OpenShift への Apicurio Registry のインストールとデプロイ

手順

1. インストール用のプロジェクトを作成します。たとえば、service-registry:

   NAMESPACE="service-registry"
   oc new-project "$NAMESPACE"

2. install/ フォルダーにあるファイルを適用します。

   cat install/install.yaml | sed "s/apicurio-registry-operator-namespace/$NAMESPACE/g" | oc apply -f -

手順

1. データベース接続を設定して、ApicurioRegistry カスタムリソース (CR) を作成します。次に例を示します。

   SQL ストレージの CR の例

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-sql
   spec:
     configuration:
       persistence: "sql"
       sql:
         dataSource:
           url: "jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>"
           userName: "postgres"
           password: "<password>" # Optional

2. Operator がデプロイされているのと同じ namespace に ApicurioRegistry CR を作成します。

   oc project "$NAMESPACE"
   oc apply -f ./examples/apicurioregistry_sql_cr.yaml

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。

2. 新しい OpenShift プロジェクトを作成します。

   1. 左側のナビゲーションメニューで、Home、Project、Create Project と順にクリックします。
   2. プロジェクト名 (my-project など) を入力し、Create をクリックします。
3. 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
4. Filter by keyword テキストボックスに registry を入力し、Red Hat Integration - Apicurio Registry Operator を検索します。
5. Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。

6. サブスクリプション設定を選択します。以下に例を示します。

   • Update Channel: 以下のいずれかを選択します。

     • 2.0.x: 2.0.1 や 2.0.2 などのパッチの更新のみが含まれます。たとえば、2.0.x へのインストールは自動的に 2.1.x を無視します。
     • 2.x: 2.1.0 や 2.0.1 などのすべてのマイナーおよびパッチの更新が含まれます。たとえば、2.0.x へのインストールは自動的に 2.1.x にアップグレードされます。

   • Installation Mode: 以下のいずれかを選択します。

     • All namespaces on the cluster (default)
     • A specific namespace on the cluster および my-project
   • Approval Strategy: Automatic または Manual を選択します。
7. Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
2. AMQ Streams をインストールする OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンから、my-project を選択します。
3. 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
4. Filter by keyword テキストボックスに AMQ Streams を入力し、Red Hat Integration - AMQ Streams を見つけます。
5. Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。

6. サブスクリプション設定を選択します。以下に例を示します。

   • Update Channel および amq-streams-1.8.x

   • Installation Mode: 以下のいずれかを選択します。

     • All namespaces on the cluster (default)
     • A specific namespace on the cluster > my-project
   • Approval Strategy: Automatic または Manual を選択します。
7. Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。

2. Kafka クラスターがまだ設定されていない場合は、AMQ Streams を使用して新しい Kafka クラスターを作成します。たとえば、OpenShift OperatorHub では以下を実行します。

   1. Installed Operators をクリックしてから Red Hat Integration - AMQ Streams をクリックします。
   2. Provided APIs、Kafka と選択し、Create Instance をクリックして新しい Kafka クラスターを作成します。

   3. 適切にカスタムリソース定義を編集し、Create をクリックします。

      警告

      デフォルトの例では、3 つの Zookeeper ノード、および、ephemeral ストレージを持つ 3 つの Kafka ノードを持つクラスターが作成されます。この一時ストレージは開発およびテストにのみ適しており、実稼働には適していません。詳細は、Using AMQ Streams on OpenShift を参照してください。

3. クラスターの準備ができたら、Provided APIs > Kafka > my-cluster > YAML をクリックします。

4. status ブロックで、bootstrapServers 値のコピーを作成します。これは、後で Apicurio Registry をデプロイするために使用します。以下に例を示します。

   status:
     ...
     conditions:
     ...
     listeners:
       - addresses:
           - host: my-cluster-kafka-bootstrap.my-project.svc
             port: 9092
         bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092'
         type: plain
     ...

