Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

レジストリー

OpenShift Container Platform 4.9

OpenShift Container Platform のレジストリーの設定

Red Hat OpenShift Documentation Team

概要

本書では、OpenShift Container Platform の内部レジストリーを設定し、管理する方法について説明します。また、OpenShift Container Platform に関連付けられたレジストリーの概要も提供します。

第1章 OpenShift Container Platform レジストリーの概要
リンクのコピー

OpenShift Container Platform はイメージをソースコードからビルドし、それらをデプロイし、それらのライフサイクルを管理できます。これは、OpenShift Container Platform 環境にデプロイできる内部の統合コンテナーイメージレジストリーを提供しており、ここからイメージをローカルで管理できます。この概要には、内部イメージレジストリーに重点を置いた、OpenShift Container Platform で一般的に使用されるレジストリーの参照情報およびリンクが含まれます。

1.1. OpenShift Container Platform レジストリーの共通用語集
リンクのコピー

この用語集では、レジストリーコンテンツで使用される一般的な用語を定義します。

container
ソフトウェアとそのすべての依存関係を設定する軽量で実行可能なイメージ。コンテナーはオペレーティングシステムを仮想化するため、データセンター、パブリッククラウドまたはプライベートクラウド、またはローカルホストでコンテナーを実行できます。
イメージレジストリー Operator
イメージレジストリー Operator は openshift-image-registry namespace で実行され、その場所のレジストリーインスタンスを管理します。
イメージリポジトリー
イメージリポジトリーは、関連するコンテナーイメージおよびイメージを特定するタグのコレクションです。
ミラーレジストリー
ミラーレジストリーは、OpenShift Container Platform イメージのミラーを保持するレジストリーです。
namespace
namespace は、1 つのクラスター内のリソースのグループを分離します。
OpenShift Container Platform レジストリー
OpenShift Container Platform レジストリーは、イメージを管理するために OpenShift Container Platform により提供されるレジストリーです。
Pod
Pod は、Kubernetes における最小の論理単位です。Pod には、ワーカーノードで実行される 1 つ以上のコンテナーが含まれます。
プライベートレジストリー
レジストリーは、コンテナーイメージレジストリー API を実装するサーバーです。非公開レジストリーは、ユーザーがそのコンテンツにアクセスできるようにするために認証が必要なレジストリーです。
公開レジストリー
レジストリーは、コンテナーイメージレジストリー API を実装するサーバーです。公開レジストリーは、その内容を公に提供するレジストリーです。
Quay.io
Red Hat により提供および維持されるパブリックな Red Hat Quay Container Registry インスタンスであり、ほとんどのコンテナーイメージと Operator を OpenShift Container Platform クラスターに提供します。
レジストリー認証
プライベートイメージリポジトリーとの間でイメージをプッシュおよびプルするには、レジストリーで認証情報を使用してユーザーを認証する必要があります。
route
サービスを公開して、OpenShift Container Platform インスタンス外のユーザーおよびアプリケーションから Pod へのネットワークアクセスを許可します。
スケールダウン
レプリカの数を減らすため。
スケールアップ
レプリカの数を増やすため。
service
サービスは、一連の Pod で実行中のアプリケーションを公開します。

1.2. 統合 OpenShift Container Platform レジストリー
リンクのコピー

OpenShift Container Platform は、クラスター上の標準ワークロードとして実行される組み込みコンテナーイメージレジストリーを提供します。このレジストリーはインフラストラクチャー Operator によって設定され、管理されます。これはユーザーがワークロードを実行するイメージを管理するために追加設定なしで使用できるソリューションを提供し、既存のクラスターインフラストラクチャーの上部で実行されます。このレジストリーは、他のクラスターワークロードのようにスケールアップまたはスケールダウンでき、特定のインフラストラクチャーのプロビジョニングを必要としません。さらに、これはクラスターのユーザー認証および認可システムに統合されるため、イメージを作成し、取得するためのアクセスは、イメージリソースでユーザーのパーミッションを定義することによって制御できることを意味します。

通常、レジストリーはクラスター上にビルドされたイメージの公開ターゲットとして、またクラスター上で実行されるワークロードのイメージのソースとして使用されます。新規イメージがレジストリーにプッシュされると、クラスターにはその新規イメージについて通知され、他のコンポーネントは更新されたイメージに応答し、これを使用できます。

イメージデータは 2 つの場所に保存されます。実際のイメージデータは、クラウドストレージまたはファイルシステムボリュームなどの設定可能なストレージの場所に格納されます。標準のクラスター API によって公開され、アクセス制御を実行するために使用されるイメージメタデータは、標準的な API リソース、とくにイメージおよびイメージストリームとして保存されます。

1.3. サードパーティーレジストリー
リンクのコピー

OpenShift Container Platform はサードパーティーレジストリーからのイメージを使用してコンテナーを作成できますが、これらのレジストリーは統合 OpenShift Container Platform レジストリーと同じイメージ通知のサポートを提供する訳ではありません。このため、OpenShift Container Platform はイメージストリームの作成時にリモートレジストリーからタグをフェッチします。フェッチされたタグを更新するには、oc import-image <stream> を実行します。新規イメージが検出されると、以前に記述されたビルドとデプロイメントの応答が生じます。

1.3.1. 認証
リンクのコピー

OpenShift Container Platform はユーザーが指定する認証情報を使用してプライベートイメージリポジトリーにアクセスするためにレジストリーと通信できます。これにより、OpenShift Container Platform はイメージのプッシュ/プルをプライベートリポジトリーへ/から実行できます。

1.3.1.1. Podman を使用したレジストリー認証
リンクのコピー

一部のコンテナーイメージレジストリーではアクセス認証が必要です。Podman は、コンテナーおよびコンテナーイメージを管理し、イメージレジストリーと対話するためのオープンソースツールです。Podman を使用して認証情報を認証し、レジストリーイメージをプルし、ローカルイメージをローカルファイルシステムに保存できます。以下は、Podman でレジストリーを認証する一般的な例です。

手順

  1. Red Hat Ecosystem Catalog を使用して Red Hat リポジトリーから特定のコンテナーイメージを検索し、必要なイメージを選択します。
  2. Get this image をクリックして、コンテナーイメージのコマンドを見つけます。

  3. 以下のコマンドを実行して、認証に使用するユーザー名とパスワードを入力します。 

    $ podman login registry.redhat.io
 Username:<your_registry_account_username>
 Password:<your_registry_account_password>

  4. 以下のコマンドを実行してイメージをダウンロードし、ローカルに保存します。 

    $ podman pull registry.redhat.io/<repository_name>

1.4. Red Hat Quay レジストリー
リンクのコピー

エンタープライズ向けの高品質なコンテナーイメージレジストリーを必要とされる場合、Red Hat Quay をホストされたサービスとして、また独自のデータセンターやクラウド環境にインストールするソフトウェアとしてご利用いただけます。Red Hat Quay の高度なレジストリーには、geo レプリケーション、イメージのスキャニング、およびイメージのロールバック機能が含まれます。

Quay.io サイトにアクセスし、独自のホストされる Quay レジストリーアカウントをセットアップします。その後、Quay チュートリアルに従って Quay レジストリーにログインし、イメージの管理を開始します。

Red Hat Quay レジストリーへのアクセスは、任意のリモートコンテナーイメージレジストリーと同様に OpenShift Container Platform から実行できます。

1.5. Authentication enabled Red Hat registry
リンクのコピー

Red Hat Ecosystem Catalog のコンテナーイメージのセクションで利用可能なすべてのコンテナーイメージはイメージレジストリーの registry.redhat.io でホストされます。

レジストリー registry.redhat.io では、イメージおよび OpenShift Container Platform でホストされるコンテンツへのアクセスに認証が必要です。新規レジストリーへの移行後も、既存レジストリーはしばらく利用可能になります。

