Red Hat SummitOpenShift への Apicurio Registry のインストールとデプロイ
Apicurio Registry 2.3 のインストールとデプロイ
概要
はじめに
多様性を受け入れるオープンソースの強化
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。
第1章 Service Registry Operator クイックスタート
カスタムリソース定義 (CRD) を使用して、コマンドラインで Service Registry Operator を迅速にインストールできます。
クイックスタートの例では、SQL データベースにストレージを持つ Apicurio Registry インスタンスをデプロイします。
実稼働環境で推奨されるインストールオプションは OpenShift OperatorHub です。推奨されるストレージオプションは、パフォーマンス、安定性、およびデータ管理のための SQL データベースです。
1.1. Quickstart Service Registry Operator のインストール
Service Registry Operator は、ダウンロードしたインストールファイルとサンプル CRD のセットを使用して、Operator Lifecycle Manager を使用せずにコマンドラインで迅速にインストールおよびデプロイできます。
前提条件
- アクセス権を持つ管理者として OpenShift クラスターにログインしている。
-
OpenShift
ocコマンドラインクライアントがインストールされている。詳細は、OpenShift CLI のドキュメント を参照してください。
手順
-
Red Hat Software Downloads に移動し、製品バージョンを選択して、Apicurio Registry CRD
.zipファイル内のサンプルをダウンロードします。 -
ダウンロードした CRD
.zipファイルを展開して、apicurio-registry-install-examplesディレクトリーに移動します。 Service Registry Operator インストールの OpenShift プロジェクトを作成します。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow export NAMESPACE="apicurio-registry" oc new-project "$NAMESPACE"
export NAMESPACE="apicurio-registry" oc new-project "$NAMESPACE"以下のコマンドを実行して、
install/install.yamlファイルにサンプル CRD を適用します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow cat install/install.yaml | sed "s/apicurio-registry-operator-namespace/$NAMESPACE/g" | oc apply -f -
cat install/install.yaml | sed "s/apicurio-registry-operator-namespace/$NAMESPACE/g" | oc apply -f -oc get deploymentと入力し、Service Registry Operator の readiness (準備状態) を確認します。たとえば、出力は以下のようになります。Copy to Clipboard Copied! Toggle word wrap Toggle overflow NAME READY UP-TO-DATE AVAILABLE AGE apicurio-registry-operator 1/1 1 1 XmYs
NAME READY UP-TO-DATE AVAILABLE AGE apicurio-registry-operator 1/1 1 1 XmYs
1.2. Quickstart Apicurio Registry インスタンスのデプロイメント
Apicurio Registry インスタンスのデプロイメントを作成するには、SQL データベースストレージオプションを使用して、既存の PostgreSQL データベースに接続します。
前提条件
- Service Registry Operator がインストールされていることを確認している。
- OpenShift クラスターからアクセス可能な PostgreSQL データベースがある。
手順
エディターで
examples/apicurioregistry_sql_cr.yamlファイルを開き、ApicurioRegistryカスタムリソース (CR) を表示します。SQL ストレージの CR の例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-sql spec: configuration: persistence: "sql" sql: dataSource: url: "jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>" userName: "postgres" password: "<password>" # OptionalapiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-sql spec: configuration: persistence: "sql" sql: dataSource: url: "jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>" userName: "postgres" password: "<password>" # OptionaldataSourceセクションで、設定例をデータベース接続の詳細に置き換えます。以下に例を示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow dataSource: url: "jdbc:postgresql://postgresql.apicurio-registry.svc:5432/registry" userName: "pgadmin" password: "pgpass"dataSource: url: "jdbc:postgresql://postgresql.apicurio-registry.svc:5432/registry" userName: "pgadmin" password: "pgpass"次のコマンドを入力して、Apicurio Registry Operator を使用して名前空間に更新された
ApicurioRegistryCR を適用し、Apicurio Registry インスタンスがデプロイされるのを待ちます。Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc project "$NAMESPACE" oc apply -f ./examples/apicurioregistry_sql_cr.yaml
oc project "$NAMESPACE" oc apply -f ./examples/apicurioregistry_sql_cr.yamloc getdeploymentと入力して、Apicurio Registry インスタンスの準備ができているかを確認します。たとえば、出力は以下のようになります。Copy to Clipboard Copied! Toggle word wrap Toggle overflow NAME READY UP-TO-DATE AVAILABLE AGE example-apicurioregistry-sql-deployment 1/1 1 1 XmYs
NAME READY UP-TO-DATE AVAILABLE AGE example-apicurioregistry-sql-deployment 1/1 1 1 XmYsoc get routesと入力してHOST/PORTURL を取得し、ブラウザーで Apicurio Registry Web コンソールを起動します。以下に例を示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow example-apicurioregistry-sql.apicurio-registry.router-default.apps.mycluster.myorg.mycompany.com
example-apicurioregistry-sql.apicurio-registry.router-default.apps.mycluster.myorg.mycompany.com
第2章 OpenShift に Apicurio Registry をインストールする
本章では、OpenShift Container Platform に Apicurio Registry をインストールする方法を説明します。
2.1. OpenShift OperatorHub からの Apicurio Registry のインストール
OperatorHub から OpenShift クラスターに Apicurio Registry Operator をインストールできます。OperatorHub は OpenShift Container Platform Web コンソールから使用でき、クラスター管理者が Operator を検出およびインストールするためのインターフェイスを提供します。詳細については、OperatorHub について を参照してください。
環境に応じて、複数の Apicurio Registry インスタンスをインストールできます。インスタンス数は、Apicurio Registry に保存されているアーティファクトの数および種類と、選択したストレージオプションによって異なります。
前提条件
- クラスター管理者として OpenShift クラスターにアクセスできる。
手順
- OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
新しい OpenShift プロジェクトを作成します。
- 左側のナビゲーションメニューで、Home、Project、Create Project と順にクリックします。
-
プロジェクト名 (
my-projectなど) を入力し、Create をクリックします。
- 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
-
Filter by keyword テキストボックスに
registryを入力し、Red Hat Integration - Service Registry Operator を見つけます。 - Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。
サブスクリプション設定を選択します。以下に例を示します。
Update Channel: 以下のいずれかを選択します。
- 2.x: 2.3.0 や 2.0.3 などのすべてのマイナーおよびパッチの更新が含まれます。たとえば、2.0.x へのインストールは 2.3.x にアップグレードされます。
- 2.0.x: 2.0.1 や 2.0.2 などのパッチの更新のみが含まれます。たとえば、2.0.x へのインストールは 2.3.x を無視します。
Installation Mode: 以下のいずれかを選択します。
- All namespaces on the cluster (default)
- A specific namespace on the cluster および my-project
- Approval Strategy: Automatic または Manual を選択します。
- Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。
第3章 AMQ Streams に Apicurio Registry ストレージをデプロイする
この章では、AMQ Streams に Apicurio Registry データストレージをインストールして設定する方法について説明します。
3.1. OpenShift OperatorHub からの AMQ Streams のインストール:
AMQ Streams がインストールされていない場合は、OperatorHub から OpenShift クラスターに AMQ Streams Operator をインストールできます。OperatorHub は OpenShift Container Platform Web コンソールから使用でき、クラスター管理者が Operator を検出およびインストールするためのインターフェイスを提供します。詳細については、OperatorHub について を参照してください。
前提条件
- クラスター管理者として OpenShift クラスターにアクセスできる必要があります。
- AMQ Streams のインストールの詳細については、OpenShift での AMQ Streams のデプロイとアップグレード を参照してください。ここでは、OpenShift OperatorHub を使用したインストールの簡単な例を示します。
手順
- OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
-
AMQ Streams をインストールする OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンから、
my-projectを選択します。 - 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
-
Filter by keyword テキストボックスに
AMQ Streamsを入力し、Red Hat Integration - AMQ Streams を見つけます。 - Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。