5. Installed Operators > Red Hat Integration - Apicurio Registry > ApicurioRegistry > Create ApicurioRegistry をクリックします｡

6. 次のカスタムリソース定義を貼り付けますが、前にコピーした bootstrapServers 値を使用します。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql
   spec:
     configuration:
       persistence: 'kafkasql'
       kafkasql:
         bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092'

7. Create をクリックし、Apicurio Registry ルートが OpenShift に作成されるのを待ちます。

8. Networking > Route をクリックして、Apicurio Registry Web コンソールの新しいルートにアクセスします。以下に例を示します。

   http://example-apicurioregistry-kafkasql.my-project.my-domain-name.com/

手順

1. OpenShift Web コンソールで Installed Operators をクリックし、AMQ Streams Operator の詳細を選択してから、Kafka タブをクリックします。
2. Create Kafka をクリックし、Apicurio Registry ストレージの新しい Kafka クラスターをプロビジョニングします。

3. Kafka クラスターに TLS 認証を使用するように、 authorization フィールドと tls フィールドを設定します。次に例を示します。

   apiVersion: kafka.strimzi.io/v1beta2
   kind: Kafka
   metadata:
     name: my-cluster
     namespace: registry-example-kafkasql-tls
     # Change or remove the explicit namespace
   spec:
     kafka:
       config:
         offsets.topic.replication.factor: 3
         transaction.state.log.replication.factor: 3
         transaction.state.log.min.isr: 2
         log.message.format.version: '2.7'
         inter.broker.protocol.version: '2.7'
       version: 2.7.0
       storage:
         type: ephemeral
       replicas: 3
       listeners:
         - name: tls
           port: 9093
           type: internal
           tls: true
           authentication:
             type: tls
       authorization:
         type: simple
     entityOperator:
       topicOperator: {}
       userOperator: {}
     zookeeper:
       storage:
         type: ephemeral
       replicas: 3

   Apicurio Registry がデータの保存に使用するデフォルトの Kafka トピック名は kafkasql-journal です。このトピックは Apicurio Registry によって自動的に作成されます。適切な環境変数 (デフォルト値) を設定して、この動作またはデフォルトのトピック名を上書きできます。

   • REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true
   • REGISTRY_KAFKASQL_TOPIC=kafkasql-journal

   Kafka トピックを手動で作成しない場合は、次の手順を省略します。

4. Kafka Topic タブをクリックし、Create Kafka Topic をクリックして、kafkasql-journal トピックを作成します。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaTopic
   metadata:
     name: kafkasql-journal
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-tls
   spec:
     partitions: 2
     replicas: 1
     config:
       retention.ms: 604800000
       segment.bytes: 1073741824

5. Kafka User リソースを作成し、Apicurio Registry ユーザーの認証および承認を設定します。metadata セクションでユーザー名を指定するか、デフォルトの my-user を使用できます。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaUser
   metadata:
     name: my-user
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-tls
   spec:
     authentication:
       type: tls
     authorization:
       acls:
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: topic
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: cluster
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: transactionalId
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: group
       type: simple

   注記

   Apicurio Registry が必要とするトピックおよびリソースに合わせて承認を設定する必要があります。これは、単純な許容例です。

6. Workloads、Secrets の順にクリックして、Apicurio Registry が Kafka クラスターに接続するために AMQ Streams が作成する 2 つのシークレットを見つけます。

   • my-cluster-cluster-ca-cert - Kafka クラスターの PKCS12 トラストストアが含まれています

   • my-user - ユーザーのキーストアが含まれます

     注記

     シークレットの名前は、クラスターまたはユーザー名によって異なります。

7. シークレットを手動で作成する場合は、以下のキーと値のペアを含める必要があります。

   • my-cluster-ca-cert

     • ca.p12 - PKCS12 形式のトラストストア
     • ca.password - truststore password

   • my-user

     • user.p12 - PKCS12 形式のキーストア
     • user.password - keystore password

8. 次の設定例を設定して、Apicurio Registry をデプロイします。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql
   spec:
     configuration:
       persistence: "kafkasql"
       kafkasql:
         bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-tls.svc:9093"
         security:
           tls:
             keystoreSecretName: my-user
             truststoreSecretName: my-cluster-cluster-ca-cert

手順

1. OpenShift Web コンソールで Installed Operators をクリックし、AMQ Streams Operator の詳細を選択してから、Kafka タブをクリックします。
2. Create Kafka をクリックし、Apicurio Registry ストレージの新しい Kafka クラスターをプロビジョニングします。

