4.8. カスタムカタログの管理

PDF

以下では、OpenShift Container Platform で Operator Lifecycle Manager (OLM) の Bundle Format またはレガシー Package Manifest Format のいずれかを使用してパッケージ化された Operator のカスタムパッケージを使用する方法について説明します。

関連情報

Red Hat が提供する Operator カタログ

4.8.1. Bundle Format を使用したカスタムカタログ

4.8.1.1. 前提条件

opm CLI をインストールします。

4.8.1.2. インデックスイメージの作成

opm CLI を使用してインデックスイメージを作成できます。

前提条件

opm version 1.12.3+
podman version 1.9.3+
Docker v2-2 をサポートするレジストリーにビルドされ、プッシュされるバンドルイメージ。
重要
OpenShift Container Platform クラスターの内部レジストリーはターゲットレジストリーとして使用できません。これは、ミラーリングプロセスで必要となるタグを使わないプッシュをサポートしないためです。

手順

新しいインデックスを開始します。
```
$ opm index add \
    --bundles <registry>/<namespace>/<bundle_image_name>:<tag> \1
    --tag <registry>/<namespace>/<index_image_name>:<tag> \2
    [--binary-image <registry_base_image>] 3
```
1
インデックスに追加するバンドルイメージのコンマ区切りの一覧。
2
インデックスイメージで使用するイメージタグ。
3
オプション: カタログを提供するために使用する代替レジストリーベースイメージ。
インデックスイメージをレジストリーにプッシュします。
1. 必要な場合は、ターゲットレジストリーで認証します。
```
$ podman login <registry>
```
2. インデックスイメージをプッシュします。
```
$ podman push <registry>/<namespace>/test-catalog:latest
```

4.8.1.3. インデックスイメージからのカタログの作成

インデックスイメージから Operator カタログを作成し、これを Operator Lifecycle Manager (OLM) で使用するために OpenShift Container Platform クラスターに適用できます。

前提条件

レジストリーにビルドされ、プッシュされるインデックスイメージ。

手順

インデックスイメージを参照する CatalogSource オブジェクトを作成します。
1. 仕様を以下のように変更し、これを catalogSource.yaml ファイルとして保存します。
```
apiVersion: operators.coreos.com/v1alpha1
kind: CatalogSource
metadata:
  name: my-operator-catalog
  namespace: openshift-marketplace 1
spec:
  sourceType: grpc
  image: <registry>:<port>/<namespace>/redhat-operator-index:v4.7 2
  displayName: My Operator Catalog
  publisher: <publisher_name> 3
  updateStrategy:
    registryPoll: 4
      interval: 30m
```
  1
  カタログソースを全 namespace のユーザーがグローバルに利用できるようにする場合は、openshift-marketplace namespace を指定します。それ以外の場合は、そのカタログの別の namespace を対象とし、その namespace のみが利用できるように指定できます。
  2
  インデックスイメージを指定します。
  3
  カタログを公開する名前または組織名を指定します。
  4
  カタログソースは新規バージョンの有無を自動的にチェックし、最新の状態を維持します。
2. このファイルを使用して CatalogSource オブジェクトを作成します。
```
$ oc apply -f catalogSource.yaml
```

以下のリソースが正常に作成されていることを確認します。

Pod を確認します。

$ oc get pods -n openshift-marketplace

出力例

NAME                                    READY   STATUS    RESTARTS  AGE
my-operator-catalog-6njx6               1/1     Running   0         28s
marketplace-operator-d9f549946-96sgr    1/1     Running   0         26h

カタログソースを確認します。

$ oc get catalogsource -n openshift-marketplace

出力例

NAME                  DISPLAY               TYPE PUBLISHER  AGE
my-operator-catalog   My Operator Catalog   grpc            5s

パッケージマニフェストを確認します。

$ oc get packagemanifest -n openshift-marketplace

出力例

NAME                          CATALOG               AGE
jaeger-product                My Operator Catalog   93s

OpenShift Container Platform Web コンソールで、OperatorHub ページから Operator をインストールできるようになりました。

関連情報

インデックスイメージがプライベートレジストリーでホストされ、認証が必要な場合は、プライベートレジストリーからの Operator のイメージへのアクセスを参照してください。