サブスクリプション設定を選択します。以下に例を示します。
- Update Channel と amq-streams-2.3.x
Installation Mode: 以下のいずれかを選択します。
- All namespaces on the cluster (default)
- A specific namespace on the cluster > my-project
- Approval Strategy: Automatic または Manual を選択します。
- Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。
3.2. OpenShift で Kafka ストレージを使用して Apicurio Registry を設定する
このセクションでは、OpenShift で AMQ Streams を使用して Apicurio Registry 用に Kafka ベースのストレージを設定する方法について説明します。kafkasql ストレージオプションは、インメモリー H2 データベースを備えた Kafka ストレージを使用します。このストレージオプションは、OpenShift の Kafka クラスターに persistent ストレージが設定されている実稼働環境に適しています。
既存の Kafka クラスターに Apicurio Registry をインストールするか、環境に応じて新しい Kafka クラスターを作成できます。
前提条件
- クラスター管理者として OpenShift クラスターにアクセスできる。
- Apicurio Registry がすでにインストールされている必要があります。2章OpenShift に Apicurio Registry をインストールするを参照してください。
- AMQ Streams がすでにインストールされている。「OpenShift OperatorHub からの AMQ Streams のインストール:」を参照してください。
手順
- OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
Kafka クラスターがまだ設定されていない場合は、AMQ Streams を使用して新しい Kafka クラスターを作成します。たとえば、OpenShift OperatorHub では以下を実行します。
- Installed Operators をクリックしてから Red Hat Integration - AMQ Streams をクリックします。
- Provided APIs、Kafka と選択し、Create Instance をクリックして新しい Kafka クラスターを作成します。
適切にカスタムリソース定義を編集し、Create をクリックします。
警告デフォルトの例では、3 つの Zookeeper ノード、および、
ephemeralストレージを持つ 3 つの Kafka ノードを持つクラスターが作成されます。この一時ストレージは開発およびテストにのみ適しており、実稼働には適していません。詳細については、OpenShift での AMQ ストリームのデプロイとアップグレード を参照してください。
- クラスターの準備ができたら、Provided APIs > Kafka > my-cluster > YAML をクリックします。
statusブロックで、bootstrapServers値のコピーを作成します。これは、後で Apicurio Registry をデプロイするために使用します。以下に例を示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow status: ... conditions: ... listeners: - addresses: - host: my-cluster-kafka-bootstrap.my-project.svc port: 9092 bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092' type: plain ...status: ... conditions: ... listeners: - addresses: - host: my-cluster-kafka-bootstrap.my-project.svc port: 9092 bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092' type: plain ...- Installed Operators > Red Hat Integration - Service Registry > ApicurioRegistry > Create ApicurioRegistry をクリックします。
次のカスタムリソース定義を貼り付けますが、前にコピーした
bootstrapServers値を使用します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-kafkasql spec: configuration: persistence: 'kafkasql' kafkasql: bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092'apiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-kafkasql spec: configuration: persistence: 'kafkasql' kafkasql: bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092'- Create をクリックし、Apicurio Registry ルートが OpenShift に作成されるのを待ちます。
Networking > Route をクリックして、Apicurio Registry Web コンソールの新しいルートにアクセスします。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow http://example-apicurioregistry-kafkasql.my-project.my-domain-name.com/
http://example-apicurioregistry-kafkasql.my-project.my-domain-name.com/Apicurio Registry がデータの保存に使用する Kafka トピックを設定するには、Installed Operators > Red Hat Integration - AMQ Streams > Provided APIs > Kafka Topic > kafkasql-journal > YAML をクリックします。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: kafka.strimzi.io/v1beta2 kind: KafkaTopic metadata: name: kafkasql-journal labels: strimzi.io/cluster: my-cluster namespace: ... spec: partitions: 3 replicas: 3 config: cleanup.policy: compactapiVersion: kafka.strimzi.io/v1beta2 kind: KafkaTopic metadata: name: kafkasql-journal labels: strimzi.io/cluster: my-cluster namespace: ... spec: partitions: 3 replicas: 3 config: cleanup.policy: compact警告Apicurio Registry で使用される Kafka トピック (デフォルトでは
kafkasql-journalという名前) を圧縮クリーンアップポリシーで設定する必要があります。そうしないと、データ損失が発生する可能性があります。
関連情報
- AMQ Streams を使用した Kafka クラスターとトピックの作成の詳細については、OpenShift での AMQ Streams のデプロイとアップグレード を参照してください。
3.3. TLS セキュリティーでの Kafka ストレージの設定
AMQ Streams Operator および Service Registry Operator を、暗号化された Transport Layer Security (TLS) 接続を使用するように設定できます。
前提条件
- OperatorHub またはコマンドラインを使用して Service Registry Operator をインストールしている。
- AMQ Streams Operator がインストールされているか、Kafka が OpenShift クラスターからアクセスできる。
ここでは、AMQ Streams Operator が利用可能であることを前提としていますが、任意の Kafka デプロイメントを使用できます。この場合、Service Registry Operator が想定する Openshift シークレットを手動で作成する必要があります。
手順
- OpenShift Web コンソールで Installed Operators をクリックし、AMQ Streams Operator の詳細を選択してから、Kafka タブをクリックします。
- Create Kafka をクリックし、Apicurio Registry ストレージの新しい Kafka クラスターをプロビジョニングします。
Kafka クラスターに TLS 認証を使用するように、
authorizationフィールドとtlsフィールドを設定します。次に例を示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: kafka.strimzi.io/v1beta2 kind: Kafka metadata: name: my-cluster namespace: registry-example-kafkasql-tls # Change or remove the explicit namespace spec: kafka: config: offsets.topic.replication.factor: 3 transaction.state.log.replication.factor: 3 transaction.state.log.min.isr: 2 log.message.format.version: '2.7' inter.broker.protocol.version: '2.7' version: 2.7.0 storage: type: ephemeral replicas: 3 listeners: - name: tls port: 9093 type: internal tls: true authentication: type: tls authorization: type: simple entityOperator: topicOperator: {} userOperator: {} zookeeper: storage: type: ephemeral replicas: 3apiVersion: kafka.strimzi.io/v1beta2 kind: Kafka metadata: name: my-cluster namespace: registry-example-kafkasql-tls # Change or remove the explicit namespace spec: kafka: config: offsets.topic.replication.factor: 3 transaction.state.log.replication.factor: 3 transaction.state.log.min.isr: 2 log.message.format.version: '2.7' inter.broker.protocol.version: '2.7' version: 2.7.0 storage: type: ephemeral replicas: 3 listeners: - name: tls port: 9093 type: internal tls: true authentication: type: tls authorization: type: simple entityOperator: topicOperator: {} userOperator: {} zookeeper: storage: type: ephemeral replicas: 3データを保存するために Apicurio Registry によって自動作成されるデフォルトの Kafka トピック名は
kafkasql-journalです。環境変数を設定することで、この動作またはデフォルトのトピック名をオーバーライドできます。デフォルト値は以下のとおりです。-
REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true -
REGISTRY_KAFKASQL_TOPIC=kafkasql-journal
Kafka トピックを手動で作成しない場合は、次の手順を省略します。
-
Kafka Topic タブをクリックし、Create Kafka Topic をクリックして、