3. Kafka クラスターに SCRAM-SHA-512 認証を使用するように、 authorization フィールドと tls フィールドを設定します。次に例を示します。

   apiVersion: kafka.strimzi.io/v1beta2
   kind: Kafka
   metadata:
     name: my-cluster
     namespace: registry-example-kafkasql-scram
     # Change or remove the explicit namespace
   spec:
     kafka:
       config:
         offsets.topic.replication.factor: 3
         transaction.state.log.replication.factor: 3
         transaction.state.log.min.isr: 2
         log.message.format.version: '2.7'
         inter.broker.protocol.version: '2.7'
       version: 2.7.0
       storage:
         type: ephemeral
       replicas: 3
       listeners:
         - name: tls
           port: 9093
           type: internal
           tls: true
           authentication:
             type: scram-sha-512
       authorization:
         type: simple
     entityOperator:
       topicOperator: {}
       userOperator: {}
     zookeeper:
       storage:
         type: ephemeral
       replicas: 3

   Apicurio Registry がデータの保存に使用するデフォルトの Kafka トピック名は kafkasql-journal です。このトピックは Apicurio Registry によって自動的に作成されます。適切な環境変数 (デフォルト値) を設定して、この動作またはデフォルトのトピック名を上書きできます。

   • REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true
   • REGISTRY_KAFKASQL_TOPIC=kafkasql-journal

   Kafka トピックを手動で作成しない場合は、次の手順を省略します。

4. Kafka Topic タブをクリックし、Create Kafka Topic をクリックして、kafkasql-journal トピックを作成します。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaTopic
   metadata:
     name: kafkasql-journal
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-scram
   spec:
     partitions: 2
     replicas: 1
     config:
       retention.ms: 604800000
       segment.bytes: 1073741824

5. Kafka User リソースを作成し、Apicurio Registry ユーザーの SCRAM 認証および承認を設定します。metadata セクションでユーザー名を指定するか、デフォルトの my-user を使用できます。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaUser
   metadata:
     name: my-user
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-scram
   spec:
     authentication:
       type: scram-sha-512
     authorization:
       acls:
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: topic
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: cluster
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: transactionalId
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: group
       type: simple

   注記

   Apicurio Registry が必要とするトピックおよびリソースに合わせて承認を設定する必要があります。これは、単純な許容例です。

6. Workloads、Secrets の順にクリックして、Apicurio Registry が Kafka クラスターに接続するために AMQ Streams が作成する 2 つのシークレットを見つけます。

   • my-cluster-cluster-ca-cert - Kafka クラスターの PKCS12 トラストストアが含まれています

   • my-user - ユーザーのキーストアが含まれます

     注記

     シークレットの名前は、クラスターまたはユーザー名によって異なります。

7. シークレットを手動で作成する場合は、以下のキーと値のペアを含める必要があります。

   • my-cluster-ca-cert

     • ca.p12 -PKCS12 形式のトラストストア
     • ca.password - truststore password

   • my-user

     • パスワード - ユーザーパスワード

8. Apicurio Registry をデプロイするように、以下の設定例を設定します。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql
   spec:
     configuration:
       persistence: "kafkasql"
       kafkasql:
         bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-scram.svc:9093"
         security:
           scram:
             truststoreSecretName: my-cluster-cluster-ca-cert
             user: my-user
             passwordSecretName: my-user

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
2. PostgreSQL Operator をインストールする OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンから、my-project を選択します。
3. 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
4. Filter by keyword テキストボックスに PostgreSQL と入力して、ご使用の環境に適した Operator を検索します。たとえば、Crunchy PostgreSQL for OpenShift や PostgreSQL Operator by Dev4Ddevs.com です。
5. Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。

6. サブスクリプション設定を選択します。以下に例を示します。

   • Update Channel: stable
   • Installation Mode: A specific namespace on the cluster および my-project
   • Approval Strategy: Automatic または Manual を選択します。

7. Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。

   重要

   データベースの作成と管理方法の詳細については、選択したPostgreSQL Operator のドキュメントを読む必要があります。

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
2. Apicurio Registry および PostgreSQL Operator がインストールされている OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンから、my-project を選択します。
3. Apicurio Registry ストレージの PostgreSQL データベースを作成します。たとえば、Installed Operators、PostgreSQL Operator by Dev4Ddevs.com の順にクリックした後、Create database をクリックします。