4.8.1.4. インデックスイメージの更新

カスタムインデックスイメージを参照するカタログソースを使用するように OperatorHub を設定した後に、クラスター管理者はバンドルイメージをインデックスイメージに追加して、クラスターで利用可能な Operator を最新の状態に維持することができます。

opm index add コマンドを使用して既存インデックスイメージを更新できます。

前提条件

opm version 1.12.3+
podman version 1.9.3+
レジストリーにビルドされ、プッシュされるインデックスイメージ。
インデックスイメージを参照する既存のカタログソース。

手順

バンドルイメージを追加して、既存のインデックスを更新します。
```
$ opm index add \
    --bundles <registry>/<namespace>/<new_bundle_image>@sha256:<digest> \1
    --from-index <registry>/<namespace>/<existing_index_image>:<existing_tag> \2
    --tag <registry>/<namespace>/<existing_index_image>:<updated_tag> \3
    --pull-tool podman 4
```
1
--bundlesフラグは、インデックスに追加する他のバンドルイメージのコンマ区切りリストを指定します。
2
--from-indexフラグは、以前にプッシュされたインデックスを指定します。
3
--tagフラグは、更新されたインデックスイメージに適用するイメージタグを指定します。
4
--pull-toolフラグは、コンテナーイメージのプルに使用されるツールを指定します。
ここでは、以下のようになります。
<registry>
quay.ioやmirror.example.comなどのレジストリーのホスト名を指定します。
<namespace>
ocs-devやabcなど、レジストリーの namespace を指定します。
<new_bundle_image>
ocs-operatorなど、レジストリーに追加する新しいバンドルイメージを指定します。
<digest>
c7f11097a628f092d8bad148406aa0e0951094a03445fd4bc0775431ef683a41などのバンドルイメージの SHA イメージ ID またはダイジェストを指定します。
<existing_index_image>
abc-redhat-operator-indexなど、以前にプッシュされたイメージを指定します。
<existing_tag>
4.7 など、以前にプッシュされたイメージタグを指定します。
<updated_tag>
4.7.1 など、更新されたインデックスイメージに適用するイメージタグを指定します。
コマンドの例
```
$ opm index add \
    --bundles quay.io/ocs-dev/ocs-operator@sha256:c7f11097a628f092d8bad148406aa0e0951094a03445fd4bc0775431ef683a41 \
    --from-index mirror.example.com/abc/abc-redhat-operator-index:4.7 \
    --tag mirror.example.com/abc/abc-redhat-operator-index:4.7.1 \
    --pull-tool podman
```

更新されたインデックスイメージをプッシュします。

$ podman push <registry>/<namespace>/<existing_index_image>:<updated_tag>

Operator Lifecycle Manager (OLM) がカタログソースで参照されるインデックスイメージを一定間隔で自動的にポーリングした後に、新規パッケージが正常に追加されたことを確認します。
```
$ oc get packagemanifests -n openshift-marketplace
```

4.8.1.5. インデックスイメージのプルーニング

Operator Bundle Format に基づくインデックスイメージは、Operator カタログのコンテナー化されたスナップショットです。パッケージの指定された一覧以外のすべてのインデックスをプルーニングできます。これにより、必要な Operator のみが含まれるソースインデックスのコピーを作成できます。

前提条件

podman version 1.9.3+
grpcurl(サードパーティーのコマンドラインツール)
opm バージョン 1.18.0+
Docker v2-2 をサポートするレジストリーへのアクセス
重要
OpenShift Container Platform クラスターの内部レジストリーはターゲットレジストリーとして使用できません。これは、ミラーリングプロセスで必要となるタグを使わないプッシュをサポートしないためです。

手順

4.8.2. Package Manifest Format を使用したカスタムカタログ

4.8.2.1. Package Manifest Format カタログイメージのビルド

クラスター管理者は、Operator Lifecycle Manager (OLM) によって使用される Package Manifest Format に基づいてカスタム Operator カタログイメージをビルドできます。カタログイメージは、Docker v2-2 をサポートするコンテナーイメージレジストリーにプッシュできます。ネットワークが制限された環境のクラスターの場合、このレジストリーには、ネットワークが制限されたクラスターのインストール時に作成されたミラーレジストリーなど、クラスターにネットワークアクセスのあるレジストリーを使用できます。

重要

OpenShift Container Platform クラスターの内部レジストリーはターゲットレジストリーとして使用できません。これは、ミラーリングプロセスで必要となるタグを使わないプッシュをサポートしないためです。

以下の例では、お使いのネットワークとインターネットの両方にアクセスできるミラーレジストリーを使用することを前提としています。

注記

Windows および macOS のバージョンは oc adm catalog build コマンドを提供しないため、この手順では oc クライアントの Linux バージョンのみを使用できます。