注記

OpenShift Container Platform はイメージを registry.redhat.io からプルするため、これを使用できるようにクラスターを設定する必要があります。

新規レジストリーは、以下の方法を使用して認証に標準の OAuth メカニズムを使用します。

  • 認証トークン。管理者によって生成されるこれらのトークンは、システムにコンテナーイメージレジストリーに対する認証機能を付与するサービスアカウントです。サービスアカウントはユーザーアカウントの変更による影響を受けないため、トークンの認証方法は信頼性があり、回復性があります。これは、実稼働クラスター用にサポートされている唯一の認証オプションです。
  • Web ユーザー名およびパスワード。これは、access.redhat.com などのリソースへのログインに使用する標準的な認証情報のセットです。OpenShift Container Platform でこの認証方法を使用することはできますが、これは実稼働デプロイメントではサポートされません。この認証方法の使用は、OpenShift Container Platform 外のスタンドアロンのプロジェクトに制限されます。

ユーザー名およびパスワード、または認証トークンのいずれかの認証情報を使用して podman login を使用し、新規レジストリーのコンテンツにアクセスします。

すべてのイメージストリームは、インストールプルシークレットを使用して認証を行う新規レジストリーを参照します。

認証情報は以下のいずれかの場所に配置する必要があります。

  • openshift namespace.openshift namespace のイメージストリームがインポートできるように、認証情報は openshift namespace になければなりません。
  • ホスト。Kubernetes でイメージをプルする際にホストの認証情報を使用するため、認証情報はホスト上になければなりません。

第2章 OpenShift Container Platform のイメージレジストリー Operator
リンクのコピー

2.1. クラウドプラットフォームおよび OpenStack のイメージレジストリー
リンクのコピー

イメージレジストリー Operator は、OpenShift Container Platform レジストリーの単一インスタンスをインストールし、レジストリーストレージのセットアップを含む、レジストリーのすべての設定を管理します。

注記

ストレージは、AWS、GCP、Azure または OpenStack にインストーラーでプロビジョニングされるインフラストラクチャークラスターをインストールする場合にのみ自動的に設定されます。

インストーラーでプロビジョニングされるインフラストラクチャークラスターを AWS または Azure でインストールまたはアップグレードする場合、イメージレジストリー Operator は spec.storage.managementState パラメーターを Managed に設定します。spec.storage.managementState パラメーターが Unmanaged に設定されている場合、イメージレジストリー Operator はストレージに関連するアクションを実行しません。

コントロールプレーンのデプロイ後、Operator はクラスターで検出される設定に基づいてデフォルトの configs.imageregistry.operator.openshift.io リソースインスタンスを作成します。

完全な configs.imageregistry.operator.openshift.io リソースを定義するのに利用できる情報が十分にない場合、その不完全なリソースが定義され、Operator は足りない情報を示す情報を使ってリソースのステータスを更新します。

イメージレジストリー Operator は openshift-image-registry namespace で実行され、その場所のレジストリーインスタンスも管理します。レジストリーのすべての設定およびワークロードリソースはその namespace に置かれます。

重要

プルーナーを管理するためのイメージレジストリー Operator の動作は、イメージレジストリー Operator の ClusterOperator オブジェクトで指定される managementState とは独立しています。イメージレジストリー Operator が Managed の状態ではない場合、イメージプルーナーは Pruning カスタムリソースによって設定され、管理できます。

ただし、イメージレジストリー Operator の managementState は、デプロイされたイメージプルーナージョブの動作を変更します。

  • Managed: イメージプルーナーの --prune-registry フラグは true に設定されます。
  • Removed: イメージプルーナーの --prune-registry フラグは false に設定されます。つまり、これは etcd のイメージメタデータのみのプルーニングを実行します。
  • Unmanaged: イメージプルーナーの --prune-registry フラグは false に設定されます。

2.2. ベアメタルおよび vSphere のイメージレジストリー
リンクのコピー

2.2.1. インストール時に削除されたイメージレジストリー
リンクのコピー

共有可能なオブジェクトストレージを提供しないプラットフォームでは、OpenShift イメージレジストリー Operator 自体が Removed としてブートストラップされます。これにより、openshift-installer がそれらのプラットフォームタイプでのインストールを完了できます。

インストール後に、イメージレジストリー Operator 設定を編集して managementStateRemoved から Managed に切り替える必要があります。

注記

Prometheus コンソールは、以下のような ImageRegistryRemoved アラートを提供します。

"Image Registry has been removed.ImageStreamTags, BuildConfigs and DeploymentConfigs which reference ImageStreamTags may not work as expected.Please configure storage and update the config to Managed state by editing configs.imageregistry.operator.openshift.io."

2.3. イメージレジストリー Operator の設定パラメーター
リンクのコピー

configs.imageregistry.operator.openshift.io リソースは以下の設定パラメーターを提供します。

Expand
パラメーター説明

managementState

Managed: Operator は、設定リソースが更新されるとレジストリーを更新します。

Unmanaged: Operator は設定リソースへの変更を無視します。

Removed: Operator はレジストリーインスタンスを取り除き、Operator がプロビジョニングしたすべてのストレージを削除します。

logLevel

レジストリーインスタンスの loglevel を設定します。デフォルトは Normal です。

logLevel でサポートされる値は以下になります。

  • Normal
  • Debug
  • Trace
  • TraceAll

httpSecret

デフォルトで生成されるアップロードのセキュリティーを保護するためにレジストリーで必要な値。

proxy

マスター API およびアップストリームレジストリーの呼び出し時に使用されるプロキシーを定義します。

storage

Storagetype: レジストリーストレージを設定するための詳細。たとえば、S3 バケットの位置情報 (coordinate) など。通常はデフォルトで設定されます。

readOnly

レジストリーインスタンスが新規イメージのプッシュや既存イメージの削除の試行を拒否するかどうかを示します。

requests

API 要求の制限の詳細。指定されたレジストリーインスタンスが追加リソースをキューに入れる前に処理する並列要求の数を制御します。

defaultRoute

外部ルートがデフォルトのホスト名を使用して定義されるかどうかを決定します。これが有効にされている場合、ルートは re-encrypt 暗号を使用します。デフォルトは false です。

routes

作成する追加ルートの配列。ルートにホスト名および証明書を指定します。

replicas

レジストリーのレプリカ数。

disableRedirect

バックエンドにリダイレクトするのではなく、レジストリーを介してすべてのデータをルーティングするかどうかを制御します。デフォルトは false です。

spec.storage.managementState

イメージレジストリー Operator は、AWS または Azure のインストーラーでプロビジョニングされるインフラストラクチャーを使用してクラスターの新規インストールまたはアップグレード時に spec.storage.managementState パラメーターを Managed に設定します。

  • Managed: イメージレジストリー Operator が基礎となるストレージを管理することを判別します。イメージレジストリー Operator の managementStateRemoved に設定されている場合、ストレージは削除されます。

    • managementStateManaged に設定されている場合、イメージレジストリー Operator は基礎となるストレージユニットにいくつかのデフォルト設定を適用しようとします。たとえば、Managed に設定されている場合、Operator はこれをレジストリーで利用可能にする前に S3 バケットで暗号の有効にしようとします。デフォルト設定を提供しているストレージに適用しない場合、managementStateUnmanaged に設定されていることを確認します。
  • Unmanaged: イメージレジストリー Operator がストレージ設定を無視することを判別します。イメージレジストリー Operator の managementStateRemoved に設定されている場合、ストレージは削除されません。バケットまたはコンテナー名などの基礎となるストレージユニット設定を指定し、spec.storage.managementState がまだいずれの値にも設定されていない場合、イメージレジストリー Operator はこれを Unmanaged に設定します。