4. YAML をクリックし、以下のようにデータベース設定を編集します。

   • name: 値を registry に変更します
   • image: 値を centos/postgresql-12-centos7 に変更します

5. 実際の環境に応じて、必要に応じてその他のデータベース設定を編集します。以下に例を示します。

   apiVersion: postgresql.dev4devs.com/v1alpha1
   kind: Database
   metadata:
     name: registry
     namespace: my-project
   spec:
     databaseCpu: 30m
     databaseCpuLimit: 60m
     databaseMemoryLimit: 512Mi
     databaseMemoryRequest: 128Mi
     databaseName: example
     databaseNameKeyEnvVar: POSTGRESQL_DATABASE
     databasePassword: postgres
     databasePasswordKeyEnvVar: POSTGRESQL_PASSWORD
     databaseStorageRequest: 1Gi
     databaseUser: postgres
     databaseUserKeyEnvVar: POSTGRESQL_USER
     image: centos/postgresql-12-centos7
     size: 1

6. Create をクリックし、データベースが作成されるまで待ちます。
7. Installed Operators > Red Hat Integration - Apicurio Registry > ApicurioRegistry > Create ApicurioRegistry をクリックします｡

8. 以下のカスタムリソース定義に貼り付け、データベース url およびクレデンシャルの値を編集して環境と一致するようにします。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-sql
   spec:
     configuration:
       persistence: 'sql'
       sql:
         dataSource:
           url: 'jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>'
           # e.g. url: 'jdbc:postgresql://acid-minimal-cluster.my-project.svc:5432/registry'
           userName: 'postgres'
           password: '<password>' # Optional

9. Create をクリックし、Apicurio Registry ルートが OpenShift に作成されるのを待ちます。

10. Networking > Route をクリックして、Apicurio Registry Web コンソールの新しいルートにアクセスします。以下に例を示します。

    http://example-apicurioregistry-sql.my-project.my-domain-name.com/

手順

1. 以下のコマンドを入力して、データベースを作成します。

    $ createdb -T template0 dbname

2. 以下のコマンドを入力して SQL ダンプを復元します

    $ psql dbname < dumpfile

3. クエリーオプティマイザーが便利な統計を持つように、各データベースで ANALYZE を実行します。

手順

1. OpenShift Web コンソールで、Installed Operators および Red Hat Single Sign-On Operator をクリックし、Keycloak タブをクリックします。

2. Create Keycloak をクリックし、Apicurio Registry デプロイメントのセキュリティーを保護するために、新しい Red Hat Single Sign-On インスタンスをプロビジョニングします。デフォルト値を使用できます。以下に例を示します。

   apiVersion: keycloak.org/v1alpha1
   kind: Keycloak
   metadata:
     name: example-keycloak
     labels:
       app: sso
   spec:
     instances: 1
     externalAccess:
       enabled: True
     podDisruptionBudget:
       enabled: True

3. インスタンスが作成されるまで待ち、Networking をクリックした後に Routes をクリックし、keycloak インスタンスの新規ルートにアクセスします。
4. Location URL をクリックし、表示された ../auth URL 値をコピーして、後で Apicurio Registry のデプロイ時に使用します。

5. Installed Operators および Red Hat Single Sign-On Operator をクリックし、Keycloak Realm タブをクリックした後、Create Keycloak Realm をクリックして registry のサンプルレルムを作成します。

   apiVersion: keycloak.org/v1alpha1
   kind: KeycloakRealm
   metadata:
     name: registry-keycloakrealm
   spec:
     instanceSelector:
       matchLabels:
         app: sso
     realm:
       displayName: Registry
       enabled: true
       id: registry
       realm: registry
       sslRequired: none
       roles:
         realm:
           - name: sr-admin
           - name: sr-developer
           - name: sr-readonly
       clients:
         - clientId: registry-client-ui
           implicitFlowEnabled: true
           redirectUris:
             - '*'
           standardFlowEnabled: true
           webOrigins:
             - '*'
           publicClient: true
         - clientId: registry-client-api
           implicitFlowEnabled: true
           redirectUris:
             - '*'
           standardFlowEnabled: true
           webOrigins:
             - '*'
           publicClient: true
       users:
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-admin
           username: registry-admin
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-developer
           username: registry-developer
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-readonly
           username: registry-user

