Automation Hub でのコンテンツの管理

手順

1. console.redhat.com にログインします。
2. Automation Hub → Collections に移動します。
3. 各コレクションのトグルスイッチを設定して、同期リストから除外または追加します。
4. リモートリポジトリーの同期を開始するには、Automation Hub に移動し、Collection → Repositories を選択します。
5. More Actions アイコン ⋮ をクリックし、Sync を選択して、Private Automation Hub へのリモートリポジトリーの同期を開始します。
6. オプション: リモートリポジトリーがすでに設定されている場合は、Red Hat Ansible Certified Content Collections を Private Automation Hub に手動で同期することにより、ローカルユーザーに提供したコレクションコンテンツを更新します。

手順

1. 組織管理者として console.redhat.com にログインします。
2. Automation Hub → Connect to Hub に移動します。
3. Offline token で、Load token をクリックします。
4. Copy to clipboard をクリックし、API トークンをコピーします。
5. API トークンをファイルに貼り付け、安全な場所に保存します。

手順

1. Private Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Remotes を選択します。
3. rh-certified リモートリポジトリーで、More Actions アイコン ⋮ をクリックし、Edit をクリックします。
4. URL フィールドに、Sync URL を貼り付けます。
5. Token フィールドに、console.redhat.com から取得したトークンを貼り付けます。

6. Save をクリックします。

   console.redhat.com の組織の同期リストと Private Automation Hub の間でコレクションを同期できるようになりました。

7. More Actions アイコン ⋮ をクリックし、Sync を選択します。

手順

1. Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Remotes を選択します。
3. Community リモートで、More Actions アイコン ⋮ をクリックし、Edit を選択します。
4. YAML requirements フィールドで、Browse をクリックし、ローカルマシン上の requirements.yml ファイルを見つけます。

5. Save をクリックします。

   requirements.yml ファイルで識別されたコレクションを、Ansible Galaxy から Private Automation Hub に同期できるようになりました。

6. More Actions アイコン ⋮ をクリックし、Sync を選択して、Ansible Galaxy および Ansible Automation Hub からコレクションを同期します。

手順

1. Private Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Remotes を選択します。
3. rh-certified または Community リモートのいずれかで、More Actions アイコン ⋮ をクリックし、Edit を選択します。
4. Show advanced options ドロップダウンメニューを展開します。
5. プロキシー URL、プロキシーユーザー名、およびプロキシーパスワードを適切なフィールドに入力します。
6. Save をクリックします。

手順

1. ファイル名のみを受け入れる署名スクリプトを作成します。

   注記

   このスクリプトは署名サービスとして機能し、PULP_SIGNING_KEY_FINGERPRINT 環境変数で指定された鍵を使用して、そのファイルの ASCII アーマー形式の gpg デタッチ署名を生成する必要があります。

   スクリプトは、次の形式で JSON 構造を出力します。

   {"file": "filename", "signature": "filename.asc"}

   すべてのファイル名は、現在の作業ディレクトリー内の相対パスです。ファイル名は、デタッチ署名でも同じにする必要があります。

   以下に例を示します。

   次のスクリプトはコンテンツの署名を生成します。

   #!/usr/bin/env bash
   
   FILE_PATH=$1
   SIGNATURE_PATH="$1.asc"
   
   ADMIN_ID="$PULP_SIGNING_KEY_FINGERPRINT"
   PASSWORD="password"
   
   # Create a detached signature
   gpg --quiet --batch --pinentry-mode loopback --yes --passphrase \
      $PASSWORD --homedir ~/.gnupg/ --detach-sign --default-key $ADMIN_ID \
      --armor --output $SIGNATURE_PATH $FILE_PATH
   
   # Check the exit status
   STATUS=$?
   if [ $STATUS -eq 0 ]; then
      echo {\"file\": \"$FILE_PATH\", \"signature\": \"$SIGNATURE_PATH\"}
   else
      exit $STATUS
   fi

   署名を有効にして Private Automation Hub を Ansible Automation Platform クラスターにデプロイすると、新しい UI が追加されたことがコレクションに表示されます。

