プライベート自動化ハブでのコンテナーの管理

手順

1. ローカルの Automation Hub にログインします。
2. User Access → Groups に移動します。
3. Create をクリックします。
4. Name を指定して Create をクリックします。

手順

1. ローカルの Automation Hub にログインします。
2. User Access → Roles に移動します。
3. Add roles をクリックします。
4. 名前フィールドをクリックし、ロール名を入力します。
5. 説明フィールドをクリックして説明を入力します。
6. Permissions セクションを完了します。
7. パーミッションタイプのフィールドをクリックし、リストに表示されるパーミッションを選択します。
8. パーミッションの割り当てが完了したら、Save をクリックします。
9. User Access → Groups に移動します。
10. グループ名をクリックします。
11. Access タブをクリックします。
12. Add roles をクリックします。
13. 手順 8 で作成したロールを選択します。
14. Next をクリックして、選択したロールを確認します。
15. Add をクリックしてロールの追加を完了します。

手順

1. Automation Hub にログインします。
2. User Access → Groups に移動します。
3. グループ名をクリックします。
4. Users タブに移動し、Add をクリックします。
5. 一覧から追加するユーザーを選択し、Add をクリックします。

手順

1. registry.redhat.io 認証情報を使用して Podman にログインします。

   $ podman login registry.redhat.io

2. プロンプトにユーザー名およびパスワードを入力します。

3. コンテナーイメージをプルします。

   $ podman pull registry.redhat.io/<container_image_name>:<tag>

検証

1. ローカルストレージ内のイメージをリスト表示します。

   $ podman images

2. 最近プルしたイメージがリストに含まれていることを確認します。
3. タグが正しいことを確認します。

検証

1. ローカルストレージ内のイメージをリスト表示します。

   $ podman images

2. Automation Hub の情報で最近タグ付けされたイメージが一覧に含まれていることを確認します。

手順

1. Automation Hub の場所および認証情報を使用して Podman にログインします。

   $ podman login -u=<username> -p=<password> <automation_hub_url>

2. コンテナーイメージを Automation Hub のコンテナーレジストリーにプッシュします。

   $ podman push <automation_hub_url>/<container_image_name>

   注記

   registry.redhat.io からの署名付きイメージが Automation Hub コンテナーレジストリーにプッシュされる場合は、--remove-signatures フラグが必要です。push 操作は、アップロード中にイメージレイヤーを再圧縮します。これは、再現性が保証されておらず、クライアントの実装に依存します。これにより、イメージレイヤーダイジェストが変更され、プッシュ操作が失敗し、Error: Copying this image requires changing layer representation, which is not possible (image is signed or the destination specifies a digest) エラーが発生します。

検証

1. Automation Hub にログインします。
2. Container Registry に移動します。
3. コンテナーリポジトリーリストでコンテナーを見つけます。

手順

1. Execution Environments に移動します。
2. コンテナーリポジトリーを選択します。
3. Detail タブで、Add をクリックします。
4. Raw Markdown テキストフィールドに、Markdown で README テキストを入力します。
5. 完了したら、Save をクリックします。

手順

1. Execution Environments に移動します。
2. コンテナーリポジトリーを選択します。
3. ウィンドウの右上にある Edit をクリックします。

4. Groups with access で、アクセス権を付与するグループ (単数または複数) を選択します。

   • (必要に応じて) グループ名でドロップダウンを使用して、特定のグループのパーミッションを追加または削除します。
5. Save をクリックします。

手順

1. Execution Environments に移動します。
2. コンテナーリポジトリーを選択します。
3. Images タブをクリックします。
4. をクリックし、Manage tags をクリックします。

5. テキストフィールドに新しいタグを追加し、Add をクリックします。

   • (必要に応じて) そのイメージのいずれのタグの x をクリックして、current tags を削除します。
6. Save をクリックします。

手順

1. Automation Controller に移動します。
2. サイドメニューバーの Resources → Credentials をクリックします。
3. Add をクリックして、新規の認証情報を作成します。
4. 承認用の 名前、説明、および 組織 を入力します。
5. 認証情報のタイプ を選択します。
6. 認証用 URL を入力します。これはコンテナーレジストリーのアドレスです。
7. コンテナーレジストリーへのログインに必要な ユーザー名 と パスワードまたはトークン を入力します。
8. オプションで、Verify SSL を選択して、SSL の検証を有効にします。
9. Save をクリックします。

手順

1. Execution Environments に移動します。
2. コンテナーリポジトリーを選択します。
3. Pull this image エントリーで、Copy to clipboard をクリックします。
4. 端末でコマンドを貼り付けます。

1. Execution Environments → Remote Registries に移動します。
2. https://registry.redhat.io をレジストリーに追加します。
3. 認証に必要な認証情報を追加します。

1. Execution Environments → Execution Environments に移動します。
2. ページヘッダーの Add execution environment をクリックします。
3. プルするレジストリーを選択します。"name" フィールドには、ローカルレジストリー上に表示されるイメージの名前が表示されます。

手順

1. ターミナルから署名スクリプトを作成し、スクリプトパスをインストーラーパラメーターとして渡します。

   例:

   #!/usr/bin/env bash
   
   # pulp_container SigningService will pass the next 4 variables to the script.
   MANIFEST_PATH=$1
   FINGERPRINT="$PULP_SIGNING_KEY_FINGERPRINT"
   IMAGE_REFERENCE="$REFERENCE"
   SIGNATURE_PATH="$SIG_PATH"
   
