我有一个配置了 TLS 的私有注册表,注册表的证书由我的 Linux 系统上受信任的根 ca 签名,daemon.json 中没有不安全选项,registry.conf 文件中也没有不安全选项,但我是仍然可以拉取图像!!
当您使用调试级别日志运行 podman pull 命令时:
podman pull --log-level=debug my-registry:5000/busybox:latest
在日志中我可以看到
在 /etc/docker/certs.d/certs.d/my-registry:5000 中查找 TLS 证书和私钥
但是 /etc/docker/certs.d/my-registry:5000 不存在
在不为 podman 提供 ca.crt 的情况下,它如何仍然能够从我的私人注册表中提取映像?
如果 /etc/containers/certs.d/my-registry:5000/ca.crt 不可用,Podman 将检查主机的信任存储以进行验证。如果用于签署注册表服务器证书的 CA 位于信任存储中,则 Podman 会信任并验证注册表服务器的证书。