   重要

   実稼働環境にデプロイする場合は、ご使用の環境に適した値でこの KeycloakRealm リソースをカスタマイズする必要があります。Red Hat Single Sign-On Web コンソールを使用してレルムを作成および管理することもできます。

6. クラスターに有効な HTTPS 証明書が設定されていない場合は、一時的な回避策として次の HTTP Service および Ingress リソースを作成できます。

   1. Networking をクリックしてから Services をクリックし、以下の例を使用して Create Service をクリックします。

      apiVersion: v1
      kind: Service
      metadata:
        name: keycloak-http
        labels:
          app: keycloak
      spec:
        ports:
          - name: keycloak-http
            protocol: TCP
            port: 8080
            targetPort: 8080
        selector:
          app: keycloak
          component: keycloak
        type: ClusterIP
        sessionAffinity: None
      status:
        loadBalancer: {}

   2. Networking をクリックしてから Ingresses をクリックし、以下の例を使用して Create Ingress をクリックします。

      apiVersion: networking.k8s.io/v1beta1
      kind: Ingress
      metadata:
        name: keycloak-http
        labels:
          app: keycloak
      spec:
        rules:
          - host: keycloak-http.local
            http:
              paths:
                - path: /
                  pathType: ImplementationSpecific
                  backend:
                    serviceName: keycloak-http
                    servicePort: 8080

      host の値を変更して、Apicurio Registry ユーザーがアクセスできるルートを作成し、Red Hat Single Sign-On Operator によって作成された HTTPS ルートの代わりにこれを使用します。

7. Apicurio Registry Operator をクリックし、以下の例のように ApicurioRegistry タブをクリックして Create ApicurioRegistry をクリックしますが、keycloak セクションの値を置き換えます。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql-keycloak
   spec:
     configuration:
       security:
         keycloak:
           url: "http://keycloak-http-<namespace>.apps.<cluster host>/auth"
           # ^ Required
           # Keycloak server URL, must end with `/auth`.
           # Use an HTTP URL in development.
           realm: "registry"
           # apiClientId: "registry-client-api"
           # ^ Optional (default value)
           # uiClientId: "registry-client-ui"
           # ^ Optional (default value)
       persistence: 'kafkasql'
       kafkasql:
         bootstrapServers: '<my-cluster>-kafka-bootstrap.<my-namespace>.svc:9092'

手順

1. Red Hat Single Sign-On 管理コンソールで、Apicurio Registry 用の Red Hat Single Sign-On レルムを作成します。デフォルトでは、Apicurio Registry は registry のレルム名を想定しています。レルムの作成に関する詳細は、Red Hat Single Sign-On のユーザードキュメント を参照してください。

2. Apicurio Registry API 用の Red Hat Single Sign-On クライアントを作成します。デフォルトでは、Apicurio Registry は次の設定を想定しています。

   • Client ID: registry-api
   • Client Protocol: openid-connect

   • Access Type: bearer-only

     他のクライアント設定にはデフォルト値を使用できます。

     注記

     Red Hat Single Sign-On サービスアカウントを使用している場合、クライアントの Access Type は、bearer-only ではなく confidential である必要があります。

3. Apicurio Registry Web コンソール用の Red Hat Single Sign-On クライアントを作成します。デフォルトでは、Apicurio Registry は次の設定を想定しています。

   • Client ID: apicurio-registry
   • Client Protocol: openid-connect
   • Access Type: public
   • Valid Redirect URLs: http://my-registry-url:8080/*

   • Web Origins: +

     他のクライアント設定にはデフォルト値を使用できます。

4. OpenShift 上の Apicurio Registry デプロイメントで、次の Apicurio Registry 環境変数を設定して、Red Hat Single Sign-On を使用した認証を設定します。

   表5.2 Apicurio Registry 認証の設定

   環境変数	説明	型	デフォルト
   AUTH_ENABLED	true に設定すると、以下の環境変数が必要です。	文字列	false
   KEYCLOAK_URL	使用する Red Hat Single Sign-On 認証サーバーの URL。/auth で終わる必要があります。	文字列	なし
   KEYCLOAK_REALM	認証に使用する Red Hat Single Sign-On レルム。	文字列	レジストリー
   KEYCLOAK_API_CLIENT_ID	Apicurio Registry REST API のクライアント ID。	String	registry-api
   KEYCLOAK_UI_CLIENT_ID	Apicurio Registry Web コンソールのクライアント ID。	String	apicurio-registry