OpenShift Container Platform では、Registry Operator はレジストリー機能を制御します。Operator は、configs.imageregistry.operator.openshift.io カスタムリソース定義 (CRD) で定義されます。

イメージレジストリーのデフォルトルートを自動的に有効にする必要がある場合には、イメージレジストリー Operator CRD のパッチを適用します。

手順

  • イメージレジストリー Operator CRD にパッチを適用します。 

    $ oc patch configs.imageregistry.operator.openshift.io/cluster --type merge -p '{"spec":{"defaultRoute":true}}'

2.5. イメージレジストリーアクセス用の追加のトラストストアの設定
リンクのコピー

image.config.openshift.io/cluster カスタムリソースには、イメージレジストリーのアクセス時に信頼される追加の認証局が含まれる設定マップへの参照を含めることができます。

前提条件

  • 認証局 (CA) は PEM でエンコードされている必要があります。

手順

設定マップを openshift-config namespace に作成し、その名前を image.config.openshift.io カスタムリソースの AdditionalTrustedCA で使用し、追加の CA を指定することができます。

設定マップキーは、この CA が信頼されるポートを持つレジストリーのホスト名であり、PEM 証明書コンテンツが信頼する追加の各レジストリー CA についての値になります。

イメージレジストリー CA の設定マップの例

apiVersion: v1
kind: ConfigMap
metadata:
  name: my-registry-ca
data:
  registry.example.com: |
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
  registry-with-port.example.com..5000: |
1 

    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----

1
レジストリーにポートがある場合 (例: registry-with-port.example.com:5000)、:.. に置き換える必要があります。

以下の手順で追加の CA を設定することができます。

  1. 追加の CA を設定するには、以下を実行します。 

    $ oc create configmap registry-config --from-file=<external_registry_address>=ca.crt -n openshift-config
     
    $ oc edit image.config.openshift.io cluster
     
    spec:
  additionalTrustedCA:
    name: registry-config

2.6. イメージレジストリー Operator のストレージの認証情報の設定
リンクのコピー

configs.imageregistry.operator.openshift.io および ConfigMap リソースのほかにも、openshift-image-registry namespace 内の別のシークレットリソースによってストレージの認証情報の設定が Operator に提供されます。

image-registry-private-configuration-user シークレットは、ストレージのアクセスおよび管理に必要な認証情報を提供します。これは、デフォルト認証情報が見つからない場合に Operator によって使用されるデフォルト認証情報を上書きします。

手順

  • 必要なキーが含まれる OpenShift Container Platform シークレットを作成します。 

    $ oc create secret generic image-registry-private-configuration-user --from-literal=KEY1=value1 --from-literal=KEY2=value2 --namespace openshift-image-registry

第3章 レジストリーのセットアップおよび設定
リンクのコピー

3.1.1. イメージレジストリー Operator のシークレットの設定
リンクのコピー

configs.imageregistry.operator.openshift.io および ConfigMap リソースのほかにも、openshift-image-registry namespace 内の別のシークレットリソースによって設定が Operator に提供されます。

image-registry-private-configuration-user シークレットは、ストレージのアクセスおよび管理に必要な認証情報を提供します。これは、デフォルト認証情報が見つからない場合に Operator によって使用されるデフォルト認証情報を上書きします。

AWS ストレージの S3 の場合、シークレットには以下のキーが含まれることが予想されます。

  • REGISTRY_STORAGE_S3_ACCESSKEY
  • REGISTRY_STORAGE_S3_SECRETKEY

手順

  • 必要なキーが含まれる OpenShift Container Platform シークレットを作成します。 

    $ oc create secret generic image-registry-private-configuration-user --from-literal=REGISTRY_STORAGE_S3_ACCESSKEY=myaccesskey --from-literal=REGISTRY_STORAGE_S3_SECRETKEY=mysecretkey --namespace openshift-image-registry

インストール時に、Amazon S3 バケットを作成するにはクラウド認証情報を使用でき、レジストリー Operator がストレージを自動的に設定します。

レジストリー Operator が S3 バケットを作成できず、ストレージを自動的に設定する場合、以下の手順により S3 バケットを作成し、ストレージを設定することができます。

前提条件

  • ユーザーによってプロビジョニングされるインフラストラクチャーを使用した AWS 上にクラスターがある。

  • Amazon S3 ストレージの場合、シークレットには以下のキーが含まれることが予想されます。

    • REGISTRY_STORAGE_S3_ACCESSKEY
    • REGISTRY_STORAGE_S3_SECRETKEY

手順

レジストリー Operator が S3 バケットを作成できず、ストレージを自動的に設定する場合は、以下の手順を使用してください。

  1. バケットライフサイクルポリシー を設定し、1 日以上経過している未完了のマルチパートアップロードを中止します。

  2. configs.imageregistry.operator.openshift.io/cluster にストレージ設定を入力します。 

    $ oc edit configs.imageregistry.operator.openshift.io/cluster

    設定例

    storage:
  s3:
    bucket: <bucket-name>
    region: <region-name>

警告

AWS でレジストリーイメージのセキュリティーを保護するには、S3 バケットに対して パブリックアクセスのブロック を実行します。

3.1.3. AWS S3 のイメージレジストリー Operator 設定パラメーター
リンクのコピー

以下の設定パラメーターは AWS S3 レジストリーストレージで利用できます。

ImageRegistryConfigStorageS3 は、バックエンドストレージに AWS S3 サービスを使用するようにレジストリーを設定する情報を保持します。詳細は、S3 ストレージドライバーのドキュメント を参照してください。

Expand
パラメーター説明

bucket

バケットは、レジストリーのデータを保存するバケット名です。これはオプションであり、指定されていない場合は生成されます。

region

リージョンはバケットが存在する AWS リージョンです。これはオプションであり、インストール済みの AWS リージョンに基づいて設定されます。

regionEndpoint

RegionEndpoint は、S3 互換のストレージサービスのエンドポイントです。これは、指定されるリージョンに応じてオプションおよびデフォルトになります。

virtualHostedStyle

VirtualHosted は、カスタム RegionEndpoint で S3 仮想ホストスタイルのバケットパスの使用を有効にします。これはオプションであり、デフォルトは false です。

このパラメーターを設定して、OpenShift Container Platform を非表示のリージョンにデプロイします。

encrypt

encrypt は、イメージが暗号化された形式で保存されるかどうかを指定します。これはオプションであり、デフォルトは false です。

keyID

KeyID は、暗号化に使用する KMS キー ID です。これはオプションです。encrypt は true である必要があります。そうでない場合、このパラメーターは無視されます。

ImageRegistryConfigStorageS3CloudFront

CloudFront は Amazon Cloudfront をレジストリーでストレージミドルウェアとして設定します。これはオプションです。

注記

regionEndpoint パラメーターの値を Rados Gateway の URL に設定する場合、明示的なポートを指定してはなりません。以下に例を示します。 

regionEndpoint: http://rook-ceph-rgw-ocs-storagecluster-cephobjectstore.openshift-storage.svc.cluster.local

3.2.1. イメージレジストリー Operator のシークレットの設定
リンクのコピー

configs.imageregistry.operator.openshift.io および ConfigMap リソースのほかにも、openshift-image-registry namespace 内の別のシークレットリソースによって設定が Operator に提供されます。

image-registry-private-configuration-user シークレットは、ストレージのアクセスおよび管理に必要な認証情報を提供します。これは、デフォルト認証情報が見つからない場合に Operator によって使用されるデフォルト認証情報を上書きします。

GCP ストレージ上の GCS の場合、シークレットには、GCP が提供する認証情報ファイルの内容に相当するキーが含まれることが予想されます。

  • REGISTRY_STORAGE_GCS_KEYFILE

手順

  • 必要なキーが含まれる OpenShift Container Platform シークレットを作成します。 

    $ oc create secret generic image-registry-private-configuration-user --from-file=REGISTRY_STORAGE_GCS_KEYFILE=<path_to_keyfile> --namespace openshift-image-registry