   # Create container signature using skopeo
   skopeo standalone-sign \
     $MANIFEST_PATH \
     $IMAGE_REFERENCE \
     $FINGERPRINT \
     --output $SIGNATURE_PATH
   
   # Optionally pass the passphrase to the key if password protected.
   # --passphrase-file /path/to/key_password.txt
   
   # Check the exit status
   STATUS=$?
   if [ $STATUS -eq 0 ]; then
     echo {\"signature_path\": \"$SIGNATURE_PATH\"}
   else
     exit $STATUS
   fi

2. Ansible Automation Platform インストーラーインベントリーファイルで、automationhub_* で始まるコンテナー署名のオプションを確認してください。

   [all:vars]
   .
   .
   .
   
   automationhub_create_default_container_signing_service = True
   automationhub_container_signing_service_key = /absolute/path/to/key/to/sign
   automationhub_container_signing_service_script = /absolute/path/to/script/that/signs

3. インストールが完了したら、Automation Hub に移動します。
4. ナビゲーションパネルから、Signature Keys を選択します。
5. container-default または container-anyname というタイトルのキーがあることを確認します。

1. Automation Hub で、メインメニューペインの Execution Environments をクリックします。Execution Environments と Remote Registries の 2 つの選択肢が利用できるようになります。
2. Remote Registries をクリックします。

3. メインウィンドウで Add Remote Registry をクリックします。

   • Name フィールドに、コンテナーが存在するレジストリーの名前を入力します。
   • URL フィールドに、コンテナーが存在するレジストリーの URL を入力します。
   • Username フィールドに、必要に応じてユーザー名を入力します。
   • Password フィールドに、必要に応じてパスワードを入力します。
   • Save をクリックします。

手順

1. Execution Environments に移動します。
2. 実行環境の名前を入力します。
3. オプション: アップストリーム名を入力します。
4. Registry で、ドロップダウンメニューからレジストリーの名前を選択します。
5. Add tags to include フィールドにタグを入力します。フィールドを空白のままにすると、すべてのタグが渡されます。そのため、リポジトリー固有のタグを渡すことが重要です。

6. 残りのフィールドはオプションです。

   1. 現在含まれているタグ
   2. 除外するタグの追加
   3. 現在除外されているタグ
   4. 説明
   5. アクセス権のあるグループ
7. Save をクリックします。
8. イメージを同期します。

手順

1. ターミナルから、Podman または現在使用中のコンテナークライアントにログインします。

   > podman pull <container-name>

2. イメージをプルした後、タグを追加します (例: latest、rc、beta、または 1.0、2.3 などのバージョン番号)。

   > podman tag <container-name> <server-address>/<container-name>:<tag name>

3. 変更を加えた後にイメージに署名し、Automation Hub レジストリーにプッシュし直します。

   > podman push <server-address>/<container-name>:<tag name> --tls-verify=false --sign-by <reference to the gpg key on your local>

   イメージが署名されていない場合は、現在の署名が埋め込まれている場合にのみプッシュできます。あるいは、次のスクリプトを使用して、署名せずにイメージをプッシュすることもできます。

   > podman push <server-address>/<container-name>:<tag name> --tls-verify=false

4. イメージがプッシュされたら、Automation Hub に移動します。
5. Refresh アイコンをクリックして、ページを更新し、新しい実行環境を表示します。
6. イメージの名前をクリックすると、プッシュされたイメージが表示されます。

1. イメージ名をクリックすると詳細ページに移動します。

2. 詳細ページの右上隅にある 3 つのドットをクリックします。次の 3 つのオプションが利用可能です。

   • コントローラーでの使用
   • Delete
   • 署名
3. ドロップダウンメニューから署名をクリックします。

手順

1. ターミナルを開き、次のコマンドを使用します。

   >  sudo <name of editor> /etc/containers/policy.json

   表示されるファイルは次のようなものです。

   {
     "default": [{"type": "reject"}],
     "transports": {
     	"docker": {
       	"quay.io": [{"type": "insecureAcceptAnything"}],
       	"docker.io": [{"type": "insecureAcceptAnything"}],
       	"<server-address>": [
         	{
             	    "type": "signedBy",
             	    "keyType": "GPGKeys",
             	    "keyPath": "/tmp/containersig.txt"
         	}]
     	}
     }
   }

   このファイルは、quay.io も docker.io も検証を実行しないことを示しています。タイプが insecureAcceptAnything であり、これによってデフォルトのタイプの reject がオーバーライドされるためです。ただし、パラメーターの type が "signedBy" に設定されているため、<server-address> によって検証が実行されます。

   注記

   現在サポートされている唯一の keyType は GPG キーです。

2. <server-address> エントリーの下で、keyPath <1> を変更してキーファイルの名前を含めます。

   {
       	"default": [{"type": "reject"}],
       	"transports": {
           	"docker": {
             	  "quay.io": [{"type": "insecureAcceptAnything"}],
             	  "docker.io": [{"type": "insecureAcceptAnything"}],
             	  "<server-address>": [{
                   	"type": "signedBy",
                   	"keyType": "GPGKeys",
                   	"keyPath": "/tmp/<key file name>",
                   	"signedIdentity": {
                     	  "type": "matchExact"
                       }
               	  }]
               }
       	}
   }

3. ファイルを保存してから閉じます。
4. Podman または任意のクライアントを使用して、ファイルをプルします。

手順

1. Execution Environments に移動します。
2. 削除するコンテナーリポジトリーで、 をクリックし、Delete をクリックします。
3. 確認メッセージが表示されたら、チェックボックスをクリックして Delete をクリックします。