   ヒント

   OpenShift に環境変数を設定する例については、「OpenShift での Apicurio Registry ヘルスチェックの設定」 を参照してください。

5. 以下のオプションを true に設定して、Red Hat Single Sign-On で Apicurio Registry ユーザーロールを有効にします。

   表5.3 Apicurio Registry ユーザーロールの設定

   環境変数	Java システムプロパティー	型	デフォルト値
   ROLES_ENABLED	registry.auth.roles.enabled	ブール値	false

6. Apicurio Registry ユーザーロールが有効になっている場合、Apicurio Registry ユーザーを、Red Hat Single Sign-On レルム内の以下のデフォルトユーザーロールの少なくとも 1 つに割り当てる必要があります。

   表5.4 レジストリーの認証および承認のデフォルトユーザーロール

   ロール	アーティファクトの読み取り	アーティファクトの書き込み	グローバルルール	概要
   sr-admin	はい	はい	可能	すべての作成、読み取り、更新、および削除操作へのフルアクセス。
   sr-developer	はい	はい	不可能	グローバルルールの設定を除く、作成、読み取り、更新、および削除操作へのアクセス。このロールはアーティファクトルールを設定できます。
   sr-readonly	はい	いいえ	いいえ	読み取りおよび検索操作のみへのアクセス。このロールはルールを設定できません。

7. 以下を true に設定して、Apicurio Registry のスキーマおよび API アーティファクトの更新に対して所有者のみの承認を有効にします。

   表5.5 所有者のみの承認の設定

   環境変数	Java システムプロパティー	型	デフォルト値
   REGISTRY_AUTH_OWNER_ONLY_AUTHORIZATION	registry.auth.owner-only-authorization	ブール値	false

手順

1. 自己署名証明書を使用して keystore を生成します。独自の証明書を使用している場合は、この手順を省略できます。

   keytool -genkey -trustcacerts -keyalg RSA -keystore registry-keystore.jks -storepass password

2. キーストアおよびキーストアのパスワードを保持する新しいシークレットを作成します。

   1. OpenShift Web コンソールの左側のナビゲーションメニューで、Workloads > Secrets > Create Key/Value Secret とクリックします。

   2. 次の値を使用します。
      Name: registry-keystore
      Key 1: keystore.jks
      Value 1: registry-keystore.jks (アップロードされたファイル)
      Key 2: password
      Value 2: password

      注記

      java.io.IOException: Invalid keystore format が発生した場合、バイナリーファイルのアップロードは正しく機能しませんでした。別の方法として、cat registry-keystore.jks | base64 -w0 > data.txt を使用してファイルを base64 文字列にエンコードし、yaml として Secret リソースを編集してエンコードされたファイルを手動で追加してください。

3. Apicurio Registry インスタンスの Deployment リソースを編集します。Apicurio Registry Operator の status フィールドで正しい名前を見つけることができます。

   1. キーストアシークレットをボリュームとして追加します。

      template:
        spec:
          volumes:
          - name: registry-keystore-secret-volume
            secret:
            secretName: registry-keystore

   2. ボリュームマウントを追加します。

      volumeMounts:
        - name: registry-keystore-secret-volume
          mountPath: /etc/registry-keystore
          readOnly: true

   3. JAVA_OPTIONS および KEYSTORE_PASSWORD 環境変数を追加します。

      - name: KEYSTORE_PASSWORD
        valueFrom:
          secretKeyRef:
            name: registry-keystore
            key: password
      - name: JAVA_OPTIONS
          value: >-
           -Dquarkus.http.ssl.certificate.key-store-file=/etc/registry-keystore/keystore.jks
           -Dquarkus.http.ssl.certificate.key-store-file-type=jks
           -Dquarkus.http.ssl.certificate.key-store-password=$(KEYSTORE_PASSWORD)

