4.3. Red Hat Edge Manager の bootc オペレーティングシステムイメージのビルド

手順

1. 以下のコマンドを実行して、お使いのシステムに適したリポジトリーのサブスクリプションマネージャーを有効にします。

   sudo subscription-manager repos --enable ansible-automation-platform-2.5-for-rhel-9-x86_64-rpms

   Red Hat Edge Manager で利用可能なリポジトリーの完全なリストは、関連情報 セクションを参照してください。

2. 次のコマンドを実行して、パッケージマネージャーを使用して flightctl CLI をインストールします。

   sudo dnf install flightctl

手順

1. CLI での Red Hat Edge Manager へのログイン の手順に従って、flightctl CLI にログインします。

   注記

   CLI は、ホストの認証局プールを使用して、Red Hat Edge Manager サービスのアイデンティティーを検証します。プールに認証局証明書を追加しない場合に、自己署名証明書を使用すると、検証で TLS 検証エラーが発生する可能性があります。コマンドに --insecure-skip-tls-verify フラグを追加することで、サーバーの検証を省略できます。

2. 次のコマンドを実行して、エージェント設定ファイルの形式で登録認証情報を取得します。

   flightctl certificate request --signer=enrollment --expiration=365d --output=embedded > config.yaml

   注記
   • --expiration=365d オプションは、認証情報が 1 年間有効であることを指定します。
   • --output=embedded オプションは、登録認証情報が埋め込まれたエージェント設定ファイルに出力することを指定します。

   返される config.yaml には、Red Hat Edge Manager サービスの URL、認証局バンドル、エージェントの登録クライアント証明書と鍵が含まれます。以下の例を参照してください。

   enrollment-service:
     authentication:
       client-certificate-data: LS0tLS1CRUdJTiBD...
       client-key-data: LS0tLS1CRUdJTiBF...
     service:
       certificate-authority-data: LS0tLS1CRUdJTiBD...
       server: https://agent-api.flightctl.127.0.0.1.nip.io:7443
     enrollment-ui-endpoint: https://ui.flightctl.127.0.0.1.nip.io:8081

手順

1. 使用するコンテナーイメージの種類に応じて、デバイスの次のシステムパスのいずれかまたは両方にプルシークレットを配置します。

   • オペレーティングシステムイメージは、パス /etc/ostree/auth.json を使用します。

   • アプリケーションコンテナーイメージは、パス /root/.config/containers/auth.json を使用します。

     重要

     プルシークレットを使用するには、その前にデバイス上にプルシークレットが存在している必要があります。

2. プルシークレットが次の形式を使用していることを確認します。

   {
     "auths": {
       "registry.example.com": {
         "auth": "base64-encoded-credentials"
       }
     }
   }

手順

1. Red Hat Edge Manager エージェントと設定を含む RHEL 9 ベースのオペレーティングシステムイメージをビルドするには、次の内容を含む Containerfile ファイルを作成します。

   FROM registry.redhat.io/rhel9/rhel-bootc:<required_os_version> 

   1

   
   RUN dnf --enablerepo ansible-automation-platform-2.5-for-rhel-9-x86_64-rpms -y install flightctl-agent-0.7.2-1.el9fc  && \
       dnf -y clean all && \
       systemctl enable flightctl-agent.service && \
       systemctl mask bootc-fetch-apply-updates.timer  

   2

   1

   FROM で参照されるベースイメージは、すでに Linux カーネルが含まれているブート可能なコンテナー (bootc) イメージです。これにより、既存の標準的なコンテナービルドツールとワークフローを再利用できます。

   2

   デフォルトの自動更新を無効にします。更新は Red Hat Edge Manager によって管理されます。

   重要

   デバイスがプライベートリポジトリーのコンテナーに依存している場合は、デバイスのプルシークレットをパス /etc/ostree/auth.json に配置する必要があります。プルシークレットを使用するには、その前にデバイス上にプルシークレットが存在している必要があります。

   • オプション: podman-compose アプリケーションのサポートを有効にするには、Containerfile ファイルに次のセクションを追加します。

     RUN dnf -y install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm && \
         dnf -y install podman-compose && \
         dnf -y clean all && \
         systemctl enable podman.service

