Dies ist eine unveröffentlichte Dokumentation für Admission Controller 1.37-dev.

Benutzerdefinierte CA

Mit sowohl kwctl als auch policy-server können Sie Richtlinien aus den Open Container Initiative (OCI)-Registries und HTTP-Servern abrufen. Sie können Richtlinien nur an OCI-Registries senden. Standardmäßig wird HTTPS mit TLS-Überprüfung des Hosts verwendet.

Der CA-Speicher des Systems wird verwendet, um die vertrauenswürdige Kette von Zertifikaten aus dem OCI-Registry zu validieren. In einer Standard-SUSE Security Admission Controller-Installation verwendet policy-server die CA, die mit seinem Linux-Container geliefert wird. Auf der Client-Seite verwendet kwctl die CA Ihres Betriebssystems.

Wenn Sie den Controller verwenden, können Sie den PolicyServer über seine spec Felder konfigurieren.

Das Standardverhalten von kwctl und policy-server erzwingt HTTPS mit vertrauenswürdigen Zertifikaten, die mit der CA des Systems übereinstimmen. Sie können mit Registries unter Verwendung nicht vertrauenswürdiger Zertifikate oder sogar ohne TLS interagieren, indem Sie die insecure_sources-Einstellung verwenden. Offensichtlich ist das nicht für Produktionsumgebungen.

Die sources.yaml-Datei

Sie können das Push-Pull-Verhalten von kwctl und policy-server mit der Datei sources.yaml anpassen.

Weitere Details finden Sie in der sources.yaml Referenz.