ストレージメディアは手動で設定し、レジストリーのカスタムリソース (CR) で設定を行う必要があります。

前提条件

  • ユーザーによってプロビジョニングされるインフラストラクチャーのある GCP 上のクラスター。
  • GCP のレジストリーストレージを設定するには、レジストリー Operator クラウド認証情報を指定する必要があります。

  • GCP ストレージ上の GCS の場合、シークレットには、GCP が提供する認証情報ファイルの内容に相当するキーが含まれることが予想されます。

    • REGISTRY_STORAGE_GCS_KEYFILE

3.2.3. GCP GCS のイメージレジストリー Operator 設定パラメーター。
リンクのコピー

手順

以下の設定パラメーターは、GCP GCS レジストリーストレージに利用できます。

Expand
パラメーター説明

bucket

バケットは、レジストリーのデータを保存するバケット名です。これはオプションであり、指定されていない場合は生成されます。

region

リージョンは、バケットが存在する GCS の場所です。これはオプションであり、インストールされている GCS リージョンに基づいて設定されます。

projectID

ProjectID は、このバケットが関連付けられる必要がある GCP プロジェクトのプロジェクト ID です。これはオプションです。

keyID

KeyID は、暗号化に使用する KMS キー ID です。バケットは GCP でデフォルトで暗号化されているため、これはオプションになります。これにより、カスタム暗号化キーを使用できます。

独自の Red Hat Open Stack Platform (RHOSP) インフラストラクチャーで実行されるクラスターのレジストリーを設定できます。

3.3.1. Swift ストレージを信頼する Image Registry Operator の設定
リンクのコピー

Image Registry Operator を、Red Hat Open Stack Platform (RHOSP) Swift ストレージを信頼するように設定する必要があります。

手順

  • コマンドラインから次のコマンドを入力して、config.imageregistry オブジェクトの spec.disableRedirect フィールドの値を true に変更します。 

    $ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"disableRedirect":true}}'

3.3.2. イメージレジストリー Operator のシークレットの設定
リンクのコピー

configs.imageregistry.operator.openshift.io および ConfigMap リソースのほかにも、openshift-image-registry namespace 内の別のシークレットリソースによって設定が Operator に提供されます。

image-registry-private-configuration-user シークレットは、ストレージのアクセスおよび管理に必要な認証情報を提供します。これは、デフォルト認証情報が見つからない場合に Operator によって使用されるデフォルト認証情報を上書きします。

Red Hat Open Stack Platform (RHOSP) ストレージ上の Swift の場合、シークレットには次の 2 つのキーが含まれている必要があります。

  • REGISTRY_STORAGE_SWIFT_USER
  • REGISTRY_STORAGE_SWIFT_PASSWORD

手順

  • 必要なキーが含まれる OpenShift Container Platform シークレットを作成します。 

    $ oc create secret generic image-registry-private-configuration-user --from-literal=REGISTRY_STORAGE_SWIFT_USER=<username> --from-literal=REGISTRY_STORAGE_SWIFT_PASSWORD=<password> -n openshift-image-registry

ストレージメディアは手動で設定し、レジストリーのカスタムリソース (CR) で設定を行う必要があります。

前提条件

  • ユーザーがプロビジョニングしたインフラストラクチャーを備えた Red Hat Open Stack Platform (RHOSP) 上のクラスター。
  • RHOSP のレジストリーストレージを設定するには、レジストリー Operator クラウド認証情報を指定する必要があります。

  • RHOSP ストレージ上の Swift の場合、シークレットには次の 2 つのキーが含まれている必要があります。

    • REGISTRY_STORAGE_SWIFT_USER
    • REGISTRY_STORAGE_SWIFT_PASSWORD

3.3.4. RHOSP Swift のイメージレジストリー Operator 設定パラメーター
リンクのコピー

以下の設定パラメーターは Red Hat OpenStack Platform (RHOSP) Swift レジストリーストレージで利用できます。

Expand
パラメーター説明

authURL

認証トークンを取得するための URL を定義します。この値はオプションです。

authVersion

RHOSP の Auth バージョンを指定します (例: authVersion: "3")。この値はオプションです。

container

レジストリーデータを保存する Swift コンテナーの名前を定義します。この値はオプションです。

domain

Identity v3 API の RHOSP ドメイン名を指定します。この値はオプションです。

domainID

Identity v3 API の RHOSP ドメイン ID を指定します。この値はオプションです。

tenant

レジストリーで使用される RHOSP テナント名を定義します。この値はオプションです。

tenantID

レジストリーで使用される RHOSP テナント ID を定義します。この値はオプションです。

regionName

コンテナーが存在する RHOSP リージョンを定義します。この値はオプションです。

3.4.1. イメージレジストリー Operator のシークレットの設定
リンクのコピー

configs.imageregistry.operator.openshift.io および ConfigMap リソースのほかにも、openshift-image-registry namespace 内の別のシークレットリソースによって設定が Operator に提供されます。

image-registry-private-configuration-user シークレットは、ストレージのアクセスおよび管理に必要な認証情報を提供します。これは、デフォルト認証情報が見つからない場合に Operator によって使用されるデフォルト認証情報を上書きします。

Azure レジストリーストレージの場合、シークレットには、Azure が提供する認証情報ファイルの内容に相当する値を持つキーが含まれることが予想されます。

  • REGISTRY_STORAGE_AZURE_ACCOUNTKEY

手順

  • 必要なキーが含まれる OpenShift Container Platform シークレットを作成します。 

    $ oc create secret generic image-registry-private-configuration-user --from-literal=REGISTRY_STORAGE_AZURE_ACCOUNTKEY=<accountkey> --namespace openshift-image-registry

3.4.2. Azure の場合のレジストリーストレージの設定
リンクのコピー

インストール時に、Azure Blob Storage を作成するにはクラウド認証情報を使用でき、レジストリー Operator がストレージを自動的に設定します。

前提条件

  • ユーザーによってプロビジョニングされるインフラストラクチャーでの Azure 上のクラスター。
  • Azure のレジストリーストレージを設定するには、レジストリー Operator クラウド認証情報を指定する必要があります。

  • AWS ストレージの場合、シークレットには 1 つのキーが含まれることが予想されます。

    • REGISTRY_STORAGE_AZURE_ACCOUNTKEY

手順

  1. Azure ストレージコンテナー を作成します。

  2. configs.imageregistry.operator.openshift.io/cluster にストレージ設定を入力します。 

    $ oc edit configs.imageregistry.operator.openshift.io/cluster

    設定例

    storage:
  azure:
    accountName: <storage-account-name>
    container: <container-name>

3.4.3. Azure Government の場合のレジストリーストレージの設定
リンクのコピー

インストール時に、Azure Blob Storage を作成するにはクラウド認証情報を使用でき、レジストリー Operator がストレージを自動的に設定します。

前提条件

  • Government リージョンのユーザーによってプロビジョニングされるインフラストラクチャーでの Azure 上のクラスター。
  • Azure のレジストリーストレージを設定するには、レジストリー Operator クラウド認証情報を指定する必要があります。

  • AWS ストレージの場合、シークレットには 1 つのキーが含まれることが予想されます。

    • REGISTRY_STORAGE_AZURE_ACCOUNTKEY

手順

  1. Azure ストレージコンテナー を作成します。

  2. configs.imageregistry.operator.openshift.io/cluster にストレージ設定を入力します。 

    $ oc edit configs.imageregistry.operator.openshift.io/cluster

    設定例

    storage:
  azure:
    accountName: <storage-account-name>
    container: <container-name>
    cloudName: AzureUSGovernmentCloud
    1