前提条件

ネットワークアクセスが無制限のワークステーション
oc バージョン 4.3.5+ Linux クライアント
podman version 1.9.3+
Docker v2-2 をサポートするミラーレジストリーへのアクセス
プライベートレジストリーを使用している場合、後続の手順で使用するために REG_CREDS 環境変数をレジストリー認証情報のファイルパスに設定します。たとえば podman CLI の場合は、以下のようになります。
```
$ REG_CREDS=${XDG_RUNTIME_DIR}/containers/auth.json
```
quay.io アカウントがアクセスできるプライベート namespace を使用している場合、Quay 認証トークンを設定する必要があります。quay.io 認証情報を使用してログイン API に対して要求を行うことにより、--auth-token フラグで使用できる AUTH_TOKEN 環境変数を設定します。
```
$ AUTH_TOKEN=$(curl -sH "Content-Type: application/json" \
    -XPOST https://quay.io/cnr/api/v1/users/login -d '
    {
        "user": {
            "username": "'"<quay_username>"'",
            "password": "'"<quay_password>"'"
        }
    }' | jq -r '.token')
```

手順

関連情報

非接続インストールのイメージのミラーリング

4.8.2.2. Package Manifest Format カタログイメージのミラーリング

クラスター管理者は Package Manifest Format に基づいてカスタム Operator カタログイメージをレジストリーにミラーリングし、カタログソースを使用してコンテンツをクラスターに読み込むことができます。この例では、以前にビルドされ、サポートされているレジストリーにプッシュされたカスタム redhat-operators カタログイメージを使用します。

前提条件

ネットワークアクセスが無制限のワークステーション
サポートされているレジストリーにプッシュされる Package Manifest Format に基づくカスタム Operator カタログイメージ
oc version 4.3.5+
podman version 1.9.3+
Docker v2-2 をサポートするミラーレジストリーへのアクセス
重要
OpenShift Container Platform クラスターの内部レジストリーはターゲットレジストリーとして使用できません。これは、ミラーリングプロセスで必要となるタグを使わないプッシュをサポートしないためです。
プライベートレジストリーを使用している場合、後続の手順で使用するために REG_CREDS 環境変数をレジストリー認証情報のファイルパスに設定します。たとえば podman CLI の場合は、以下のようになります。
```
$ REG_CREDS=${XDG_RUNTIME_DIR}/containers/auth.json
```

