook上体验OpenShift 4.1
weixin_30825199的博客
06-25 417
在4版本后,CDK和minishift基本不跟新了,取代的是一个CodeReady Containter,定位和CDK以及minishift一样,简称CRC,是在本地环境运行一个开发环境,目前仍然是在Alpha版本阶段,没有正式的GA,在4.2版本会GA. CRC目前只支持linux和mac环境,windows环境的支持正在开发。 1.下载 需要下载的包括如下:...
PaaS部署项目(OpenShift应用上线手册)
Bling Bling ~~
06-14 1535
OpenShift应用上线手册1、账户基本信息2、将后台服务端项目部署到Tomcat上2.1将项目打成war包2.2新建project2.3将war包上传到自己的gitlab上,并复制其git地址3、War包应用上线流程3.1上传war包至gitlab3.2部署3.3Build添加认证信息3.4应用访问3.4.1集群内应用调用(应用a和应用b都部署在Openshift内,应用a调用b的地址)3.4.2集群外访问(浏览器访问,或者非Openshift集群内的应用调用)4Jar包应用上线流程4.1上传Jar包至
Openshift 简介
热门推荐
tangbiao的专栏
10-18 1万+
Openshift 概述简述OpenShift v3是一种分层的系统,它的目的是尽可能准确地揭露底层的docker格式化的容器映像和Kubernetes的概念,重点是开发人员可以轻松地组合应用程序。例如,安装Ruby、推代码和添加MySQL。与OpenShift v2不同的是,在创建模型的所有方面后,配置的灵活性会被暴露出来。将应用程序作为独立对象的概念被移除了,以支持更灵活的“服务”组合,允许两个
Kubernetes(六) - Secret和私有仓库认证
文振熙 -- 云计算技术博客站
05-19 4640
Kubernetes(六) - Secret和私有仓库认证 对一个公司来说安全也是最为重要的因为可能一旦出现安全问题可能这个公司就完了,所以对密码管理是一个长久不变的话题,Kubernetes对密码管理提供了Secret组件进行管理,最终映射成环境变量,文件等方式提供使用,统一进行了管理更换方便,并且开发人员并不需要关心密码降低了密码的众范围从而保障了安全. Kubernetes官方文档...
openshift安装弹性扩展
treedemo的专栏
04-12 1617
Autoscaling是指业务实例例的⾃自动缩扩容,根据业务运⾏行行的状态指标,系统可以动态调整实例例个数以实现资源 的⾼高效使⽤用。⽤用户可以在POC系统上定义autoscaling的配置,主要有以下⼏几项: min pods: max pods: CPU request target: 系统会统计服务的实例例平均负载情况,如果达到并超过CPU的阈值,系统会对实例例⾃自动进⾏行行扩容操
OpenShift从源码构建部署应用初体验
jj_tyro的专栏
03-31 7686
OpenShift从源码构建部署应用初体验 这两天在翻OceanBase 0.4版本(唯一开源的版本)的源码,原因是前些天有人讲OceanBase非分区表的数据也是打散到多个节点分布的,这与我观看过的蚂蚁金融云上OB文档不一样,文档讲OB是基于表分区在多个节点间分布数据的,非分区表不打散全部数据的任一副本只存放在一个节点上。后来了解到是OB过往版本与现行版本间数据分布的方式不一样。 所以大致...
openshift集成(内部)镜像仓库暴露安全访问地址
KK下山去买菜
03-15 1226
1. 获取镜像仓库 cluster ip oc project default oc get svc/docker-registry NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE docker-registry ClusterIP 172.30.31.74 <none> ...
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值