   • オプション: 早期バインディング用に config.yaml を作成した場合は、Containerfile に次のセクションを追加します。

     ADD config.yaml /etc/flightctl/

   詳細は、オプション: 早期バインディングの登録証明書の要求 を参照してください。

2. 次のコマンドを実行して、Open Container Initiative (OCI) レジストリーを定義します。

   OCI_REGISTRY=registry.redhat.io

3. 次のコマンドを実行して、書き込み権限を持つイメージリポジトリーを定義します。

   OCI_IMAGE_REPO=${OCI_REGISTRY}/<your_org>/<your_image>

4. 次のコマンドを実行して、イメージタグを定義します。

   OCI_IMAGE_TAG=v1

5. ターゲットプラットフォームのオペレーティングシステムイメージをビルドします。

   sudo podman build -t ${OCI_IMAGE_REPO}:${OCI_IMAGE_TAG} .

手順

1. signingkey.pub と signingkey.private という名前の Sigstore 鍵ペアを生成します。

   skopeo generate-sigstore-key --output-prefix signingkey

2. Podman や Skopeo などのコンテナーツールを設定して、署名済みイメージとともに Sigstore 署名を OCI レジストリーにアップロードします。

   sudo tee "/etc/containers/registries.d/${OCI_REGISTRY}.yaml" > /dev/null <<EOF
   docker:
       ${OCI_REGISTRY}:
           use-sigstore-attachments: true
   EOF

3. 次のコマンドを実行して、OCI レジストリーにログインします。

   sudo podman login ${OCI_REGISTRY}

4. 次のコマンドを実行して、オペレーティングシステムイメージに署名し、公開します。

   sudo podman push \
       --sign-by-sigstore-private-key ./signingkey.private \
       ${OCI_IMAGE_REPO}:${OCI_IMAGE_TAG}

手順

1. 次のコマンドを実行して、output というディレクトリーを作成します。

   mkdir -p output

2. 次のコマンドを実行して、bootc-image-builder を使用して、オペレーティングシステムイメージから iso タイプのオペレーティングシステムディスクイメージを生成します。

   sudo podman run --rm -it --privileged --pull=newer \
       --security-opt label=type:unconfined_t \
       -v "${PWD}/output":/output \
       -v /var/lib/containers/storage:/var/lib/containers/storage \
       registry.redhat.io/rhel9/bootc-image-builder:latest \
       --type iso \
       ${OCI_IMAGE_REPO}:${OCI_IMAGE_TAG}

手順

1. 次のコマンドを実行して、ISO ディスクイメージが配置されているディレクトリーの所有者を root から現在のユーザーに変更します。

   sudo chown -R $(whoami):$(whoami) "${PWD}/output"

2. 次のコマンドを実行して、OCI_DISK_IMAGE_REPO 環境変数を、bootc イメージと同じリポジトリーに /diskimage-iso を付加した値に設定します。

   OCI_DISK_IMAGE_REPO=${OCI_IMAGE_REPO}/diskimage-iso

3. 次のコマンドを実行してマニフェストリストを作成します。

   sudo podman manifest create \
       ${OCI_DISK_IMAGE_REPO}:${OCI_IMAGE_TAG}

4. 次のコマンドを実行して、ISO ディスクイメージを OCI アーティファクトとしてマニフェストリストに追加します。

   sudo podman manifest add \
       --artifact --artifact-type application/vnd.diskimage.iso \
       --arch=amd64 --os=linux \
       ${OCI_DISK_IMAGE_REPO}:${OCI_IMAGE_TAG} \
       "${PWD}/output/bootiso/install.iso"

5. 次のコマンドを実行して、Sigstore 秘密鍵を使用してマニフェストリストに署名し、イメージをレジストリーにプッシュします。

   sudo podman manifest push --all \
        --sign-by-sigstore-private-key ./signingkey.private \
       ${OCI_DISK_IMAGE_REPO}:${OCI_IMAGE_TAG} \
       docker://${OCI_DISK_IMAGE_REPO}:${OCI_IMAGE_TAG}