2. automationhub_* で始まるオプションについては、Ansible Automation Platform インストーラーのインベントリーファイルを確認してください。

   [all:vars]
   .
   .
   .
   automationhub_create_default_collection_signing_service = True
   automationhub_auto_sign_collections = True
   automationhub_require_content_approval = True
   automationhub_collection_signing_service_key = /abs/path/to/galaxy_signing_service.gpg
   automationhub_collection_signing_service_script = /abs/path/to/collection_signing.sh

   2 つの新しいキー (automationhub_auto_sign_collections および automationhub_require_content_approval) は、コレクションが Private Automation Hub にアップロードされた後に署名および承認される必要があることを示します。

手順

1. Ansible Automation Platform にログインします。
2. ナビゲーションパネルから、Collections → Approval を選択します。Approval ダッシュボードが開き、コレクションのリストが表示されます。
3. 署名するコレクションごとに、Sign and approve をクリックします。

手順

1. Automation Hub にログインします。

2. ナビゲーションパネルから、Signature Keys を選択します。署名キーダッシュボードには、複数のキー (コレクションとコンテナーイメージ) のリストが表示されます。

   • コレクションを確認するには、collections- で始まるキーをダウンロードします。
   • コンテナーイメージを確認するには、container- で始まるキーをダウンロードします。

3. 次のいずれかの方法を選択して、公開鍵をダウンロードします。

   • メニューアイコンを選択し、Download Key をクリックして公開キーをダウンロードします。
   • リストから公開鍵を選択し、Copy to clipboard アイコンをクリックします。
   • Public Key タブの下のドロップダウンメニューをクリックし、公開鍵ブロック全体をコピーします。

手順

1. ansible-galaxy で使用するデフォルト以外のキーリングに公開鍵をインポートするには、以下のコマンドを実行します。

   gpg --import --no-default-keyring --keyring ~/.ansible/pubring.kbx my-public-key.asc

   注記

   Automation Hub が提供する署名のほかに、署名ソースは要件ファイルとコマンドラインで指定することもできます。署名ソースは URI である必要があります。

2. 追加の署名を使用して CLI で指定されたコレクション名を確認するには、次のコマンドを実行します。

   ansible-galaxy collection install namespace.collection
   --signature https://examplehost.com/detached_signature.asc
   --signature file:///path/to/local/detached_signature.asc --keyring ~/.ansible/pubring.kbx

   このオプションを複数回使用して、複数の署名を指定できます。

3. 以下の例のように、要件ファイルのコレクションに、コレクションの署名キーの後に追加の署名ソースが表示されていることを確認します。

   # requirements.yml
   collections:
     - name: ns.coll
       version: 1.0.0
       signatures:
         - https://examplehost.com/detached_signature.asc
         - file:///path/to/local/detached_signature.asc
   
   ansible-galaxy collection verify -r requirements.yml --keyring ~/.ansible/pubring.kbx

   Automation Hub からコレクションをインストールすると、サーバーが提供する署名はインストールされたコレクションと共に保存され、コレクションの信頼性を検証します。

4. (オプション) Ansible Galaxy サーバーにクエリーを実行せずにコレクションの内部整合性を再度確認する必要がある場合は、--offline オプションを使用して、以前に使用したのと同じコマンドを実行します。

手順

1. tarball を取得するには、Red Hat Ansible Automation Platform のダウンロード ページに移動し、Ansible Validated Content を選択します。

2. コンテンツをアップロードし、変数を定義します (この例では automationhub_api_token を使用します)。

   ansible-playbook collection_seed.yml
   -e automationhub_api_token=<api_token>
   -e automationhub_main_url=https://automationhub.example.com
   -e automationhub_require_content_approval=true

   注記

   automationhub_admin_password または automationhub_api_token の両方ではなく、いずれかを使用します。

手順

1. Private Automation Hub にログインします。
2. ナビゲーションパネルから User Access → Groups を選択し、Create をクリックします。
3. モーダルのグループの Name として Content Engineering を入力し、Create をクリックします。新しいグループが作成され、Groups ページが開きます。
4. Permissions タブで、Edit をクリックします。
5. Namespaces で、Add Namespace、Upload to Namespace、および Change Namespace の権限を追加します。