    1
    cloudName は、適切な Azure API エンドポイントで Azure SDK を設定するために使用できる Azure クラウド環境の名前。デフォルトで AzurePublicCloud に設定されます。また、適切な認証情報を使用して cloudNameAzureUSGovernmentCloudAzureChinaCloud、または AzureGermanCloud に設定することもできます。

3.5. RHOSP のレジストリーの設定
リンクのコピー

Red Hat OpenStack Platform (RHOSP) にクラスターをインストールした後に、特定のアベイラビリティーゾーンにある Cinder ボリュームをレジストリーストレージとして使用できます。

手順

  1. YAML ファイルを作成して、使用するストレージクラスとアベイラビリティーゾーンを指定します。以下に例を示します。 

    apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: custom-csi-storageclass
provisioner: cinder.csi.openstack.org
volumeBindingMode: WaitForFirstConsumer
allowVolumeExpansion: true
parameters:
  availability: <availability_zone_name>
    注記

    OpenShift Container Platform では、選択したアベイラビリティーゾーンが存在するかどうかは確認されません。設定を適用する前に、アベイラビリティーゾーンの名前を確認してください。

  2. コマンドラインから設定を適用します。 

    $ oc apply -f <storage_class_file_name>

    出力例

    storageclass.storage.k8s.io/custom-csi-storageclass created

  3. ストレージクラスと openshift-image-registry namespace を使用する永続ボリュームクレーム (PVC) を指定する YAML ファイルを作成します。以下に例を示します。 

    apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: csi-pvc-imageregistry
  namespace: openshift-image-registry
    1 
    
  annotations:
    imageregistry.openshift.io: "true"
spec:
  accessModes:
  - ReadWriteOnce
  volumeMode: Filesystem
  resources:
    requests:
      storage: 100Gi
    2 
    
  storageClassName: <your_custom_storage_class>
    3
    1
    openshift-image-registry namespace を入力します。この namespace により、クラスターイメージレジストリーオペレーターは PVC を使用できます。
    2
    オプション: ボリュームサイズを調整します。
    3
    作成されるストレージクラスの名前を入力します。

  4. コマンドラインから設定を適用します。 

    $ oc apply -f <pvc_file_name>

    出力例

    persistentvolumeclaim/csi-pvc-imageregistry created

  5. イメージレジストリー設定の元の永続ボリューム要求は、新しい要求に置き換えます。 

    $ oc patch configs.imageregistry.operator.openshift.io/cluster --type 'json' -p='[{"op": "replace", "path": "/spec/storage/pvc/claim", "value": "csi-pvc-imageregistry"}]'

    出力例

    config.imageregistry.operator.openshift.io/cluster patched

    数分すると、設定が更新されます。

検証

レジストリーが定義したリソースを使用していることを確認するには、以下を実行します。

  1. PVC クレーム値が PVC 定義で指定した名前と同じであることを確認します。 

    $ oc get configs.imageregistry.operator.openshift.io/cluster -o yaml

    出力例

    ...
status:
    ...
    managementState: Managed
    pvc:
      claim: csi-pvc-imageregistry
...

  2. PVC のステータスが Bound であることを確認します。 

    $ oc get pvc -n openshift-image-registry csi-pvc-imageregistry

    出力例

    NAME                   STATUS   VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS             AGE
csi-pvc-imageregistry  Bound    pvc-72a8f9c9-f462-11e8-b6b6-fa163e18b7b5   100Gi      RWO            custom-csi-storageclass  11m

3.6. ベアメタルのレジストリーの設定
リンクのコピー

3.6.1. インストール時に削除されたイメージレジストリー
リンクのコピー

共有可能なオブジェクトストレージを提供しないプラットフォームでは、OpenShift イメージレジストリー Operator 自体が Removed としてブートストラップされます。これにより、openshift-installer がそれらのプラットフォームタイプでのインストールを完了できます。

インストール後に、イメージレジストリー Operator 設定を編集して managementStateRemoved から Managed に切り替える必要があります。

注記

Prometheus コンソールは、以下のような ImageRegistryRemoved アラートを提供します。

"Image Registry has been removed.ImageStreamTags, BuildConfigs and DeploymentConfigs which reference ImageStreamTags may not work as expected.Please configure storage and update the config to Managed state by editing configs.imageregistry.operator.openshift.io."

3.6.2. イメージレジストリーの管理状態の変更
リンクのコピー

イメージレジストリーを起動するには、イメージレジストリー Operator 設定の managementStateRemoved から Managed に変更する必要があります。

手順

  • ManagementState イメージレジストリー Operator 設定を Removed から Managed に変更します。以下に例を示します。 

    $ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"managementState":"Managed"}}'

3.6.3. イメージレジストリーストレージの設定
リンクのコピー

イメージレジストリー Operator は、デフォルトストレージを提供しないプラットフォームでは最初は利用できません。インストール後に、レジストリー Operator を使用できるようにレジストリーをストレージを使用するように設定する必要があります。

実稼働クラスターに必要な永続ボリュームの設定についての手順が示されます。該当する場合、空のディレクトリーをストレージの場所として設定する方法が表示されます。これは、実稼働以外のクラスターでのみ利用できます。

アップグレード時に Recreate ロールアウトストラテジーを使用して、イメージレジストリーがブロックストレージタイプを使用することを許可するための追加の手順が提供されます。

3.6.4. ベアメタルおよび他の手動インストールの場合のレジストリーストレージの設定
リンクのコピー

クラスター管理者は、インストール後にレジストリーをストレージを使用できるように設定する必要があります。

前提条件

  • cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。
  • ベアメタルなどの、手動でプロビジョニングされた Red Hat Enterprise Linux CoreOS (RHCOS) ノードを使用するクラスターがある。

  • Red Hat OpenShift Container Storage などのクラスターのプロビジョニングされた永続ストレージがある。

    重要

    OpenShift Container Platform は、1 つのレプリカのみが存在する場合にイメージレジストリーストレージの ReadWriteOnce アクセスをサポートします。ReadWriteOnce アクセスでは、レジストリーが Recreate ロールアウト戦略を使用する必要もあります。2 つ以上のレプリカで高可用性をサポートするイメージレジストリーをデプロイするには、ReadWriteMany アクセスが必要です。

  • 100 Gi の容量がある。

手順

  1. レジストリーをストレージを使用できるように設定するには、configs.imageregistry/cluster リソースの spec.storage.pvc を変更します。

    注記

    共有ストレージを使用する場合は、外部からアクセスを防ぐためにセキュリティー設定を確認します。

  2. レジストリー Pod がないことを確認します。 

    $ oc get pod -n openshift-image-registry -l docker-registry=default

    出力例

    No resourses found in openshift-image-registry namespace

    注記

    出力にレジストリー Pod がある場合は、この手順を続行する必要はありません。

  3. レジストリー設定を確認します。 

    $ oc edit configs.imageregistry.operator.openshift.io

    出力例

    storage:
  pvc:
    claim:

    claim フィールドを空のままにし、image-registry-storage PVC の自動作成を可能にします。

  4. clusteroperator ステータスを確認します。 

    $ oc get clusteroperator image-registry

    出力例

    NAME             VERSION             AVAILABLE   PROGRESSING   DEGRADED   SINCE   MESSAGE
image-registry   4.9                 True        False         False      6h50m

  5. イメージのビルドおよびプッシュを有効にするためにレジストリーが managed に設定されていることを確認します。

    • 以下を実行します。 

      $ oc edit configs.imageregistry/cluster

      次に、行を変更します。 

      managementState: Removed

      次のように変更してください。 

      managementState: Managed

3.6.5. 実稼働以外のクラスターでのイメージレジストリーのストレージの設定
リンクのコピー

イメージレジストリー Operator のストレージを設定する必要があります。実稼働用以外のクラスターの場合、イメージレジストリーは空のディレクトリーに設定することができます。これを実行する場合、レジストリーを再起動するとすべてのイメージが失われます。