手順

oc adm catalog mirror コマンドは、カスタム Operator カタログイメージのコンテンツを抽出し、ミラーリングに必要なマニフェストを生成します。以下のいずれかを選択できます。
- コマンドのデフォルト動作で、マニフェストの生成後にすべてのイメージコンテンツをミラーレジストリーに自動的にミラーリングできるようにします。または、
- --manifests-only フラグを追加して、ミラーリングに必要なマニフェストのみを生成しますが、これにより、イメージコンテンツがレジストリーに自動的にミラーリングされる訳ではありません。これは、ミラーリングする内容を確認するのに役立ちます。また、コンテンツのサブセットのみが必要な場合に、マッピングの一覧に変更を加えることができます。次に、そのファイルを oc image mirror コマンドで使用し、後のステップでイメージの変更済みの一覧をミラーリングできます。
ネットワークアクセスが無制限のワークステーションで、以下のコマンドを実行します。
```
$ oc adm catalog mirror \
    <registry_host_name>:<port>/olm/redhat-operators:v1 \ 1
    <registry_host_name>:<port> \ 2
    [-a ${REG_CREDS}] \ 3
    [--insecure] \ 4
    [--index-filter-by-os='<platform>/<arch>'] \ 5
    [--manifests-only] 6
```
1
Operator カタログイメージを指定します。
2
ターゲットレジストリーの完全修飾ドメイン名 (FQDN) を指定します。
3
オプション: 必要な場合は、レジストリー認証情報ファイルの場所を指定します。
4
オプション: ターゲットレジストリーの信頼を設定しない場合は、--insecure フラグを追加します。
5
オプション: 複数のバリアントが利用可能な場合に、選択するカタログイメージのプラットフォームおよびアーキテクチャーを指定します。イメージは '<platform>/<arch>[/<variant>]' として渡されます。これは、カタログイメージで参照されるイメージには適用されません。使用できる値は、linux/amd64、linux/ppc64le、および linux/s390x です。
6
オプション: ミラーリングに必要なマニフェストのみを生成し、実際にはイメージコンテンツをレジストリーにミラーリングしません。
出力例
```
using database path mapping: /:/tmp/190214037
wrote database to /tmp/190214037
using database at: /tmp/190214037/bundles.db 1
...
```
1
コマンドで生成される一時的なデータベース。
コマンドの実行後に、manifests-<index_image_name>-<random_number>/ ディレクトリーが現在のディレクトリーに作成され、以下のファイルが生成されます。
- catalogSource.yaml ファイルは、カタログイメージタグおよび他の関連するメタデータで事前に設定される CatalogSource オブジェクトの基本的な定義です。このファイルは、カタログソースをクラスターに追加するためにそのまま使用したり、変更したりできます。
- これにより、imageContentSourcePolicy.yaml ファイルは ImageContentSourcePolicy オブジェクトを定義します。このオブジェクトは、ノードを Operator マニフェストおよびミラーリングされたレジストリーに保存されるイメージ参照間で変換できるように設定します。
  注記
  クラスターが ImageContentSourcePolicy オブジェクトを使用してリポジトリーのミラーリングを設定する場合、ミラーリングされたレジストリーにグローバルプルシークレットのみを使用できます。プロジェクトにプルシークレットを追加することはできません。
- mapping.txt ファイルには、すべてのソースイメージが含まれ、これはそれらのイメージをターゲットレジストリー内のどこにマップするかを示します。このファイルは oc image mirror コマンドと互換性があり、ミラーリング設定をさらにカスタマイズするために使用できます。
直前の手順で --manifests-only フラグを使用して、コンテンツのサブセットのみをミラーリングする場合は、以下を実行します。
1. mapping.txt ファイルのイメージの一覧を仕様に変更します。ミラーリングするイメージのサブセットの名前とバージョンが不明な場合は、以下の手順で確認します。
  1. oc adm catalog mirror コマンドで生成された一時的なデータベースに対して sqlite3 ツールを実行し、一般的な検索クエリーに一致するイメージの一覧を取得します。出力は、後に mapping.txt ファイルを編集する方法を通知するのに役立ちます。
    たとえば、clusterlogging.4.3 の文字列のようなイメージの一覧を取得するには、以下を実行します。
    $ echo "select * from related_image \ where operatorbundle_name like 'clusterlogging.4.3%';" \ | sqlite3 -line /tmp/190214037/bundles.db 1
    1
    oc adm catalog mirror コマンドの直前の出力を参照し、データベースファイルのパスを見つけます。
    出力例
    
    image = registry.redhat.io/openshift-logging/kibana6-rhel8@sha256:aa4a8b2a00836d0e28aa6497ad90a3c116f135f382d8211e3c55f34fb36dfe61 operatorbundle_name = clusterlogging.4.3.33-202008111029.p0 image = registry.redhat.io/openshift4/ose-oauth-proxy@sha256:6b4db07f6e6c962fc96473d86c44532c93b146bbefe311d0c348117bf759c506 operatorbundle_name = clusterlogging.4.3.33-202008111029.p0 ...
  2. 直前の手順で取得した結果を使用して mapping.txt ファイルを編集し、ミラーリングする必要のあるイメージのサブセットのみを追加します。
    たとえば、前述の出力例の image 値を使用して、mapping.txt ファイルに以下の一致する行が存在することを確認できます。
    mapping.txt の一致するイメージマッピング。
    
    registry.redhat.io/openshift-logging/kibana6-rhel8@sha256:aa4a8b2a00836d0e28aa6497ad90a3c116f135f382d8211e3c55f34fb36dfe61=<registry_host_name>:<port>/kibana6-rhel8:a767c8f0 registry.redhat.io/openshift4/ose-oauth-proxy@sha256:6b4db07f6e6c962fc96473d86c44532c93b146bbefe311d0c348117bf759c506=<registry_host_name>:<port>/openshift4-ose-oauth-proxy:3754ea2b
    
    この例では、これらのイメージのみをミラーリングする場合に、mapping.txt ファイルの他のすべてのエントリーを削除し、上記の 2 行のみを残します。
2. ネットワークアクセスが無制限のワークステーション上で、変更した mapping.txt ファイルを使用し、 oc image mirror コマンドを使用してイメージをレジストリーにミラーリングします。
```
$ oc image mirror \
    [-a ${REG_CREDS}] \
    --filter-by-os='.*' \
    -f ./manifests-redhat-operators-<random_number>/mapping.txt
```
  警告
  --filter-by-os フラグが設定されていない状態か、または .* 以外の値に設定されている場合、コマンドが複数の異なるアーキテクチャーをフィルターし、マニフェスト一覧のダイジェスト (multi-arch image イメージとしても知られる) が変更されます。ダイジェストが間違っていると、それらのイメージおよび Operator の非接続クラスターでのデプロイメントに失敗します。