6. Save をクリックします。

   割り当てた権限を使用して新しいグループが作成されます。その後、グループにユーザーを追加できます。

7. Groups ページの Users タブをクリックします。
8. Add をクリックします。
9. ユーザーを選択し、Add をクリックします。

手順

1. Private Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Namespaces を選択します。
3. Create をクリックし、namespace name を入力します。
4. Namespace owners のグループを割り当てます。
5. Create をクリックします。

手順

1. Private Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Namespaces を選択します。
3. More Actions アイコン ⋮ をクリックし、Edit namespace を選択します。
4. Edit details タブで、フィールドに情報を入力します。
5. Edit resources タブをクリックして、テキストフィールドにマークダウンを入力します。
6. Save をクリックします。

手順

1. Private Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Namespaces を選択し、名前空間を選択します。
3. Upload collection をクリックします。
4. New collection ダイアログから Select file をクリックします。
5. アップロードするコレクションを選択します。
6. Upload をクリックします。

手順

1. Private Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Namespaces を選択します。
3. 名前空間を選択します。
4. More Actions アイコン ⋮ をクリックし、My imports を選択します。
5. 検索フィールドを使用するか、リストからインポートされたコレクションを見つけます。
6. インポートされたコレクションをクリックします。
7. コレクションのインポートの詳細を確認し、名前空間内のコレクションのステータスを確認します。

手順

1. Private Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Namespaces を選択します。
3. 削除する名前空間をクリックします。

4. More Actions アイコン ⋮ をクリックしてから、Delete namespace をクリックします。

   注記

   Delete namespace ボタンが無効になっている場合、依存関係のあるコレクションが名前空間に含まれています。この名前空間内のコレクションを確認し、依存関係があれば削除します。詳細は、Automation Hub でのコレクションの削除 を参照してください。

手順

1. ナビゲーションパネルから、Collections → Approval を選択します。

   承認を必要とするコレクションのステータスは Needs review となっています。

2. 確認するコレクションを選択します。
3. Version をクリックし、コレクションの内容を表示します。
4. Certify をクリックし、コレクションを承認します。

手順

1. ナビゲーションパネルから、Collections → Approval を選択します。
2. 確認するコレクションを見つけます。
3. Reject をクリックしてコレクションを拒否します。

手順

1. Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Repositories を選択します。
3. Add repository をクリックします。
4. Repository name を入力します。
5. Description フィールドに、リポジトリーの目的を記述します。

6. 変更を加えるたびにリポジトリーの以前のバージョンを保持するには、Retained number of versions を選択します。保持されるバージョンの数は、0 から無制限までの範囲で指定できます。すべてのバージョンを保存するには、これを null に設定したままにします。

   注記

   カスタムリポジトリーへの変更で問題が発生した場合は、保持している 別のリポジトリーバージョンに戻す ことができます。

7. Pipeline フィールドで、リポジトリーのパイプラインを選択します。このオプションでは、コレクションをリポジトリーに公開できるユーザーを定義します。

   Staging

   誰でも自動化コンテンツをリポジトリーに公開できます。

   Approved

   このリポジトリーに追加されたコレクションは、ステージングリポジトリーを介して承認プロセスを通過する必要があります。自動承認が有効になっていると、ステージングリポジトリーにアップロードされたコレクションは、承認されたすべてのリポジトリーに自動的にプロモートされます。

   None

   リポジトリーに対する権限を持つすべてのユーザーがリポジトリーに直接公開できます。このリポジトリーは承認パイプラインには含まれません。

8. オプション: 検索結果からリポジトリーを非表示にするには、Hide from search を選択します。このオプションはデフォルトで選択されます。
9. オプション: リポジトリーをプライベートにするには、Make private を選択します。これにより、リポジトリーを表示する権限を持たない人に対してリポジトリーが非表示になります。
10. リモートリポジトリーのコンテンツをこのリポジトリーに同期するには、Remote を選択し、カスタムリポジトリーに含めるコレクションを含むリモートを選択します。詳細は、リポジトリーの同期 を参照してください。
11. Save をクリックします。