手順

  • イメージレジストリーストレージを空のディレクトリーに設定するには、以下を実行します。 

    $ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"storage":{"emptyDir":{}}}}'
    警告

    実稼働用以外のクラスターにのみこのオプションを設定します。

    イメージレジストリー Operator がそのコンポーネントを初期化する前にこのコマンドを実行する場合、oc patch コマンドは以下のエラーを出して失敗します。 

    Error from server (NotFound): configs.imageregistry.operator.openshift.io "cluster" not found

    数分待機した後に、このコマンドを再び実行します。

3.6.6. ブロックレジストリーストレージの設定
リンクのコピー

イメージレジストリーがクラスター管理者によるアップグレード時にブロックストレージタイプを使用できるようにするには、Recreate ロールアウトストラテジーを使用できます。

重要

ブロックストレージボリュームはサポートされますが、実稼働クラスターでのイメージレジストリーと併用することは推奨されません。レジストリーに複数のレプリカを含めることができないため、ブロックストレージにレジストリーが設定されているインストールに高可用性はありません。

手順

  1. イメージレジストリーストレージをブロックストレージタイプとして設定するには、レジストリーが Recreate ロールアウトストラテジーを使用し、1 つの (1) レプリカのみで実行されるように、レジストリーにパッチを適用します。 

    $ oc patch config.imageregistry.operator.openshift.io/cluster --type=merge -p '{"spec":{"rolloutStrategy":"Recreate","replicas":1}}'
  2. ブロックストレージデバイスの PV をプロビジョニングし、そのボリュームの PVC を作成します。要求されたブロックボリュームは ReadWriteOnce (RWO) アクセスモードを使用します。
  3. 正しい PVC を参照するようにレジストリー設定を編集します。

3.7. vSphere のレジストリーの設定
リンクのコピー

3.7.1. インストール時に削除されたイメージレジストリー
リンクのコピー

共有可能なオブジェクトストレージを提供しないプラットフォームでは、OpenShift イメージレジストリー Operator 自体が Removed としてブートストラップされます。これにより、openshift-installer がそれらのプラットフォームタイプでのインストールを完了できます。

インストール後に、イメージレジストリー Operator 設定を編集して managementStateRemoved から Managed に切り替える必要があります。

注記

Prometheus コンソールは、以下のような ImageRegistryRemoved アラートを提供します。

"Image Registry has been removed.ImageStreamTags, BuildConfigs and DeploymentConfigs which reference ImageStreamTags may not work as expected.Please configure storage and update the config to Managed state by editing configs.imageregistry.operator.openshift.io."

3.7.2. イメージレジストリーの管理状態の変更
リンクのコピー

イメージレジストリーを起動するには、イメージレジストリー Operator 設定の managementStateRemoved から Managed に変更する必要があります。

手順

  • ManagementState イメージレジストリー Operator 設定を Removed から Managed に変更します。以下に例を示します。 

    $ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"managementState":"Managed"}}'
3.7.2.1. イメージレジストリーストレージの設定
リンクのコピー

イメージレジストリー Operator は、デフォルトストレージを提供しないプラットフォームでは最初は利用できません。インストール後に、レジストリー Operator を使用できるようにレジストリーをストレージを使用するように設定する必要があります。

実稼働クラスターに必要な永続ボリュームの設定についての手順が示されます。該当する場合、空のディレクトリーをストレージの場所として設定する方法が表示されます。これは、実稼働以外のクラスターでのみ利用できます。

アップグレード時に Recreate ロールアウトストラテジーを使用して、イメージレジストリーがブロックストレージタイプを使用することを許可するための追加の手順が提供されます。

3.7.3. VMware vSphere のレジストリーストレージの設定
リンクのコピー

クラスター管理者は、インストール後にレジストリーをストレージを使用できるように設定する必要があります。

前提条件

  • クラスター管理者のパーミッション。
  • VMware vSphere 上のクラスター。

  • Red Hat OpenShift Container Storage などのクラスターのプロビジョニングされた永続ストレージ。

    重要

    OpenShift Container Platform は、1 つのレプリカのみが存在する場合にイメージレジストリーストレージの ReadWriteOnce アクセスをサポートします。ReadWriteOnce アクセスでは、レジストリーが Recreate ロールアウト戦略を使用する必要もあります。2 つ以上のレプリカで高可用性をサポートするイメージレジストリーをデプロイするには、ReadWriteMany アクセスが必要です。

  • 100Gi の容量が必要です。
重要

テストにより、NFS サーバーを RHEL でコアサービスのストレージバックエンドとして使用することに関する問題が検出されています。これには、OpenShift Container レジストリーおよび Quay、メトリクスストレージの Prometheus、およびロギングストレージの Elasticsearch が含まれます。そのため、コアサービスで使用される PV をサポートするために RHEL NFS を使用することは推奨されていません。

他の NFS の実装ではこれらの問題が検出されない可能性があります。OpenShift Container Platform コアコンポーネントに対して実施された可能性のあるテストに関する詳細情報は、個別の NFS 実装ベンダーにお問い合わせください。

手順

  1. レジストリーをストレージを使用できるように設定するには、configs.imageregistry/cluster リソースの spec.storage.pvc を変更します。

    注記

    共有ストレージを使用する場合は、外部からアクセスを防ぐためにセキュリティー設定を確認します。

  2. レジストリー Pod がないことを確認します。 

    $ oc get pod -n openshift-image-registry -l docker-registry=default

    出力例

    No resourses found in openshift-image-registry namespace

    注記

    出力にレジストリー Pod がある場合は、この手順を続行する必要はありません。

  3. レジストリー設定を確認します。 

    $ oc edit configs.imageregistry.operator.openshift.io

    出力例

    storage:
  pvc:
    claim:
    1

    1
    image-registry-storage 永続ボリューム要求 (PVC) の自動作成を許可するには、claim フィールドを空白のままにします。PVC は、デフォルトのストレージクラスに基づいて生成されます。ただし、デフォルトのストレージクラスは、RADOS ブロックデバイス (RBD) などの ReadWriteOnce (RWO) ボリュームを提供する可能性があることに注意してください。これは、複数のレプリカに複製するときに問題を引き起こす可能性があります。

  4. clusteroperator ステータスを確認します。 

    $ oc get clusteroperator image-registry

    出力例

    NAME             VERSION                              AVAILABLE   PROGRESSING   DEGRADED   SINCE   MESSAGE
image-registry   4.7                                  True        False         False      6h50m

3.7.4. 実稼働以外のクラスターでのイメージレジストリーのストレージの設定
リンクのコピー

イメージレジストリー Operator のストレージを設定する必要があります。実稼働用以外のクラスターの場合、イメージレジストリーは空のディレクトリーに設定することができます。これを実行する場合、レジストリーを再起動するとすべてのイメージが失われます。

手順

  • イメージレジストリーストレージを空のディレクトリーに設定するには、以下を実行します。 

    $ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"storage":{"emptyDir":{}}}}'
    警告

    実稼働用以外のクラスターにのみこのオプションを設定します。

    イメージレジストリー Operator がそのコンポーネントを初期化する前にこのコマンドを実行する場合、oc patch コマンドは以下のエラーを出して失敗します。 

    Error from server (NotFound): configs.imageregistry.operator.openshift.io "cluster" not found

    数分待機した後に、このコマンドを再び実行します。

3.7.5. VMware vSphere のブロックレジストリーストレージの設定
リンクのコピー

イメージレジストリーがクラスター管理者によるアップグレード時に vSphere Virtual Machine Disk (VMDK) などのブロックストレージタイプを使用できるようにするには、Recreate ロールアウトストラテジーを使用できます。