kafkasql-journalトピックを作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: kafka.strimzi.io/v1beta1 kind: KafkaTopic metadata: name: kafkasql-journal labels: strimzi.io/cluster: my-cluster namespace: registry-example-kafkasql-tls spec: partitions: 2 replicas: 1 config: cleanup.policy: compactapiVersion: kafka.strimzi.io/v1beta1 kind: KafkaTopic metadata: name: kafkasql-journal labels: strimzi.io/cluster: my-cluster namespace: registry-example-kafkasql-tls spec: partitions: 2 replicas: 1 config: cleanup.policy: compactKafka User リソースを作成し、Apicurio Registry ユーザーの認証および承認を設定します。
metadataセクションでユーザー名を指定するか、デフォルトのmy-userを使用できます。Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: kafka.strimzi.io/v1beta1 kind: KafkaUser metadata: name: my-user labels: strimzi.io/cluster: my-cluster namespace: registry-example-kafkasql-tls spec: authentication: type: tls authorization: acls: - operation: All resource: name: '*' patternType: literal type: topic - operation: All resource: name: '*' patternType: literal type: cluster - operation: All resource: name: '*' patternType: literal type: transactionalId - operation: All resource: name: '*' patternType: literal type: group type: simpleapiVersion: kafka.strimzi.io/v1beta1 kind: KafkaUser metadata: name: my-user labels: strimzi.io/cluster: my-cluster namespace: registry-example-kafkasql-tls spec: authentication: type: tls authorization: acls: - operation: All resource: name: '*' patternType: literal type: topic - operation: All resource: name: '*' patternType: literal type: cluster - operation: All resource: name: '*' patternType: literal type: transactionalId - operation: All resource: name: '*' patternType: literal type: group type: simple注記このシンプルな例では、admin パーミッションを前提とし、Kafka トピックを自動的に作成します。Apicurio レジストリーが必要とするトピックとリソース専用に
authorizationセクションを設定する必要があります。次の例は、Kafka トピックを手動で作成する場合に必要な最小設定を示しています。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ... authorization: acls: - operations: - Read - Write resource: name: kafkasql-journal patternType: literal type: topic - operations: - Read - Write resource: name: apicurio-registry- patternType: prefix type: group type: simple... authorization: acls: - operations: - Read - Write resource: name: kafkasql-journal patternType: literal type: topic - operations: - Read - Write resource: name: apicurio-registry- patternType: prefix type: group type: simpleWorkloads、Secrets の順にクリックして、Apicurio Registry が Kafka クラスターに接続するために AMQ Streams が作成する 2 つのシークレットを見つけます。
-
my-cluster-cluster-ca-cert- Kafka クラスターの PKCS12 トラストストアが含まれています my-user- ユーザーのキーストアが含まれます注記シークレットの名前は、クラスターまたはユーザー名によって異なります。
-
シークレットを手動で作成する場合は、以下のキーと値のペアを含める必要があります。
my-cluster-ca-cert
-
ca.p12- PKCS12 形式のトラストストア -
ca.password- truststore password
-
my-user
-
user.p12- PKCS12 形式のキーストア -
user.password- keystore password
-
次の設定例を設定して、Apicurio Registry をデプロイします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-kafkasql-tls spec: configuration: persistence: "kafkasql" kafkasql: bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-tls.svc:9093" security: tls: keystoreSecretName: my-user truststoreSecretName: my-cluster-cluster-ca-certapiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-kafkasql-tls spec: configuration: persistence: "kafkasql" kafkasql: bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-tls.svc:9093" security: tls: keystoreSecretName: my-user truststoreSecretName: my-cluster-cluster-ca-cert
プレーンでセキュアでないユースケースとは別の bootstrapServers アドレスを使用する必要があります。アドレスは TLS 接続をサポートする必要があり、指定された Kafka リソースの type:tls フィールドにあります。
3.4. SCRAM セキュリティーでの Kafka ストレージの設定
Kafka クラスターの Salted Challenge Response Authentication Mechanism (SCRAM-SHA-512) を使用するように AMQ Streams Operator および Service Registry Operator を設定できます。
前提条件
- OperatorHub またはコマンドラインを使用して Service Registry Operator をインストールしている。
- AMQ Streams Operator がインストールされているか、Kafka が OpenShift クラスターからアクセスできる。
ここでは、AMQ Streams Operator が利用可能であることを前提としていますが、任意の Kafka デプロイメントを使用できます。この場合、Service Registry Operator が想定する Openshift シークレットを手動で作成する必要があります。
手順
- OpenShift Web コンソールで Installed Operators をクリックし、AMQ Streams Operator の詳細を選択してから、Kafka タブをクリックします。
- Create Kafka をクリックし、Apicurio Registry ストレージの新しい Kafka クラスターをプロビジョニングします。
Kafka クラスターに SCRAM-SHA-512 認証を使用するように、
authorizationフィールドとtlsフィールドを設定します。次に例を示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: kafka.strimzi.io/v1beta2 kind: Kafka metadata: name: my-cluster namespace: registry-example-kafkasql-scram # Change or remove the explicit namespace spec: kafka: config: offsets.topic.replication.factor: 3 transaction.state.log.replication.factor: 3 transaction.state.log.min.isr: 2 log.message.format.version: '2.7' inter.broker.protocol.version: '2.7' version: 2.7.0 storage: type: ephemeral replicas: 3 listeners: - name: tls port: 9093 type: internal tls: true authentication: type: scram-sha-512 authorization: type: simple entityOperator: topicOperator: {} userOperator: {} zookeeper: storage: type: ephemeral replicas: 3apiVersion: kafka.strimzi.io/v1beta2 kind: Kafka metadata: name: my-cluster namespace: registry-example-kafkasql-scram # Change or remove the explicit namespace spec: kafka: config: offsets.topic.replication.factor: 3 transaction.state.log.replication.factor: 3 transaction.state.log.min.isr: 2 log.message.format.version: '2.7' inter.broker.protocol.version: '2.7' version: 2.7.0 storage: type: ephemeral replicas: 3 listeners: - name: tls port: 9093 type: internal tls: true authentication: type: scram-sha-512 authorization: type: simple entityOperator: topicOperator: {} userOperator: {} zookeeper: storage: type: ephemeral replicas: 3データを保存するために Apicurio Registry によって自動作成されるデフォルトの Kafka トピック名は
kafkasql-journalです。環境変数を設定することで、この動作またはデフォルトのトピック名をオーバーライドできます。デフォルト値は以下のとおりです。-
REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true -
REGISTRY_KAFKASQL_TOPIC=kafkasql-journal
Kafka トピックを手動で作成しない場合は、次の手順を省略します。
-
Kafka Topic タブをクリックし、Create Kafka Topic をクリックして、
kafkasql-journalトピックを作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: kafka.strimzi.io/v1beta1 kind: KafkaTopic metadata: name: kafkasql-journal labels: strimzi.io/cluster: my-cluster namespace: registry-example-kafkasql-scram spec: partitions: 2 replicas: 1 config: cleanup.policy: compactapiVersion: kafka.strimzi.io/v1beta1 kind: KafkaTopic metadata: name: kafkasql-journal labels: strimzi.io/cluster: my-cluster namespace: registry-example-kafkasql-scram spec: partitions: 2 replicas: 1 config: cleanup.policy: compactKafka User リソースを作成し、Apicurio Registry ユーザーの SCRAM 認証および承認を設定します。