手順

1. Private Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Repositories を選択します。
3. リスト内でリポジトリーを見つけて、More Actions アイコン ⋮ をクリックし、Edit を選択します。
4. Access タブを選択します。

5. Repository owners のグループを選択します。

   ユーザーアクセスの実装に関する詳細は、Private Automation Hub のユーザーアクセスの設定 を参照してください。

6. 選択したグループに割り当てるロールを選択します。
7. Save をクリックします。

手順

1. ナビゲーションパネルから、Collections → Repositories を選択します。
2. リスト内でリポジトリーを見つけて、More Actions アイコン ⋮ をクリックし、Edit を選択します。
3. Collections version タブを選択します。
4. Add Collection をクリックし、リポジトリーに追加するコレクションを選択します。
5. Select をクリックします。

手順

1. Private Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Repositories を選択します。
3. リスト内でリポジトリーを見つけて、More Actions アイコン ⋮ をクリックし、Edit を選択します。
4. 元に戻すバージョンを見つけて、More Actions アイコン ⋮ をクリックし、Revert to this version を選択します。
5. Revert をクリックします。

手順

1. Automation Hub にログインします。
2. ナビゲーションパネルから、Collections → Repositories を選択します。

3. リスト内でリポジトリーを見つけて、Sync をクリックします。

   設定されたリモート内のすべてのコレクションがカスタムリポジトリーにダウンロードされます。コレクションの同期のステータスを確認するには、Navigation パネルから Task Management を選択します。

   注記

   リポジトリーの同期をリモート内の特定のコレクションに制限するには、requirements.yml ファイルを使用してプルする特定のコレクションを指定します。詳細は、Create a remote を参照してください。

手順

1. registry.redhat.io の認証情報を使用して Podman にログインします。

   $ podman login registry.redhat.io

2. ユーザー名およびパスワードを入力します。

3. コンテナーイメージをプルします。

   $ podman pull registry.redhat.io/<container_image_name>:<tag>

1. ローカルストレージ内のイメージをリスト表示します。

   $ podman images

2. イメージ名を確認し、タグが正しいことを確認します。

検証

1. ローカルストレージ内のイメージをリスト表示します。

   $ podman images

2. Automation Hub の情報で最近タグ付けされたイメージが一覧に含まれていることを確認します。

手順

1. Automation Hub の場所および認証情報を使用して Podman にログインします。

   $ podman login -u=<username> -p=<password> <automation_hub_url>

2. コンテナーイメージを Automation Hub のコンテナーレジストリーにプッシュします。

   $ podman push <automation_hub_url>/<container_image_name>

検証

1. Automation Hub にログインします。
2. Container Registry に移動します。
3. コンテナーリポジトリーリストでコンテナーを見つけます。

手順

1. Automation Hub にログインします。
2. ナビゲーションパネルから、Execution Environments → Execution Environments を選択します。
3. コンテナーリポジトリーを選択します。
4. Detail タブで、Add をクリックします。
5. Raw Markdown テキストフィールドに、Markdown で README テキストを入力します。
6. 完了したら、Save をクリックします。

手順

1. Automation Hub にログインします。
2. ナビゲーションパネルから、Execution Environments → Execution Environments を選択します。
3. コンテナーリポジトリーを選択します。
4. Access タブで、Select a group をクリックします。
5. アクセスを許可するグループを選択し、Next をクリックします。
6. この実行環境に追加するロールを選択し、Next をクリックします。
7. Add をクリックします。

手順

1. ナビゲーションパネルから、Execution Environments → Execution Environments を選択します。
2. コンテナーリポジトリーを選択します。
3. Images タブをクリックします。
4. More Actions アイコン ⋮ をクリックし、Manage tags をクリックします。
5. テキストフィールドに新しいタグを追加し、Add をクリックします。
6. (必要に応じて) そのイメージのいずれのタグの x をクリックして、current tags を削除します。
7. Save をクリックします。