ImageContentSourcePolicy オブジェクトを作成します。

$ oc create -f ./manifests-redhat-operators-<random_number>/imageContentSourcePolicy.yaml

ミラーリングされたコンテンツを参照するように CatalogSource オブジェクトを作成できるようになりました。

関連情報

Operator のアーキテクチャーおよびオペレーティングシステムのサポート
カタログイメージがプライベートレジストリーでホストされ、認証が必要な場合は、プライベートレジストリーからの Operator のイメージへのアクセスを参照してください。

4.8.2.3. Package Manifest Format カタログイメージの更新

クラスター管理者がカスタム Operator カタログイメージを使用するように OperatorHub を設定した後、管理者は Red Hat の App Registry カタログに追加された更新をキャプチャーして、OpenShift Container Platform クラスターを最新の Operator と共に最新の状態に保つことができます。これは、新規 Operator カタログイメージをビルドし、プッシュしてから、既存の CatalogSource オブジェクトの spec.image パラメーターを新規イメージダイジェストに置き換えることによって実行されます。

この例では、カスタムの redhat-operators カタログイメージが OperatorHub と使用するように設定されていることを前提としています。

注記

前提条件

ネットワークアクセスが無制限のワークステーション
oc バージョン 4.3.5+ Linux クライアント
podman version 1.9.3+
Docker v2-2 をサポートするミラーレジストリーへのアクセス
重要
OpenShift Container Platform クラスターの内部レジストリーはターゲットレジストリーとして使用できません。これは、ミラーリングプロセスで必要となるタグを使わないプッシュをサポートしないためです。
カスタムカタログイメージを使用するように設定されている OperatorHub
プライベートレジストリーを使用している場合、後続の手順で使用するために REG_CREDS 環境変数をレジストリー認証情報のファイルパスに設定します。たとえば podman CLI の場合は、以下のようになります。
```
$ REG_CREDS=${XDG_RUNTIME_DIR}/containers/auth.json
```
quay.io アカウントがアクセスできるプライベート namespace を使用している場合、Quay 認証トークンを設定する必要があります。quay.io 認証情報を使用してログイン API に対して要求を行うことにより、--auth-token フラグで使用できる AUTH_TOKEN 環境変数を設定します。
```
$ AUTH_TOKEN=$(curl -sH "Content-Type: application/json" \
    -XPOST https://quay.io/cnr/api/v1/users/login -d '
    {
        "user": {
            "username": "'"<quay_username>"'",
            "password": "'"<quay_password>"'"
        }
    }' | jq -r '.token')
```

手順

更新された Operator は、OpenShift Container Platform クラスターの OperatorHub ページから利用できるようになりました。

関連情報

Operator のアーキテクチャーおよびオペレーティングシステムのサポート

4.8.2.4. Package Manifest Format カタログイメージのテスト

Operator カタログイメージのコンテンツは、これをコンテナーとして実行し、gRPC API をクエリーして検証できます。イメージをさらにテストするには、カタログソースでイメージを参照して Operator Lifecycle Manager (OLM) でサブスクリプションを解決できます。この例では、以前にビルドされ、サポートされているレジストリーにプッシュされたカスタム redhat-operators カタログイメージを使用します。

前提条件

サポートされているレジストリーにプッシュされるカスタム Package Manifest Format カタログイメージ
podman version 1.9.3+
oc version 4.3.5+
Docker v2-2 をサポートするミラーレジストリーへのアクセス
重要
OpenShift Container Platform クラスターの内部レジストリーはターゲットレジストリーとして使用できません。これは、ミラーリングプロセスで必要となるタグを使わないプッシュをサポートしないためです。
grpcurl

手順

Operator カタログイメージをプルします。

$ podman pull <registry_host_name>:<port>/olm/redhat-operators:v1

イメージを実行します。

$ podman run -p 50051:50051 \
    -it <registry_host_name>:<port>/olm/redhat-operators:v1

grpcurl を使用して利用可能なパッケージの実行中のイメージをクエリーします。

$ grpcurl -plaintext localhost:50051 api.Registry/ListPackages

出力例

{
  "name": "3scale-operator"
}
{
  "name": "amq-broker"
}
{
  "name": "amq-online"
}

チャネルの最新の Operator バンドルを取得します。

$  grpcurl -plaintext -d '{"pkgName":"kiali-ossm","channelName":"stable"}' localhost:50051 api.Registry/GetBundleForChannel

出力例

{
  "csvName": "kiali-operator.v1.0.7",
  "packageName": "kiali-ossm",
  "channelName": "stable",
...