metadataセクションでユーザー名を指定するか、デフォルトのmy-userを使用できます。Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: kafka.strimzi.io/v1beta1 kind: KafkaUser metadata: name: my-user labels: strimzi.io/cluster: my-cluster namespace: registry-example-kafkasql-scram spec: authentication: type: scram-sha-512 authorization: acls: - operation: All resource: name: '*' patternType: literal type: topic - operation: All resource: name: '*' patternType: literal type: cluster - operation: All resource: name: '*' patternType: literal type: transactionalId - operation: All resource: name: '*' patternType: literal type: group type: simpleapiVersion: kafka.strimzi.io/v1beta1 kind: KafkaUser metadata: name: my-user labels: strimzi.io/cluster: my-cluster namespace: registry-example-kafkasql-scram spec: authentication: type: scram-sha-512 authorization: acls: - operation: All resource: name: '*' patternType: literal type: topic - operation: All resource: name: '*' patternType: literal type: cluster - operation: All resource: name: '*' patternType: literal type: transactionalId - operation: All resource: name: '*' patternType: literal type: group type: simple注記このシンプルな例では、admin パーミッションを前提とし、Kafka トピックを自動的に作成します。Apicurio レジストリーが必要とするトピックとリソース専用に
authorizationセクションを設定する必要があります。次の例は、Kafka トピックを手動で作成する場合に必要な最小設定を示しています。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ... authorization: acls: - operations: - Read - Write resource: name: kafkasql-journal patternType: literal type: topic - operations: - Read - Write resource: name: apicurio-registry- patternType: prefix type: group type: simple... authorization: acls: - operations: - Read - Write resource: name: kafkasql-journal patternType: literal type: topic - operations: - Read - Write resource: name: apicurio-registry- patternType: prefix type: group type: simpleWorkloads、Secrets の順にクリックして、Apicurio Registry が Kafka クラスターに接続するために AMQ Streams が作成する 2 つのシークレットを見つけます。
-
my-cluster-cluster-ca-cert- Kafka クラスターの PKCS12 トラストストアが含まれています my-user- ユーザーのキーストアが含まれます注記シークレットの名前は、クラスターまたはユーザー名によって異なります。
-
シークレットを手動で作成する場合は、以下のキーと値のペアを含める必要があります。
my-cluster-ca-cert
-
ca.p12-PKCS12 形式のトラストストア -
ca.password- truststore password
-
my-user
-
パスワード- ユーザーパスワード
-
Apicurio Registry をデプロイするように、以下の設定例を設定します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-kafkasql-scram spec: configuration: persistence: "kafkasql" kafkasql: bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-scram.svc:9093" security: scram: truststoreSecretName: my-cluster-cluster-ca-cert user: my-user passwordSecretName: my-userapiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-kafkasql-scram spec: configuration: persistence: "kafkasql" kafkasql: bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-scram.svc:9093" security: scram: truststoreSecretName: my-cluster-cluster-ca-cert user: my-user passwordSecretName: my-user
プレーンでセキュアでないユースケースとは別の bootstrapServers アドレスを使用する必要があります。アドレスは TLS 接続をサポートする必要があり、指定された Kafka リソースの type:tls フィールドにあります。
3.5. Kafka ストレージの OAuth 認証の設定
AMQ Sttreams で Kafka-based のストレージを使用する場合、Service Registry は OAuth 認証を必要とする Kafka クラスターへのアクセスをサポートします。このサポートを有効にするには、Apicurio Registry デプロイメントでいくつかの環境変数を設定する必要があります。
これらの環境変数を設定すると、Apicurio Registry の Kafka プロデューサーおよびコンシューマーアプリケーションはこの設定を使用して、OAuth を介して Kafka クラスターに対して認証します。
前提条件
- AMQ Streams で Apicurio Registry データの Kafka ベースのストレージをすでに設定している必要があります。「OpenShift で Kafka ストレージを使用して Apicurio Registry を設定する」を参照してください。
手順
Apicurio Registry デプロイメントで次の環境変数を設定します。
環境変数 説明 デフォルト値 ENABLE_KAFKA_SASLKafka の Apicurio Registry ストレージの SASL OAuth 認証を有効にします。他の変数を有効にするには、この変数を
trueに設定する必要があります。falseCLIENT_IDKafka への認証に使用されるクライアント ID。
-CLIENT_SECRETKafka への認証に使用されるクライアントシークレット。
-OAUTH_TOKEN_ENDPOINT_URIOAuth ID サーバーの URL。
http://localhost:8090
関連情報
- OpenShift で Apicurio Registry 環境変数を設定する方法の例については、次を参照してください。「OpenShift での Apicurio Registry ヘルスチェックの設定」
第4章 PostgreSQL データベースに Apicurio Registry ストレージをデプロイする
本章では、PostgreSQL データベースで Apicurio Registry データストレージをインストール、設定、および管理する方法を説明します。
4.1. OpenShift OperatorHub からの PostgreSQL データベースのインストール
PostgreSQL データベース Operator がインストールされていない場合は、OperatorHub から OpenShift クラスターに PostgreSQL Operator をインストールできます。OperatorHub は OpenShift Container Platform Web コンソールから使用でき、クラスター管理者が Operator を検出およびインストールするためのインターフェイスを提供します。詳細については、OperatorHub について を参照してください。
前提条件
- クラスター管理者として OpenShift クラスターにアクセスできる。
手順
- OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
-
PostgreSQL Operator をインストールする OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンから、
my-projectを選択します。 - 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
-
Filter by keyword テキストボックスに
PostgreSQLと入力して、環境に適した Operator を見つけます (例: Crunchy PostgreSQL for OpenShift)。 - Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。
サブスクリプション設定を選択します。以下に例を示します。
- Update Channel: stable
- Installation Mode: A specific namespace on the cluster および my-project
- Approval Strategy: Automatic または Manual を選択します。
Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。
重要データベースの作成と管理方法の詳細については、選択したPostgreSQL Operator のドキュメントを読む必要があります。
4.2. OpenShift での PostgreSQL データベースストレージを使用した Apicurio Registry の設定
本セクションでは、PostgreSQL データベース Operator を使用して、OpenShift の Apicurio Registry のストレージを設定する方法を説明します。既存のデータベースに Apicurio Registry をインストールするか、環境に応じて新規データベースを作成することができます。本セクションでは、Dev4Ddevs.com による PostgreSQL Operator を使用する簡単な例を紹介します。
前提条件
- クラスター管理者として OpenShift クラスターにアクセスできる。
- Apicurio Registry がすでにインストールされている必要があります。2章OpenShift に Apicurio Registry をインストールするを参照してください。
- OpenShift に PostgreSQL Operator がすでにインストールされている。たとえば、「OpenShift OperatorHub からの PostgreSQL データベースのインストール」 を参照してください。
手順
- OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
-
Apicurio Registry および PostgreSQL Operator がインストールされている OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンから、
my-projectを選択します。 - Apicurio Registry ストレージの PostgreSQL データベースを作成します。たとえば、Installed Operators、PostgreSQL Operator by Dev4Ddevs.com の順にクリックした後、Create database をクリックします。
YAML をクリックし、以下のようにデータベース設定を編集します。
-
name: 値をregistryに変更します -
image: 値をcentos/postgresql-12-centos7に変更します
-