重要

ブロックストレージボリュームはサポートされますが、実稼働クラスターでのイメージレジストリーと併用することは推奨されません。レジストリーに複数のレプリカを含めることができないため、ブロックストレージにレジストリーが設定されているインストールに高可用性はありません。

手順

  1. イメージレジストリーストレージをブロックストレージタイプとして設定するには、レジストリーが Recreate ロールアウトストラテジーを使用し、1 レプリカのみで実行されるように、レジストリーにパッチを適用します。 

    $ oc patch config.imageregistry.operator.openshift.io/cluster --type=merge -p '{"spec":{"rolloutStrategy":"Recreate","replicas":1}}'

  2. ブロックストレージデバイスの PV をプロビジョニングし、そのボリュームの PVC を作成します。要求されたブロックボリュームは ReadWriteOnce (RWO) アクセスモードを使用します。

    1. 以下の内容で pvc.yaml ファイルを作成して VMware vSphere PersistentVolumeClaim オブジェクトを定義します。 

      kind: PersistentVolumeClaim
apiVersion: v1
metadata:
  name: image-registry-storage
      1 
      
  namespace: openshift-image-registry
      2 
      
spec:
  accessModes:
  - ReadWriteOnce
      3 
      
  resources:
    requests:
      storage: 100Gi
      4
      1
      PersistentVolumeClaim オブジェクトを表す一意の名前。
      2
      PersistentVolumeClaim オブジェクトの namespace (openshift-image-registry)。
      3
      永続ボリューム要求 (PVC) のアクセスモード。ReadWriteOnce では、ボリュームは単一ノードによって読み取り/書き込みパーミッションでマウントできます。
      4
      永続ボリューム要求 (PVC) のサイズ。

    2. ファイルから PersistentVolumeClaim オブジェクトを作成します。 

      $ oc create -f pvc.yaml -n openshift-image-registry

  3. 正しい PVC を参照するようにレジストリー設定を編集します。 

    $ oc edit config.imageregistry.operator.openshift.io -o yaml

    出力例

    storage:
  pvc:
    claim:
    1

    1
    カスタム PVC を作成すると、image-registry-storage PVC のデフォルトの自動作成の claim フィールドを空のままにすることができます。

正しい PVC を参照するようにレジストリーストレージを設定する方法については、vSphere のレジストリーの設定 を参照してください。

第4章 レジストリーへのアクセス
リンクのコピー

ログおよびメトリクスの表示やレジストリーのセキュリティー保護および公開などの、レジストリーへのアクセスについての各種の方法について、以下のセクションを参照してください。

レジストリーに直接アクセスし、podman コマンドを起動することが可能です。これにより、podman pushpodman pull などの操作で統合レジストリーへ/からイメージを直接プッシュまたはプルすることができます。これを実行するには、podman login コマンドを使ってレジストリーにログインしている必要があります。実行できる操作は、以下のセクションで説明されているようにユーザーが持つパーミッションによって異なります。

4.1. 前提条件
リンクのコピー

  • アイデンティティープロバイダー (IDP) を設定しておく必要があります。

  • podman pull コマンドを使用する場合などにイメージをプルするには、ユーザーに registry-viewer ロールがなければなりません。このロールを追加するには、以下のコマンドを実行します。 

    $ oc policy add-role-to-user registry-viewer <user_name>

  • イメージの書き出しやプッシュを実行するには (podman push コマンドを使用する場合など)、以下が必要です。

    • ユーザーには、registry-editor ロールを指定する。このロールを追加するには、以下のコマンドを実行します。 

      $ oc policy add-role-to-user registry-editor <user_name>
    • クラスターに、イメージをプッシュできる既存のプロジェクトを用意する。

4.2. クラスターからレジストリーへの直接アクセス
リンクのコピー

クラスター内からレジストリーにアクセスすることができます。

手順

内部ルートを使用して、クラスターからレジストリーにアクセスします。

  1. ノードの名前を取得してノードにアクセスします。 

    $ oc get nodes
     
    $ oc debug nodes/<node_name>

  2. ノードで ocpodman などのツールへのアクセスを有効にするには、ルートディレクトリーを /host に変更します。 

    sh-4.2# chroot /host

  3. アクセストークンを使用してコンテナーイメージレジストリーにログインします。 

    sh-4.2# oc login -u kubeadmin -p <password_from_install_log> https://api-int.<cluster_name>.<base_domain>:6443
     
    sh-4.2# podman login -u kubeadmin -p $(oc whoami -t) image-registry.openshift-image-registry.svc:5000

    以下のようなログインを確認するメッセージが表示されるはずです。 

    Login Succeeded!
    注記

    ユーザー名には任意の値を指定でき、トークンには必要な情報がすべて含まれます。コロンが含まれるユーザー名を指定すると、ログインに失敗します。

    イメージレジストリー Operator はルートを作成するため、 default-route-openshift-image-registry.<cluster_name> のようになります。

  4. レジストリーに対して podman pull および podman push 操作を実行します。

    重要

    任意のイメージをプルできますが、system:registry ロールを追加している場合は、各自のプロジェクトにあるレジストリーにのみイメージをプッシュすることができます。

    次の例では、以下を使用します。

    Expand
    コンポーネント

    <registry_ip>

    172.30.124.220

    <port>

    5000

    <project>

    openshift

    <image>

    image

    <tag>

    省略 (デフォルトは latest)

    1. 任意のイメージをプルします。 

      sh-4.2# podman pull <name.io>/<image>

    2. 新規イメージに <registry_ip>:<port>/<project>/<image> 形式でタグ付けします。プロジェクト名は、イメージを正しくレジストリーに配置し、これに後でアクセスできるようにするために OpenShift Container Platform のプル仕様に表示される必要があります。 

      sh-4.2# podman tag <name.io>/<image> image-registry.openshift-image-registry.svc:5000/openshift/<image>
      注記

      指定されたプロジェクトについて system:image-builder ロールを持っている必要があります。このロールにより、ユーザーはイメージの書き出しやプッシュを実行できます。そうでない場合は、次の手順の podman push は失敗します。これをテストするには、新規プロジェクトを作成し、イメージをプッシュできます。

    3. 新しくタグ付けされたイメージをレジストリーにプッシュします。 

      sh-4.2# podman push image-registry.openshift-image-registry.svc:5000/openshift/<image>

4.3. レジストリー Pod のステータスの確認
リンクのコピー

クラスター管理者は、openshift-image-registry プロジェクトで実行されているイメージレジストリー Pod を一覧表示し、それらのステータスを確認できます。

前提条件

  • cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。

手順

  1. openshift-image-registry プロジェクトの Pod を一覧表示し、それらのステータスを表示します。 

    $ oc get pods -n openshift-image-registry

    出力例

    NAME READY STATUS RESTARTS AGE
cluster-image-registry-operator-764bd7f846-qqtpb 1/1 Running 0 78m
image-registry-79fb4469f6-llrln 1/1 Running 0 77m
node-ca-hjksc 1/1 Running 0 73m
node-ca-tftj6 1/1 Running 0 77m
node-ca-wb6ht 1/1 Running 0 77m
node-ca-zvt9q 1/1 Running 0 74m

4.4. レジストリーログの表示
リンクのコピー

oc logs コマンドを使用してレジストリーのログを表示することができます。

手順

  1. デプロイメントで oc logs コマンドを使用して、コンテナーイメージレジストリーのログを表示します。 

    $ oc logs deployments/image-registry -n openshift-image-registry

    出力例

    2015-05-01T19:48:36.300593110Z time="2015-05-01T19:48:36Z" level=info msg="version=v2.0.0+unknown"
2015-05-01T19:48:36.303294724Z time="2015-05-01T19:48:36Z" level=info msg="redis not configured" instance.id=9ed6c43d-23ee-453f-9a4b-031fea646002
2015-05-01T19:48:36.303422845Z time="2015-05-01T19:48:36Z" level=info msg="using inmemory layerinfo cache" instance.id=9ed6c43d-23ee-453f-9a4b-031fea646002
2015-05-01T19:48:36.303433991Z time="2015-05-01T19:48:36Z" level=info msg="Using OpenShift Auth handler"
2015-05-01T19:48:36.303439084Z time="2015-05-01T19:48:36Z" level=info msg="listening on :5000" instance.id=9ed6c43d-23ee-453f-9a4b-031fea646002