      注記

      順序は、文字列の補間を使用する場合に重要です。

   4. HTTPS ポートを有効にします。

      ports:
        - containerPort: 8080
          protocol: TCP
        - containerPort: 8443
          protocol: TCP

4. Apicurio Registry インスタンスの Service リソースを編集します。Apicurio Registry Operator の status フィールドで正しい名前を見つけることができます。

   ports:
     - name: http
       protocol: TCP
       port: 8080
       targetPort: 8080
     - name: https
       protocol: TCP
       port: 8443
       targetPort: 8443

5. 接続が機能していることを確認します。

   1. SSH を使用してクラスターの Pod に接続します (Apicurio Registry Pod を使用できます)。

      oc rsh -n default example-apicurioregistry-deployment-vx28s-4-lmtqb

   2. Serviceリソースから Apicurio Registry Pod のクラスター IP を見つけます (Web コンソールの Location 列を参照)。その後、テスト要求を実行します (自己署名証明書を使用するので、セキュアでないフラグが必要になります)。

      curl -k https://172.30.209.198:8443/health
      [...]

手順

1. Apicurio Registry Operator によって作成される HTTP ルートの他に、2 つ目の Route を追加します。以下の例を参照してください。

   kind: Route
   apiVersion: route.openshift.io/v1
   metadata:
     [...]
     labels:
       app: example-apicurioregistry
       [...]
   spec:
     host: example-apicurioregistry-default.apps.example.com
     to:
       kind: Service
       name: example-apicurioregistry-service-9whd7
       weight: 100
     port:
       targetPort: 8080
     tls:
       termination: edge
       insecureEdgeTerminationPolicy: Redirect
     wildcardPolicy: None

   注記

   insecureEdgeTerminationPolicy: Redirect 設定プロパティーが設定されていることを確認してください。

   証明書を指定しない場合、OpenShift はデフォルトを使用します。または、以下のコマンドを使用してカスタムの自己署名証明書を生成することもできます。

   openssl genrsa 2048 > host.key &&
   openssl req -new -x509 -nodes -sha256 -days 365 -key host.key -out host.cert

   次に、OpenShift CLI を使用してルートを作成します。

   oc create route edge \
     --service=example-apicurioregistry-service-9whd7 \
     --cert=host.cert --key=host.key \
     --hostname=example-apicurioregistry-default.apps.example.com \
     --insecure-policy=Redirect \
     -n default

手順

1. この curl コマンドを使用して、ロガー io.apicurio.registry.storage の現在のログレベルを取得します。

   $ curl -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"INFO"}

2. この curl コマンドを使用して、ロガー io.apicurio.registry.storage のログレベルを DEBUG に変更します。

   $ curl -X PUT -i -H "Content-Type: application/json" --data '{"level":"DEBUG"}' localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"DEBUG"}

3. この curl コマンドを使用して、ロガー io.apicurio.registry.storage のログレベルをデフォルト値に戻します。

   $ curl -X DELETE -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"INFO"}

手順

1. HTTP プロトコルを使用する場合は、以下のようにイベントをアプリケーションに送信するように Apicurio Registry を設定します。

   • registry.events.sink.my-custom-consumer=http://my-app-host:8888/events

2. 必要に応じて、複数のイベントコンシューマーを以下のように設定できます。

   • registry.events.sink.my-custom-consumer=http://my-app-host:8888/events
   • registry.events.sink.other-consumer=http://my-consumer.com/events

手順

1. Kafka プロトコルを使用する場合、以下のように Kafka トピックを設定します。

   • registry.events.kafka.topic=my-registry-events

2. KAFKA_BOOTSTRAP_SERVERS 環境変数を使用して、Kafka プロデューサーを設定できます。

   • KAFKA_BOOTSTRAP_SERVERS=my-kafka-host:9092

     または、registry.events.kafka.config 接頭辞を使用して kafka プロデューサーのプロパティーを設定できます。例: registry.events.kafka.config.bootstrap.servers=my-kafka-host:9092

3. 必要に応じて、イベントの生成に使用する Kafka トピックパーティションを設定することもできます。

   • registry.events.kafka.topic-partition=1