実際の環境に応じて、必要に応じてその他のデータベース設定を編集します。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: postgresql.dev4devs.com/v1alpha1 kind: Database metadata: name: registry namespace: my-project spec: databaseCpu: 30m databaseCpuLimit: 60m databaseMemoryLimit: 512Mi databaseMemoryRequest: 128Mi databaseName: example databaseNameKeyEnvVar: POSTGRESQL_DATABASE databasePassword: postgres databasePasswordKeyEnvVar: POSTGRESQL_PASSWORD databaseStorageRequest: 1Gi databaseUser: postgres databaseUserKeyEnvVar: POSTGRESQL_USER image: centos/postgresql-12-centos7 size: 1
apiVersion: postgresql.dev4devs.com/v1alpha1 kind: Database metadata: name: registry namespace: my-project spec: databaseCpu: 30m databaseCpuLimit: 60m databaseMemoryLimit: 512Mi databaseMemoryRequest: 128Mi databaseName: example databaseNameKeyEnvVar: POSTGRESQL_DATABASE databasePassword: postgres databasePasswordKeyEnvVar: POSTGRESQL_PASSWORD databaseStorageRequest: 1Gi databaseUser: postgres databaseUserKeyEnvVar: POSTGRESQL_USER image: centos/postgresql-12-centos7 size: 1- Create をクリックし、データベースが作成されるまで待ちます。
- Installed Operators > Red Hat Integration - Service Registry > ApicurioRegistry > Create ApicurioRegistry をクリックします。
以下のカスタムリソース定義に貼り付け、データベース
urlおよびクレデンシャルの値を編集して環境と一致するようにします。Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-sql spec: configuration: persistence: 'sql' sql: dataSource: url: 'jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>' # e.g. url: 'jdbc:postgresql://acid-minimal-cluster.my-project.svc:5432/registry' userName: 'postgres' password: '<password>' # OptionalapiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-sql spec: configuration: persistence: 'sql' sql: dataSource: url: 'jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>' # e.g. url: 'jdbc:postgresql://acid-minimal-cluster.my-project.svc:5432/registry' userName: 'postgres' password: '<password>' # Optional- Create をクリックし、Apicurio Registry ルートが OpenShift に作成されるのを待ちます。
Networking > Route をクリックして、Apicurio Registry Web コンソールの新しいルートにアクセスします。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow http://example-apicurioregistry-sql.my-project.my-domain-name.com/
http://example-apicurioregistry-sql.my-project.my-domain-name.com/
4.3. Apicurio Registry PostgreSQL ストレージのバックアップ
PostgreSQL データベースでストレージを使用する場合は、Apicurio Registry に保存されているデータを定期的にバックアップする必要があります。
SQL Dump は、どのような PostgreSQL インストールでも動作するシンプルな手順です。これは pg_dump ユーティリティーを使用して、ダンプ時と同じ状態でデータベースを再作成するために使用できる SQL コマンドでファイルを生成します。
pg_dump は通常の PostgreSQL クライアントアプリケーションで、データベースにアクセスできる任意のリモートホストから実行することができます。他のクライアントと同様に、実行できる操作はユーザーの権限によって制限されます。
手順
pg_dumpコマンドを使用して、出力をファイルにリダイレクトします。Copy to Clipboard Copied! Toggle word wrap Toggle overflow pg_dump dbname > dumpfile
$ pg_dump dbname > dumpfile-hhostおよび-pportオプションを使用して、pg_dumpが接続するデータベースサーバーを指定できます。gzip などの圧縮ツールを使用して大きなダンプファイルを減らすことができます。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pg_dump dbname | gzip > filename.gz
$ pg_dump dbname | gzip > filename.gz
関連情報
- クライアント認証の詳細は、PostgreSQL のドキュメント を参照してください。
- レジストリーコンテンツのインポートおよびエクスポートに関する詳細は、Managing Apicurio Registry content using the REST API を参照してください。
4.4. Apicurio Registry PostgreSQL ストレージの復元
psql ユーティリティーを使用して、 pg_dump によって作成された SQL Dump ファイルを復元できます。
前提条件
-
pg_dumpを使用して、PostgreSQL データベースをすでにバックアップしている。「Apicurio Registry PostgreSQL ストレージのバックアップ」を参照してください。 - オブジェクトを所有するユーザー、またはダンプされたデータベースのオブジェクトに対する権限があるユーザーがすべて存在している。
手順
以下のコマンドを入力して、データベースを作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow createdb -T template0 dbname
$ createdb -T template0 dbname以下のコマンドを入力して SQL ダンプを復元します
Copy to Clipboard Copied! Toggle word wrap Toggle overflow psql dbname < dumpfile
$ psql dbname < dumpfile- クエリーオプティマイザーが便利な統計を持つように、各データベースで ANALYZE を実行します。
第5章 Apicurio Registry デプロイメントの保護
本章では、OpenShift での Apicurio Registry デプロイメントのセキュリティー設定について説明します。
Apicurio Registry は、OpenID Connect (OIDC) または HTTP Basic に基づいて Red Hat Single Sign-On を使用して認証および承認を行います。Red Hat Single Sign-On Operator を使用して必要な設定を自動的に設定するか、Red Hat Single Sign-On および Apicurio Registry で手動で設定する必要があります。
Apicurio Registry は、Red Hat Single Sign-On を使用して、Apicurio Registry Web コンソールとコア REST API にロールベースの認証と許可を提供します。Apicurio Registry は、アーティファクト作成者のみが書き込みアクセスを持つスキーマまたは API レベルでコンテンツベースの承認も提供します。OpenShift クラスターの内部または外部から Apicurio Registry への HTTPS 接続を設定することもできます。
関連情報
Java クライアントアプリケーションのセキュリティー設定の詳細は、以下を参照してください。
5.1. Red Hat Single Sign-On Operator を使用した Apicurio Registry の保護
次の手順は、Red Hat Single Sign-On によって保護されるように Apicurio Registry REST API と Web コンソールを設定する方法を示しています。
Apicurio Registry は、次のユーザーロールをサポートしています。
| 名前 | 機能 |
|---|---|
|
| 完全なアクセス。制限はありません。 |
|
|
アーティファクトを作成し、アーティファクトルールを設定します。グローバルルールの変更、インポート/エクスポートの実行、 |
|
|
表示と検索のみ。アーテファクトやルールの変更、インポート/エクスポートの実行、 |
ApicurioRegistry CRD には、Web コンソールを読み取り専用モードに設定するために使用できる関連する設定オプションがあります。ただし、この設定は REST API には影響しません。
前提条件
- Service Registry Operator がインストールされている。
- Red Hat Single Sign-On Operator をインストールするか、または OpenShift クラスターからアクセスできる Red Hat Single Sign-On が必要です。
この手順の設定例は、開発およびテストのみを目的としています。手順を単純にするために、実稼働環境で推奨される HTTPS やその他のセキュリティーは使用しません。詳細は、Red Hat Single Sign-On のドキュメントを参照してください。
手順
- OpenShift Web コンソールで、Installed Operators および Red Hat Single Sign-On Operator をクリックし、Keycloak タブをクリックします。
Create Keycloak をクリックし、Apicurio Registry デプロイメントのセキュリティーを保護するために、新しい Red Hat Single Sign-On インスタンスをプロビジョニングします。デフォルト値を使用できます。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: keycloak.org/v1alpha1 kind: Keycloak metadata: name: example-keycloak labels: app: sso spec: instances: 1 externalAccess: enabled: True podDisruptionBudget: enabled: TrueapiVersion: keycloak.org/v1alpha1 kind: Keycloak metadata: name: example-keycloak labels: app: sso spec: instances: 1 externalAccess: enabled: True podDisruptionBudget: enabled: True- インスタンスが作成されるまで待ち、Networking をクリックした後に Routes をクリックし、keycloak インスタンスの新規ルートにアクセスします。
-
Location URL をクリックし、表示された
../authURL 値をコピーして、後で Apicurio Registry のデプロイ時に使用します。 Installed Operators および Red Hat Single Sign-On Operator をクリックし、Keycloak Realm タブをクリックした後、Create Keycloak Realm をクリックして