手順

1. Automation Controller に移動します。
2. ナビゲーションパネルから Resources → Credentials を選択します。
3. Add をクリックして、新規の認証情報を作成します。
4. 承認用の 名前、説明、および 組織 を入力します。
5. 認証情報のタイプ を選択します。
6. 認証用 URL を入力します。これはコンテナーレジストリーのアドレスです。
7. コンテナーレジストリーへのログインに必要な ユーザー名 と パスワードまたはトークン を入力します。
8. オプション: SSL 検証を有効にするには、Verify SSL を選択します。
9. Save をクリックします。

手順

1. パスワードまたはトークンで保護されたレジストリーからコンテナーイメージをプルする必要がある場合は、イメージをプルする前に Automation Controller で認証情報を作成 する必要があります。
2. ナビゲーションパネルから、Execution Environments → Execution Environments を選択します。
3. コンテナーリポジトリーを選択します。
4. Pull this image エントリーで、Copy to clipboard をクリックします。
5. 端末でコマンドを貼り付けます。

手順

1. ナビゲーションパネルから、Execution Environments → Execution Environments を選択します。
2. https://registry.redhat.io をレジストリーに追加します。

3. 認証に必要な認証情報を追加します。

   注記

   コンテナーレジストリーの中には、流量制御を積極的に行っているものもあります。Advanced Options で流量制御を設定します。

4. ナビゲーションパネルから、Execution Environments → Execution Environments を選択します。
5. ページヘッダーの Add execution environment をクリックします。

6. 取得元のレジストリーを選択します。Name フィールドには、ローカルレジストリーに表示されるイメージの名前が表示されます。

   注記

   Upstream name フィールドは、リモートサーバー上のイメージの名前です。たとえば、アップストリーム名が "alpine" に設定され、Name フィールドが "local/alpine" の場合、alpine イメージがリモートからダウンロードされ、"local/alpine" に名前が変更されます。

7. 追加または除外するタグのリストを設定します。イメージに多数のタグがあると、イメージの同期に時間がかかり、大量のディスク容量が使用されます。

手順

1. ターミナルから署名スクリプトを作成し、スクリプトパスをインストーラーパラメーターとして渡します。

   例:

   #!/usr/bin/env bash
   
   # pulp_container SigningService will pass the next 4 variables to the script.
   MANIFEST_PATH=$1
   FINGERPRINT="$PULP_SIGNING_KEY_FINGERPRINT"
   IMAGE_REFERENCE="$REFERENCE"
   SIGNATURE_PATH="$SIG_PATH"
   
   # Create container signature using skopeo
   skopeo standalone-sign \
     $MANIFEST_PATH \
     $IMAGE_REFERENCE \
     $FINGERPRINT \
     --output $SIGNATURE_PATH
   
   # Optionally pass the passphrase to the key if password protected.
   # --passphrase-file /path/to/key_password.txt
   
   # Check the exit status
   STATUS=$?
   if [ $STATUS -eq 0 ]; then
     echo {\"signature_path\": \"$SIGNATURE_PATH\"}
   else
     exit $STATUS
   fi

2. Ansible Automation Platform インストーラーインベントリーファイルで、automationhub_* で始まるコンテナー署名のオプションを確認してください。

   [all:vars]
   .
   .
   .
   
   automationhub_create_default_container_signing_service = True
   automationhub_container_signing_service_key = /absolute/path/to/key/to/sign
   automationhub_container_signing_service_script = /absolute/path/to/script/that/signs

3. インストールが完了したら、Automation Hub に移動します。
4. ナビゲーションパネルから、Signature Keys を選択します。
5. container-default または container-anyname というタイトルのキーがあることを確認します。

手順

1. Automation Hub にログインします。
2. ナビゲーションパネルから、Execution Environments → Remote Registries を選択します。

3. Add remote registry をクリックします。

   • Name フィールドに、コンテナーが存在するレジストリーの名前を入力します。
   • URL フィールドに、コンテナーが存在するレジストリーの URL を入力します。
   • Username フィールドに、必要に応じてユーザー名を入力します。
   • Password フィールドに、必要に応じてパスワードを入力します。
   • Save をクリックします。