4.5. レジストリーメトリクスへのアクセス
リンクのコピー

OpenShift Container レジストリーは、Prometheus メトリクス のエンドポイントを提供します。Prometheus はスタンドアロンのオープンソースのシステムモニターリングおよびアラートツールキットです。

メトリクスは、レジストリーエンドポイントの /extensions/v2/metrics パスに公開されます。

手順

クラスターロールを使用して、メトリッククエリーを実行すると、メトリックにアクセスできます。

クラスターロール

  1. メトリクスにアクセスするために必要なクラスターロールがない場合、これを作成します。 

    $ cat <<EOF | oc create -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: prometheus-scraper
rules:
- apiGroups:
  - image.openshift.io
  resources:
  - registry/metrics
  verbs:
  - get
EOF

  2. このロールをユーザーに追加し、以下のコマンドを実行します。 

    $ oc adm policy add-cluster-role-to-user prometheus-scraper <username>

メトリクスクエリー

  1. ユーザートークンを取得します。 

    openshift:
$ oc whoami -t

  2. ノードまたは Pod 内でメトリッククエリーを実行します。次に例を示します。 

    $ curl --insecure -s -u <user>:<secret> \
    1 
    
    https://image-registry.openshift-image-registry.svc:5000/extensions/v2/metrics | grep imageregistry | head -n 20

    出力例

    # HELP imageregistry_build_info A metric with a constant '1' value labeled by major, minor, git commit & git version from which the image registry was built.
# TYPE imageregistry_build_info gauge
imageregistry_build_info{gitCommit="9f72191",gitVersion="v3.11.0+9f72191-135-dirty",major="3",minor="11+"} 1
# HELP imageregistry_digest_cache_requests_total Total number of requests without scope to the digest cache.
# TYPE imageregistry_digest_cache_requests_total counter
imageregistry_digest_cache_requests_total{type="Hit"} 5
imageregistry_digest_cache_requests_total{type="Miss"} 24
# HELP imageregistry_digest_cache_scoped_requests_total Total number of scoped requests to the digest cache.
# TYPE imageregistry_digest_cache_scoped_requests_total counter
imageregistry_digest_cache_scoped_requests_total{type="Hit"} 33
imageregistry_digest_cache_scoped_requests_total{type="Miss"} 44
# HELP imageregistry_http_in_flight_requests A gauge of requests currently being served by the registry.
# TYPE imageregistry_http_in_flight_requests gauge
imageregistry_http_in_flight_requests 1
# HELP imageregistry_http_request_duration_seconds A histogram of latencies for requests to the registry.
# TYPE imageregistry_http_request_duration_seconds summary
imageregistry_http_request_duration_seconds{method="get",quantile="0.5"} 0.01296087
imageregistry_http_request_duration_seconds{method="get",quantile="0.9"} 0.014847248
imageregistry_http_request_duration_seconds{method="get",quantile="0.99"} 0.015981195
imageregistry_http_request_duration_seconds_sum{method="get"} 12.260727916000022

    1
    <user> オブジェクトは任意ですが、<secret> タグではユーザートークンを使用する必要があります。

第5章 レジストリーの公開
リンクのコピー

デフォルトで、OpenShift Container Platform レジストリーのセキュリティーは、TLS 経由でトラフィックを送信できるようにクラスターのインストール時に保護されます。以前のバージョンの OpenShift Container Platform とは異なり、レジストリーはインストール時にクラスター外に公開されません。

5.1. デフォルトレジストリーの手動での公開
リンクのコピー

クラスター内からデフォルトの OpenShift Container Platform レジストリーにログインするのではなく、外部からレジストリーにアクセスできるように、このレジストリーをルートに公開します。この外部アクセスにより、ルートアドレスを使用してクラスターの外部からレジストリーにログインし、ルートホストを使用してイメージにタグを付けて既存のプロジェクトにプッシュすることができます。

前提条件:

  • 以下の前提条件は自動的に実行されます。

    • レジストリー Operator のデプロイ。
    • Ingress Operator のデプロイ。

手順

configs.imageregistry.operator.openshift.io リソースで defaultRoute パラメーターを使用してルートを公開することができます。

defaultRoute を使用してレジストリーを公開するには、以下を実行します。

  1. defaultRoutetrue に設定します。 

    $ oc patch configs.imageregistry.operator.openshift.io/cluster --patch '{"spec":{"defaultRoute":true}}' --type=merge

  2. デフォルトのレジストリールートを取得します。 

    $ HOST=$(oc get route default-route -n openshift-image-registry --template='{{ .spec.host }}')

  3. Ingress Operator の証明書を取得します。 

    $ oc get secret -n openshift-ingress  router-certs-default -o go-template='{{index .data "tls.crt"}}' | base64 -d | sudo tee /etc/pki/ca-trust/source/anchors/${HOST}.crt  > /dev/null

  4. 以下のコマンドを使用して、クラスターのデフォルト証明書がルートを信頼するようにします。 

    $ sudo update-ca-trust enable

  5. デフォルトのルートを使用して podman にログインします。 

    $ sudo podman login -u kubeadmin -p $(oc whoami -t) $HOST

5.2. セキュアなレジストリーの手動による公開
リンクのコピー

クラスター内から OpenShift Container Platform レジストリーにログインするのではなく、外部からレジストリーにアクセスできるように、このレジストリーをルートに公開します。これにより、ルートアドレスを使用してクラスターの外部からレジストリーにログインし、ルートホストを使用してイメージにタグを付けて既存のプロジェクトにプッシュすることができます。

前提条件:

  • 以下の前提条件は自動的に実行されます。

    • レジストリー Operator のデプロイ。
    • Ingress Operator のデプロイ。

手順

configs.imageregistry.operator.openshift.io リソースで DefaultRoute パラメーターを使用するか、またはカスタムルートを使用してルートを公開することができます。

DefaultRoute を使用してレジストリーを公開するには、以下を実行します。

  1. DefaultRouteTrue に設定します。 

    $ oc patch configs.imageregistry.operator.openshift.io/cluster --patch '{"spec":{"defaultRoute":true}}' --type=merge

  2. podman でログインします。 

    $ HOST=$(oc get route default-route -n openshift-image-registry --template='{{ .spec.host }}')
     
    $ podman login -u kubeadmin -p $(oc whoami -t) --tls-verify=false $HOST
    1
    1
    --tls-verify=false は、ルートのクラスターのデフォルト証明書が信頼されない場合に必要になります。Ingress Operator で、信頼されるカスタム証明書をデフォルト証明書として設定できます。

カスタムルートを使用してレジストリーを公開するには、以下を実行します。

  1. ルートの TLS キーでシークレットを作成します。 

    $ oc create secret tls public-route-tls \
    -n openshift-image-registry \
    --cert=</path/to/tls.crt> \
    --key=</path/to/tls.key>

    この手順はオプションです。シークレットを作成しない場合、ルートは Ingress Operator からデフォルトの TLS 設定を使用します。

  2. レジストリー Operator では、以下のようになります。 

    spec:
  routes:
    - name: public-routes
      hostname: myregistry.mycorp.organization
      secretName: public-route-tls
...
    注記

    レジストリーのルートのカスタム TLS 設定を指定している場合は secretName のみを設定します。

Legal Notice
リンクのコピー

Copyright © Red Hat

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of the OpenJS Foundation.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る