registryのサンプルレルムを作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: keycloak.org/v1alpha1 kind: KeycloakRealm metadata: name: registry-keycloakrealm labels: app: registry spec: instanceSelector: matchLabels: app: sso realm: displayName: Registry enabled: true id: registry realm: registry sslRequired: none roles: realm: - name: sr-admin - name: sr-developer - name: sr-readonly clients: - clientId: registry-client-ui implicitFlowEnabled: true redirectUris: - '*' standardFlowEnabled: true webOrigins: - '*' publicClient: true - clientId: registry-client-api implicitFlowEnabled: true redirectUris: - '*' standardFlowEnabled: true webOrigins: - '*' publicClient: true users: - credentials: - temporary: false type: password value: changeme enabled: true realmRoles: - sr-admin username: registry-admin - credentials: - temporary: false type: password value: changeme enabled: true realmRoles: - sr-developer username: registry-developer - credentials: - temporary: false type: password value: changeme enabled: true realmRoles: - sr-readonly username: registry-userapiVersion: keycloak.org/v1alpha1 kind: KeycloakRealm metadata: name: registry-keycloakrealm labels: app: registry spec: instanceSelector: matchLabels: app: sso realm: displayName: Registry enabled: true id: registry realm: registry sslRequired: none roles: realm: - name: sr-admin - name: sr-developer - name: sr-readonly clients: - clientId: registry-client-ui implicitFlowEnabled: true redirectUris: - '*' standardFlowEnabled: true webOrigins: - '*' publicClient: true - clientId: registry-client-api implicitFlowEnabled: true redirectUris: - '*' standardFlowEnabled: true webOrigins: - '*' publicClient: true users: - credentials: - temporary: false type: password value: changeme enabled: true realmRoles: - sr-admin username: registry-admin - credentials: - temporary: false type: password value: changeme enabled: true realmRoles: - sr-developer username: registry-developer - credentials: - temporary: false type: password value: changeme enabled: true realmRoles: - sr-readonly username: registry-user重要実稼働環境にデプロイする場合は、ご使用の環境に適した値でこの
KeycloakRealmリソースをカスタマイズする必要があります。Red Hat Single Sign-On Web コンソールを使用してレルムを作成および管理することもできます。クラスターに有効な HTTPS 証明書が設定されていない場合は、一時的な回避策として次の HTTP
ServiceおよびIngressリソースを作成できます。Networking をクリックしてから Services をクリックし、以下の例を使用して Create Service をクリックします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: v1 kind: Service metadata: name: keycloak-http labels: app: keycloak spec: ports: - name: keycloak-http protocol: TCP port: 8080 targetPort: 8080 selector: app: keycloak component: keycloak type: ClusterIP sessionAffinity: None status: loadBalancer: {}apiVersion: v1 kind: Service metadata: name: keycloak-http labels: app: keycloak spec: ports: - name: keycloak-http protocol: TCP port: 8080 targetPort: 8080 selector: app: keycloak component: keycloak type: ClusterIP sessionAffinity: None status: loadBalancer: {}Networking をクリックしてから Ingresses をクリックし、以下の例を使用して Create Ingress をクリックします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: keycloak-http labels: app: keycloak spec: rules: - host: KEYCLOAK_HTTP_HOST http: paths: - path: / pathType: ImplementationSpecific backend: service: name: keycloak-http port: number: 8080apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: keycloak-http labels: app: keycloak spec: rules: - host: KEYCLOAK_HTTP_HOST http: paths: - path: / pathType: ImplementationSpecific backend: service: name: keycloak-http port: number: 8080hostの値を変更して、Apicurio Registry ユーザーがアクセスできるルートを作成し、Red Hat Single Sign-On Operator によって作成された HTTPS ルートの代わりにこれを使用します。
Service Registry Operator をクリックし、以下の例のように ApicurioRegistry タブをクリックして Create ApicurioRegistry をクリックしますが、
keycloakセクションの値を置き換えます。Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-kafkasql-keycloak spec: configuration: security: keycloak: url: "http://keycloak-http-<namespace>.apps.<cluster host>/auth" # ^ Required # Keycloak server URL, must end with `/auth`. # Use an HTTP URL in development. realm: "registry" # apiClientId: "registry-client-api" # ^ Optional (default value) # uiClientId: "registry-client-ui" # ^ Optional (default value) persistence: 'kafkasql' kafkasql: bootstrapServers: '<my-cluster>-kafka-bootstrap.<my-namespace>.svc:9092'apiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-kafkasql-keycloak spec: configuration: security: keycloak: url: "http://keycloak-http-<namespace>.apps.<cluster host>/auth" # ^ Required # Keycloak server URL, must end with `/auth`. # Use an HTTP URL in development. realm: "registry" # apiClientId: "registry-client-api" # ^ Optional (default value) # uiClientId: "registry-client-ui" # ^ Optional (default value) persistence: 'kafkasql' kafkasql: bootstrapServers: '<my-cluster>-kafka-bootstrap.<my-namespace>.svc:9092'
5.2. Red Hat Single Sign-On を使用した Apicurio Registry の認証と承認の設定
本セクションでは、Red Hat Single Sign-On を使用して Apicurio Registry の認証および承認オプションを手作業で設定する方法を説明します。
また、これらの設定を自動的に設定する方法の詳細は、「Red Hat Single Sign-On Operator を使用した Apicurio Registry の保護」 を参照してください。
OpenID Connect (OIDC) 使用して OAuth をベースとした Red Hat Single Sign-On を使用して、Apicurio Registry Web コンソールおよびコア REST API の認証を有効にすることができます。同じ Red Hat Single Sign-On レルムとユーザーは OpenID Connect を使用して Apicurio Registry Web コンソールとコア REST API で連携されるため、必要なクレデンシャルは 1 セットのみです。
Apicurio Registry は、デフォルトの admin、write、および read-only ユーザーロールのロールベースの承認を提供します。Apicurio Registry は、スキーマまたは API レベルでコンテンツベースの承認を提供し、レジストリーアーティファクトの作成者のみが更新または削除できます。Apicurio Registry の認証および承認設定は、デフォルトでは無効になっています。
前提条件
- Red Hat Single Sign-On がインストールされ、実行中である。詳細は、Red Hat Single Sign-On のユーザードキュメント を参照してください。
- Apicurio Registry がインストールされ、実行されています。
手順
-
Red Hat Single Sign-On 管理コンソールで、Apicurio Registry 用の Red Hat Single Sign-On レルムを作成します。デフォルトでは、Apicurio Registry は
registryのレルム名を想定しています。レルムの作成に関する詳細は、Red Hat Single Sign-On のユーザードキュメント を参照してください。 Apicurio Registry API 用の Red Hat Single Sign-On クライアントを作成します。デフォルトでは、Apicurio Registry は次の設定を想定しています。
-
Client ID:
registry-api -
Client Protocol:
openid-connect Access Type:
bearer-only他のクライアント設定にはデフォルト値を使用できます。
注記Red Hat Single Sign-On サービスアカウントを使用している場合、クライアントの Access Type は、
bearer-onlyではなくconfidentialである必要があります。
-
Client ID:
Apicurio Registry Web コンソール用の Red Hat Single Sign-On クライアントを作成します。デフォルトでは、Apicurio Registry は次の設定を想定しています。
-
Client ID:
apicurio-registry -
Client Protocol:
openid-connect -
Access Type:
public -
Valid Redirect URLs:
http://my-registry-url:8080/* Web Origins:
+他のクライアント設定にはデフォルト値を使用できます。
-
Client ID:
OpenShift 上の Apicurio Registry デプロイメントで、次の Apicurio Registry 環境変数を設定して、Red Hat Single Sign-On を使用した認証を設定します。
表5.2 Apicurio Registry 認証の設定 環境変数 説明 型 デフォルト AUTH_ENABLEDtrueに設定すると、以下の環境変数が必要です。文字列
falseKEYCLOAK_URL使用する Red Hat Single Sign-On 認証サーバーの URL。
/authで終わる必要があります。文字列
なし
KEYCLOAK_REALM認証に使用する Red Hat Single Sign-On レルム。
文字列