手順

1. ナビゲーションパネルから、Execution Environments → Execution Environments を選択します。
2. Add execution environment をクリックします。
3. 実行環境の名前を入力します。
4. オプション: アップストリーム名を入力します。
5. Registry で、ドロップダウンメニューからレジストリーの名前を選択します。
6. Add tag(s) to include フィールドにタグを入力します。フィールドが空白の場合、すべてのタグが渡されます。どのリポジトリー固有のタグを渡すかを指定する必要があります。

7. 残りのフィールドはオプションです。

   • Currently included tags
   • Add tag(s) to exclude
   • Currently excluded tag(s)
   • Description
8. Save をクリックします。
9. イメージを同期します。

手順

1. ターミナルから、Podman または現在使用しているコンテナークライアントにログインします。

   > podman pull <container-name>

2. イメージをプルした後、タグを追加します (例: latest、rc、beta、または 1.0、2.3 などのバージョン番号)。

   > podman tag <container-name> <server-address>/<container-name>:<tag name>

3. 変更を加えた後にイメージに署名し、Automation Hub レジストリーにプッシュし直します。

   > podman push <server-address>/<container-name>:<tag name> --tls-verify=false --sign-by <reference to the gpg key on your local>

   イメージが署名されていない場合は、現在の署名が埋め込まれている場合にのみプッシュできます。あるいは、次のスクリプトを使用して、署名せずにイメージをプッシュすることもできます。

   > podman push <server-address>/<container-name>:<tag name> --tls-verify=false

4. イメージがプッシュされたら、Automation Hub に移動します。
5. ナビゲーションパネルから、Execution Environments → Execution Environments を選択します。
6. 新しい実行環境を表示するには、Refresh アイコンをクリックします。
7. イメージの名前をクリックすると、プッシュされたイメージが表示されます。

1. イメージ名をクリックすると詳細ページに移動します。

2. More Actions アイコン ⋮ をクリックします。次の 3 つのオプションが利用可能です。

   • Use in Controller
   • Delete
   • Sign
3. ドロップダウンメニューから Sign をクリックします。

手順

1. ナビゲーションパネルから、Signature Keys を選択します。
2. 使用している署名の横にある More Actions アイコン ⋮ をクリックします。
3. ドロップダウンメニューから Download key を選択します。新しいウィンドウが開きます。
4. Name フィールドに、キーの名前を入力します。
5. Save をクリックします。

手順

1. ターミナルを開き、次のコマンドを使用します。

   >  sudo <name of editor> /etc/containers/policy.json

   表示されるファイルは次のようなものです。

   {
     "default": [{"type": "reject"}],
     "transports": {
     	"docker": {
       	"quay.io": [{"type": "insecureAcceptAnything"}],
       	"docker.io": [{"type": "insecureAcceptAnything"}],
       	"<server-address>": [
         	{
             	    "type": "signedBy",
             	    "keyType": "GPGKeys",
             	    "keyPath": "/tmp/containersig.txt"
         	}]
     	}
     }
   }

   このファイルは、quay.io も docker.io も検証を実行しないことを示しています。タイプが insecureAcceptAnything であり、これによってデフォルトのタイプの reject がオーバーライドされるためです。ただし、パラメーターの type が "signedBy" に設定されているため、<server-address> によって検証が実行されます。

   注記

   現在サポートされている唯一の keyType は GPG キーです。

2. <server-address> エントリーの下で、keyPath <1> を変更してキーファイルの名前を含めます。

   {
       	"default": [{"type": "reject"}],
       	"transports": {
           	"docker": {
             	  "quay.io": [{"type": "insecureAcceptAnything"}],
             	  "docker.io": [{"type": "insecureAcceptAnything"}],
             	  "<server-address>": [{
                   	"type": "signedBy",
                   	"keyType": "GPGKeys",
                   	"keyPath": "/tmp/<key file name>",
                   	"signedIdentity": {
                     	  "type": "matchExact"
                       }
               	  }]
               }
       	}
   }

3. ファイルを保存してから閉じます。