イメージのダイジェストを取得します。

$ podman inspect \
    --format='{{index .RepoDigests 0}}' \
    <registry_host_name>:<port>/olm/redhat-operators:v1

出力例

example_registry:5000/olm/redhat-operators@sha256:f73d42950021f9240389f99ddc5b0c7f1b533c054ba344654ff1edaf6bf827e3

Operator グループが Operator とその依存関係をサポートする namespace my-ns にあることを前提とし、イメージダイジェストを使用して CatalogSource オブジェクトを作成します。以下に例を示します。

apiVersion: operators.coreos.com/v1alpha1
kind: CatalogSource
metadata:
  name: custom-redhat-operators
  namespace: my-ns
spec:
  sourceType: grpc
  image: example_registry:5000/olm/redhat-operators@sha256:f73d42950021f9240389f99ddc5b0c7f1b533c054ba344654ff1edaf6bf827e3
  displayName: Red Hat Operators

カタログイメージから、利用可能な最新の servicemeshoperator およびその依存関係を解決するサブスクリプションを作成します。

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: servicemeshoperator
  namespace: my-ns
spec:
  source: custom-redhat-operators
  sourceNamespace: my-ns
  name: servicemeshoperator
  channel: "1.0"

4.8.3. プライベートレジストリーからの Operator のイメージへのアクセス

Operator Lifecycle Manager (OLM) によって管理される Operator に関連する特定のイメージが、認証コンテナーイメージレジストリー (別名プライベートレジストリー) でホストされる場合、OLM および OperatorHub はデフォルトではイメージをプルできません。アクセスを有効にするために、レジストリーの認証情報が含まれるプルシークレットを作成できます。カタログソースの 1 つ以上のプルシークレットを参照することで、OLM はシークレットの配置を Operator およびカタログ namespace で処理し、インストールを可能にします。

Operator またはそのオペランドで必要な他のイメージでも、プライベートレジストリーへのアクセスが必要になる場合があります。OLM は、このシナリオのターゲットテナント namespace ではシークレットの配置を処理しませんが、認証情報をグローバルクラスタープルシークレットまたは個別の namespace サービスアカウントに追加して、必要なアクセスを有効にできます。

OLM によって管理される Operator に適切なプルアクセスがあるかどうかを判別する際に、以下のタイプのイメージを考慮する必要があります。

インデックスまたはカタログイメージ

CatalogSource オブジェクトは、インデックスイメージまたはカタログイメージを参照できます。これらは、イメージレジストリーでホストされるコンテナーイメージとしてパッケージ化されるカタログソースです。インデックスイメージは Bundle Format を使用してバンドルイメージを参照し、カタログイメージは Package Manifest Format を使用します。インデックスまたはカタログイメージがプライベートレジストリーでホストされる場合、シークレットを使用してプルアクセスを有効にすることができます。

バンドルイメージ

Operator バンドルイメージは、Operator の一意のバージョンを表すコンテナーイメージとしてパッケージ化されるメタデータおよびマニフェストです。カタログソースで参照されるバンドルイメージが 1 つ以上のプライベートレジストリーでホストされる場合、シークレットを使用してプルアクセスを有効にすることができます。

Operator イメージおよびオペランドイメージ

カタログソースからインストールされた Operator が、(Operator イメージ自体に、または監視するオペランドイメージの 1 つに) プライベートイメージを使用する場合、デプロイメントは必要なレジストリー認証にアクセスできないため、Operator はインストールに失敗します。カタログソースのシークレットを参照することで、OLM はオペランドがインストールされているターゲットテナント namespace にシークレットを配置することはできません。

代わりに、認証情報を openshift-config namespace のグローバルクラスタープルシークレットに追加できます。これにより、クラスターのすべての namespace へのアクセスが提供されます。または、クラスター全体へのアクセスの提供が許容されない場合、プルシークレットをターゲットテナント namespace の default のサービスアカウントに追加できます。