レジストリーKEYCLOAK_API_CLIENT_IDApicurio Registry REST API のクライアント ID。
文字列
registry-apiKEYCLOAK_UI_CLIENT_IDApicurio Registry Web コンソールのクライアント ID。
文字列
apicurio-registryヒントOpenShift に環境変数を設定する例については、「OpenShift での Apicurio Registry ヘルスチェックの設定」 を参照してください。
以下のオプションを
trueに設定して、Red Hat Single Sign-On で Apicurio Registry ユーザーロールを有効にします。表5.3 Apicurio Registry ロールベース認証の設定 環境変数 Java システムプロパティー 型 デフォルト値 ROLE_BASED_AUTHZ_ENABLEDregistry.auth.role-based-authorizationBoolean
falseApicurio Registry ユーザーロールが有効になっている場合、Apicurio Registry ユーザーを、Red Hat Single Sign-On レルム内の以下のデフォルトユーザーロールの少なくとも 1 つに割り当てる必要があります。
表5.4 レジストリーの認証および承認のデフォルトユーザーロール ロール アーティファクトの読み取り アーティファクトの書き込み グローバルルール 概要 sr-admin◯
◯
◯
すべての作成、読み取り、更新、および削除操作へのフルアクセス。
sr-developer◯
◯
✕
グローバルルールの設定を除く、作成、読み取り、更新、および削除操作へのアクセス。このロールはアーティファクトルールを設定できます。
sr-readonly◯
✕
✕
読み取りおよび検索操作のみへのアクセス。このロールはルールを設定できません。
以下を
trueに設定して、Apicurio Registry のスキーマおよび API アーティファクトの更新に対して所有者のみの承認を有効にします。表5.5 所有者のみの承認の設定 環境変数 Java システムプロパティー 型 デフォルト値 REGISTRY_AUTH_OBAC_ENABLEDregistry.auth.owner-only-authorizationBoolean
false
関連情報
- デフォルト以外のユーザーロール名の設定の詳細は、「Apicurio Registry の認証および承認の設定オプション」 を参照してください。
- オープンソースのアプリケーションおよび Keycloak レルムについては、Docker Compose-based example of using Keycloak with Apicurio Registry を参照してください。
- 実稼働環境で Red Hat Single Sign-On を使用する方法の詳細は、Red Hat Single Sign-On のドキュメント を参照してください。
- カスタムセキュリティーの設定に関する詳細は、Quarkus Open ID Connect のドキュメント を参照してください。
5.3. Apicurio Registry の認証および承認の設定オプション
Apicurio Registry は、Red Hat Single Sign-On または HTTP 基本認証を使用した OpenID Connect の認証オプションを提供します。
Apicurio Registry には、ロールベースおよびコンテンツベースのアプローチの承認オプションが用意されています。
- デフォルトの管理者、書き込み、および読み取り専用のユーザーロールに対するロールベースの承認。
- アーティファクトまたはアーティファクトグループの所有者のみがアーティファクトを更新または削除できるスキーマまたは API アーティファクトのコンテンツベースの承認。
Apicurio Registry の認証および承認オプションは、デフォルトで無効になっています。
この章では、次の設定オプションについて詳しく説明します。
OpenID Connect と Red Hat Single Sign-On を使用した Apicurio レジストリー認証
以下の環境変数を設定して、Red Hat Single Sign-On を使用して Apicurio Registry Web コンソールおよび API の認証を設定できます。
| 環境変数 | 説明 | 型 | デフォルト |
|---|---|---|---|
|
|
Apicurio Registry での認証を有効または無効にします。 | 文字列 |
|
|
|
使用する Red Hat Single Sign-On 認証サーバーの URL。 | 文字列 | - |
|
| 認証に使用する Red Hat Single Sign-On レルム。 | 文字列 | - |
|
| Apicurio Registry REST API のクライアント ID。 | 文字列 |
|
|
| Apicurio Registry Web コンソールのクライアント ID。 | 文字列 |
|
HTTP Basic を使用した Apicurio レジストリー認証
デフォルトでは、Apicurio Registry は OpenID Connect を使用した認証をサポートしています。ユーザー (または API クライアント) は、Apicurio Registry REST API への認証済み呼び出しを行うためにアクセストークンを取得する必要があります。ただし、一部のツールは OpenID Connect をサポートしていないため、次の設定オプションを true に設定することで、HTTP 基本認証をサポートするように Apicurio Registry を設定することもできます。
| 環境変数 | Java システムプロパティー | 型 | デフォルト値 |
|---|---|---|---|
|
|
| Boolean |
|
Apicurio Registry のロールベースの承認
次のオプションを true に設定して、Apicurio Registry でロールベースの承認を有効にすることができます。
| 環境変数 | Java システムプロパティー | 型 | デフォルト値 |
|---|---|---|---|
|
|
| Boolean |
|
次に、ユーザーの認証トークンに含まれるロール (Red Hat Single Sign-On を使用した認証時に付与されるロールなど) を使用するか、Apicurio Registry によって内部的に管理されるロールマッピングを使用するように、ロールベースの承認を設定できます。
Red Hat Single Sign-On で割り当てられたロールを使用する
Red Hat Single Sign-On によって割り当てられたロールを使用できるようにするには、以下の環境変数を設定します。
| 環境変数 | 説明 | 型 | デフォルト |
|---|---|---|---|
|
|
| 文字列 |
|
|
| ユーザーが管理者であることを示すロールの名前。 | 文字列 |
|
|
| ユーザーが開発者であることを示すロールの名前。 | 文字列 |
|
|
| ユーザーが読み取り専用アクセス権を持っていることを示すロールの名前。 | 文字列 |
|
Apicurio Registry が Red Hat Single Sign-On のロールを使用するように設定されている場合は、Apicurio Registry ユーザーを Red Hat Single Sign-On の以下のユーザーロールの少なくとも 1 つに割り当てる必要があります。ただし、表5.9「Red Hat Single Sign-On を使用した Apicurio Registry ロールベース認証の設定」 の環境変数を使用して別のユーザーロール名を設定できます。
| ロール名 | アーティファクトの読み取り | アーティファクトの書き込み | グローバルルール | 説明 |
|---|---|---|---|---|
|
| ◯ | ◯ | ◯ | すべての作成、読み取り、更新、および削除操作へのフルアクセス。 |
|
| ◯ | ◯ | ✕ | グローバルルールの設定およびインポート/エクスポートを除く、操作の作成、読み取り、更新、および削除へのアクセス。このロールはアーティファクトルールのみを設定できます。 |
|
| ◯ | ✕ | ✕ | 読み取りおよび検索操作のみへのアクセス。このロールはルールを設定できません。 |
Apicurio Registry でロールを直接管理する
Apicurio Registry によって内部的に管理されるロールの使用を有効にするには、次の環境変数を設定します。
| 環境変数 | 説明 | 型 | デフォルト |
|---|---|---|---|
|
|
| 文字列 |
|
内部てkに管理されたロールマッピングを使用する場合は、Apicurio Registry REST API の /admin/roleMappings エンドポイントを使用して、ユーザーにロールを割り当てることができます。詳細は、Apicurio Registry REST API のドキュメント を参照してください。
ユーザーに付与できるロールは、ADMIN、DEVELOPER、または READ_ONLY のいずれかだけです。管理者権限を持つユーザーのみが、他のユーザーにアクセス権を付与できます。
Apicurio Registry の管理者オーバーライド設定
Apicurio Registry にはデフォルトの管理者ユーザーがいないため、通常、ユーザーが管理者として識別されるように別の方法を設定すると便利です。次の環境変数を使用して、この管理オーバーライド機能を設定できます。
| 環境変数 | 説明 | 型 | デフォルト |
|---|---|---|---|
|
| 管理オーバーライド機能を有効にします。 | 文字列 |
|
|
|
管理オーバーライド情報を探す場所。現在 | 文字列 |
|
|
|
ユーザーが管理者かどうかを判断するために使用される情報の種類。値は FROM 変数の値によって異なります。たとえば、FROM が | 文字列 |
|
|
| ユーザーが管理者であることを示すロールの名前。 | 文字列 |
|
|
| 管理オーバーライドを決定するために使用する JWT トークンクレームの名前。 | 文字列 |
|
|
| CLAIM 変数によって示される JWT トークンクレームの値は、ユーザーが管理オーバーライドを付与されるためのものでなければなりません。 | 文字列 |
|
たとえば、この管理オーバーライド機能を使用して、sr-admin ロールを Red Hat Single Sign-On の 1 人のユーザーに割り当て、そのユーザーに admin ロールを付与できます。そのユーザーは、/admin/roleMappings REST API (または関連する UI) を使用して、追加のユーザー (追加の管理者を含む) にロールを付与できます。
Apicurio Registry 所有者のみの許可
以下のオプションを true に設定して、Apicurio Registry 内のアーティファクトまたはアーティファクトグループの更新に対して所有者のみの許可を有効にすることができます。
| 環境変数 | Java システムプロパティー | 型 | デフォルト値 |
|---|---|---|---|
|
|
| Boolean |
|
|
|
| Boolean |
|
所有者のみの許可が有効になっている場合は、アーティファクトを作成したユーザーのみがそのアーティファクトを変更または削除できます。
所有者のみの許可とグループの所有者のみの許可の両方が有効になっている場合は、アーティファクトグループを作成したユーザーのみが、そのアーティファクトグループへの書き込みアクセス権 (そのグループのアーティファクトを追加または削除するなど) を持ちます。
Apicurio Registry の認証済み読み取りアクセス
認証済み読み取りアクセスオプションが有効になっている場合、Apicurio Registry は、ユーザーロールに関係なく、同じ組織内の認証済みユーザーからのリクエストに対して、少なくとも読み取り専用アクセスを許可します。
認証された読み取りアクセスを有効にするには、最初にロールベースの承認を有効にしてから、次のオプションを true に設定する必要があります。
| 環境変数 | Java システムプロパティー | 型 | デフォルト値 |
|---|---|---|---|
|
|
| Boolean |
|
詳細は、「Apicurio Registry のロールベースの承認」 を参照してください。
Apicurio Registry の匿名の読み取り専用アクセス
2 つの主要な認証タイプ (ロールベースの認証と所有者ベースの認証) に加えて、Apicurio Registry は匿名の読み取り専用アクセスオプションをサポートしています。
認証のクレデンシャルを持たない REST API 呼び出しなどの匿名ユーザーが REST API への読み取り専用呼び出しを行うことを許可するには、次のオプションを true に設定します。
| 環境変数 | Java システムプロパティー | 型 | デフォルト値 |
|---|---|---|---|
|
|
| Boolean |
|
関連情報
- OpenShift の Apicurio Registry デプロイメントで環境変数を設定する方法の例については、次を参照してください。「OpenShift での Apicurio Registry ヘルスチェックの設定」
- Apicurio Registry のカスタム認証の設定に関する詳細は、Quarkus Open ID Connect のドキュメント を参照してください。
5.4. OpenShift クラスター内から Apicurio Registry への HTTPS 接続の設定
以下の手順では、OpenShift クラスター内から HTTPS 接続のポートを公開するように Apicurio Registry デプロイメントを設定する方法を説明します。