前提条件

プライベートレジストリーで、以下のうち少なくとも 1 つがホストされます。
- インデックスイメージまたはカタログイメージ。
- Operator のバンドルイメージ
- Operator またはオペランドのイメージ。

手順

必要な各プライベートレジストリーのシークレットを作成します。
1. プライベートレジストリーにログインして、レジストリー認証情報ファイルを作成または更新します。
```
$ podman login <registry>:<port>
```
  注記
  レジストリー認証情報のファイルパスは、レジストリーへのログインに使用されるコンテナーツールによって異なります。podman CLI の場合、デフォルトの場所は ${XDG_RUNTIME_DIR}/containers/auth.json です。docker CLI の場合、デフォルトの場所は /root/.docker/config.json です。
2. シークレットごとに 1 つのレジストリーに対してのみ認証情報を追加し、別のシークレットで複数のレジストリーの認証情報を管理することが推奨されます。これ以降の手順で、複数のシークレットを CatalogSource オブジェクトに含めることができ、OpenShift Container Platform はイメージのプル時に使用する単一の仮想認証情報ファイルにシークレットをマージします。
  レジストリー認証情報ファイルは、デフォルトで複数のレジストリーの詳細を保存することができます。ファイルの現在の内容を確認します。以下に例を示します。
  2 つのレジストリーの認証情報を保存するファイル
```
{
        "auths": {
                "registry.redhat.io": {
                        "auth": "FrNHNydQXdzclNqdg=="
                },
                "quay.io": {
                        "auth": "Xd2lhdsbnRib21iMQ=="
                }
        }
}
```
  これ以降の手順で、シークレットの作成にこのファイルが使用されるため、保存できる詳細は 1 つのファイルにつき 1 つのレジストリーのみであることを確認してください。これには、以下の方法の 1 つを使用します。
  - podman logout <registry> コマンドを使用して、必要な 1 つのレジストリーのみになるまで、追加のレジストリーの認証情報を削除します。
  - レジストリー認証情報ファイルを編集し、レジストリーの詳細を分離して、複数のファイルに保存します。以下に例を示します。
    1 つのレジストリーの認証情報を保存するファイル
    
    { "auths": { "registry.redhat.io": { "auth": "FrNHNydQXdzclNqdg==" } } }
    
    別のレジストリーの認証情報を保存するファイル
    
    { "auths": { "quay.io": { "auth": "Xd2lhdsbnRib21iMQ==" } } }
3. プライベートレジストリーの認証情報が含まれるシークレットを openshift-marketplace namespace に作成します。
```
$ oc create secret generic <secret_name> \
    -n openshift-marketplace \
    --from-file=.dockerconfigjson=<path/to/registry/credentials> \
    --type=kubernetes.io/dockerconfigjson
```
  この手順を繰り返して、他の必要なプライベートレジストリーの追加シークレットを作成し、--from-file フラグを更新して別のレジストリー認証情報ファイルのパスを指定します。

1 つ以上のシークレットを参照するように既存の CatalogSource オブジェクトを作成または更新します。

apiVersion: operators.coreos.com/v1alpha1
kind: CatalogSource
metadata:
  name: my-operator-catalog
  namespace: openshift-marketplace
spec:
  sourceType: grpc
  secrets: 1
  - "<secret_name_1>"
  - "<secret_name_2>"
  image: <registry>:<port>/<namespace>/<image>:<tag>
  displayName: My Operator Catalog
  publisher: <publisher_name>
  updateStrategy:
    registryPoll:
      interval: 30m

1: spec.secrets セクションを追加し、必要なシークレットを指定します。

サブスクライブされた Operator によって参照される Operator イメージまたはオペランドイメージにプライベートレジストリーへのアクセスが必要な場合は、クラスター内のすべての namespace または個々のターゲットテナント namespace のいずれかにアクセスを提供できます。
- クラスター内のすべての namespace へアクセスを提供するには、認証情報を openshift-config namespace のグローバルクラスタープルシークレットに追加します。
  警告
  クラスターリソースは新規のグローバルプルシークレットに合わせて調整する必要がありますが、これにより、クラスターのユーザービリティーが一時的に制限される可能性があります。
  1. グローバルプルシークレットから .dockerconfigjson ファイルを展開します。
    $ oc extract secret/pull-secret -n openshift-config --confirm
  2. .dockerconfigjson ファイルを、必要なプライベートレジストリーまたはレジストリーの認証情報で更新し、これを新規ファイルとして保存します。
    $ cat .dockerconfigjson | \ jq --compact-output '.auths["<registry>:<port>/<namespace>/"] |= . + {"auth":"<token>"}' \1 > new_dockerconfigjson
    1
    <registry>:<port>/<namespace> をプライベートレジストリーの詳細に置き換え、<token> を認証情報に置き換えます。
  3. 新規ファイルでグローバルプルシークレットを更新します。
    $ oc set data secret/pull-secret -n openshift-config \ --from-file=.dockerconfigjson=new_dockerconfigjson
- 個別の namespace を更新するには、ターゲットテナント namespace でアクセスが必要な Operator のサービスアカウントにプルシークレットを追加します。
  1. テナント namespace で openshift-marketplace 用に作成したシークレットを再作成します。
    $ oc create secret generic <secret_name> \ -n <tenant_namespace> \ --from-file=.dockerconfigjson=<path/to/registry/credentials> \ --type=kubernetes.io/dockerconfigjson
  2. テナント namespace を検索して、Operator のサービスアカウントの名前を確認します。
    $ oc get sa -n <tenant_namespace> 1
    1
    Operator が個別の namespace にインストールされていた場合、その namespace を検索します。Operator がすべての namespace にインストールされていた場合、openshift-operators namespace を検索します。
    出力例
    
    NAME SECRETS AGE builder 2 6m1s default 2 6m1s deployer 2 6m1s etcd-operator 2 5m18s 1
    
    1
    インストールされた etcd Operator のサービスアカウント。
  3. シークレットを Operator のサービスアカウントにリンクします。
    $ oc secrets link <operator_sa> \ -n <tenant_namespace> \ <secret_name> \ --for=pull

関連情報

レジストリーの認証情報に使用されるものを含むシークレットの種類に関する詳細は、シークレットの概要を参照してください。
このシークレットの変更が与える影響についての詳細は、グローバルクラスタープルシークレットの更新を参照してください。
namespace ごとにプルシークレットをサービスアカウントにリンクする方法に関する詳細は、Pod が他のセキュリティー保護されたレジストリーからイメージを参照できるようにする設定を参照してください。

4.8.4. デフォルトの OperatorHub ソースの無効化

Red Hat によって提供されるコンテンツを調達する Operator カタログおよびコミュニティープロジェクトは、OpenShift Container Platform のインストール時にデフォルトで OperatorHub に設定されます。クラスター管理者は、デフォルトカタログのセットを無効にすることができます。

手順

disableAllDefaultSources: true を OperatorHub オブジェクトに追加して、デフォルトカタログのソースを無効にします。
```
$ oc patch OperatorHub cluster --type json \
    -p '[{"op": "add", "path": "/spec/disableAllDefaultSources", "value": true}]'
```

ヒント

または、Web コンソールを使用してカタログソースを管理できます。Administration Cluster Settings Global Configuration OperatorHub ページから、Sources タブをクリックして、個別のソースを作成し、削除し、無効にし、有効にすることができます。

4.8.5. カスタムカタログの削除

クラスター管理者は、関連するカタログソースを削除して、以前にクラスターに追加されたカスタム Operator カタログを削除できます。

手順

Web コンソールの Administrator パースペクティブで、Administration Cluster Settings に移動します。
Global Configuration タブをクリックしてから、OperatorHub をクリックします。
Sources タブをクリックします。
削除するカタログの Options メニューを選択し、Delete CatalogSource をクリックします。

4.8. カスタムカタログの管理

4.8.1. Bundle Format を使用したカスタムカタログ

4.8.1.1. 前提条件

4.8.1.2. インデックスイメージの作成

4.8.1.3. インデックスイメージからのカタログの作成

4.8.1.4. インデックスイメージの更新

4.8.1.5. インデックスイメージのプルーニング

4.8.2. Package Manifest Format を使用したカスタムカタログ

4.8.2.1. Package Manifest Format カタログイメージのビルド

4.8.2.2. Package Manifest Format カタログイメージのミラーリング

4.8.2.3. Package Manifest Format カタログイメージの更新

4.8.2.4. Package Manifest Format カタログイメージのテスト

4.8.3. プライベートレジストリーからの Operator のイメージへのアクセス

4.8.4. デフォルトの OperatorHub ソースの無効化

4.8.5. カスタムカタログの削除

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Red Hat legal and privacy links

Red Hat legal and privacy links