このような接続は、クラスター外部で直接利用できません。ルーティングはホスト名に基づいており、HTTPS 接続の場合はエンコードされます。そのため、エッジターミネーションまたはその他の設定は必要です。「OpenShift クラスター外から Apicurio Registry への HTTPS 接続の設定」 を参照してください。
前提条件
- Service Registry Operator がインストールされている。
手順
自己署名証明書を使用して
keystoreを生成します。独自の証明書を使用している場合は、この手順を省略できます。Copy to Clipboard Copied! Toggle word wrap Toggle overflow keytool -genkey -trustcacerts -keyalg RSA -keystore registry-keystore.jks -storepass password
keytool -genkey -trustcacerts -keyalg RSA -keystore registry-keystore.jks -storepass passwordキーストアおよびキーストアのパスワードを保持する新しいシークレットを作成します。
- OpenShift Web コンソールの左側のナビゲーションメニューで、Workloads > Secrets > Create Key/Value Secret とクリックします。
次の値を使用します。
Name:registry-keystore
Key 1:keystore.jks
Value 1: registry-keystore.jks (アップロードされたファイル)
Key 2:password
Value 2: password注記java.io.IOException: Invalid keystore formatが発生した場合、バイナリーファイルのアップロードは正しく機能しませんでした。別の方法として、cat registry-keystore.jks | base64 -w0 > data.txtを使用してファイルを base64 文字列にエンコードし、yaml として Secret リソースを編集してエンコードされたファイルを手動で追加してください。
Apicurio Registry インスタンスの Deployment リソースを編集します。Service Registry Operator の status フィールドで正しい名前を見つけることができます。
キーストアシークレットをボリュームとして追加します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow template: spec: volumes: - name: registry-keystore-secret-volume secret: secretName: registry-keystoretemplate: spec: volumes: - name: registry-keystore-secret-volume secret: secretName: registry-keystoreボリュームマウントを追加します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow volumeMounts: - name: registry-keystore-secret-volume mountPath: /etc/registry-keystore readOnly: truevolumeMounts: - name: registry-keystore-secret-volume mountPath: /etc/registry-keystore readOnly: trueJAVA_OPTIONSおよびKEYSTORE_PASSWORD環境変数を追加します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow - name: KEYSTORE_PASSWORD valueFrom: secretKeyRef: name: registry-keystore key: password - name: JAVA_OPTIONS value: >- -Dquarkus.http.ssl.certificate.key-store-file=/etc/registry-keystore/keystore.jks -Dquarkus.http.ssl.certificate.key-store-file-type=jks -Dquarkus.http.ssl.certificate.key-store-password=$(KEYSTORE_PASSWORD)- name: KEYSTORE_PASSWORD valueFrom: secretKeyRef: name: registry-keystore key: password - name: JAVA_OPTIONS value: >- -Dquarkus.http.ssl.certificate.key-store-file=/etc/registry-keystore/keystore.jks -Dquarkus.http.ssl.certificate.key-store-file-type=jks -Dquarkus.http.ssl.certificate.key-store-password=$(KEYSTORE_PASSWORD)注記順序は、文字列の補間を使用する場合に重要です。
HTTPS ポートを有効にします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ports: - containerPort: 8080 protocol: TCP - containerPort: 8443 protocol: TCPports: - containerPort: 8080 protocol: TCP - containerPort: 8443 protocol: TCP
Apicurio Registry インスタンスの Service リソースを編集します。Service Registry Operator の status フィールドで正しい名前を見つけることができます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ports: - name: http protocol: TCP port: 8080 targetPort: 8080 - name: https protocol: TCP port: 8443 targetPort: 8443ports: - name: http protocol: TCP port: 8080 targetPort: 8080 - name: https protocol: TCP port: 8443 targetPort: 8443接続が機能していることを確認します。
SSH を使用してクラスターの Pod に接続します (Apicurio Registry Pod を使用できます)。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc rsh -n default example-apicurioregistry-deployment-vx28s-4-lmtqb
oc rsh -n default example-apicurioregistry-deployment-vx28s-4-lmtqbServiceリソースから Apicurio Registry Pod のクラスター IP を見つけます (Web コンソールの Location 列を参照)。その後、テスト要求を実行します (自己署名証明書を使用するので、セキュアでないフラグが必要になります)。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow curl -k https://172.30.209.198:8443/health [...]
curl -k https://172.30.209.198:8443/health [...]
5.5. OpenShift クラスター外から Apicurio Registry への HTTPS 接続の設定
以下の手順では、OpenShift クラスター外からの接続に対して HTTPS エッジターミネーションを使用したルートを公開するために Apicurio Registry デプロイメントを設定する方法を説明します。
前提条件
- Service Registry Operator がインストールされている。
- セキュアなルートを作成するための OpenShift ドキュメント を読む。
手順
Service Registry Operator によって作成される HTTP ルートの他に、2 つ目の Route を追加します。以下の例を参照してください。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow kind: Route apiVersion: route.openshift.io/v1 metadata: [...] labels: app: example-apicurioregistry [...] spec: host: example-apicurioregistry-default.apps.example.com to: kind: Service name: example-apicurioregistry-service-9whd7 weight: 100 port: targetPort: 8080 tls: termination: edge insecureEdgeTerminationPolicy: Redirect wildcardPolicy: Nonekind: Route apiVersion: route.openshift.io/v1 metadata: [...] labels: app: example-apicurioregistry [...] spec: host: example-apicurioregistry-default.apps.example.com to: kind: Service name: example-apicurioregistry-service-9whd7 weight: 100 port: targetPort: 8080 tls: termination: edge insecureEdgeTerminationPolicy: Redirect wildcardPolicy: None注記insecureEdgeTerminationPolicy: Redirect設定プロパティーが設定されていることを確認してください。証明書を指定しない場合、OpenShift はデフォルトを使用します。または、以下のコマンドを使用してカスタムの自己署名証明書を生成することもできます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow openssl genrsa 2048 > host.key && openssl req -new -x509 -nodes -sha256 -days 365 -key host.key -out host.cert
openssl genrsa 2048 > host.key && openssl req -new -x509 -nodes -sha256 -days 365 -key host.key -out host.cert次に、OpenShift CLI を使用してルートを作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc create route edge \ --service=example-apicurioregistry-service-9whd7 \ --cert=host.cert --key=host.key \ --hostname=example-apicurioregistry-default.apps.example.com \ --insecure-policy=Redirect \ -n default
oc create route edge \ --service=example-apicurioregistry-service-9whd7 \ --cert=host.cert --key=host.key \ --hostname=example-apicurioregistry-default.apps.example.com \ --insecure-policy=Redirect \ -n default
第6章 Apicurio Registry デプロイメントの設定と管理
本章では、OpenShift での Apicurio Registry デプロイメントのオプションの設定および管理方法について説明します。
6.1. OpenShift での Apicurio Registry ヘルスチェックの設定
liveness および readiness プローブのオプションの環境変数を設定して、OpenShift の Apicurio Registry サーバーの健全性を監視できます。
- アプリケーションが進行可能な場合は liveness プローブ のテスト。アプリケーションが進行不可能な場合、OpenShift は障害のある Pod を自動的に再起動します。
- アプリケーションが要求を処理する準備ができている場合はreadiness プローブ のテスト。アプリケーションが準備できていない場合、リクエストに圧倒されてしまい、プローブが失敗した期間は OpenShift がリクエストの送信を停止します。他の Pod が OK の場合は、引き続き要求を受け取ります。
liveness および readiness 環境変数のデフォルト値はほとんどの場合を想定して設計されており、環境で必要とされる場合にのみ変更する必要があります。デフォルトへの変更は、ハードウェア、ネットワーク、および保存されたデータ量によって異なります。これらの値は、不要なオーバーヘッドを回避するために、できるだけ低く抑える必要があります。
前提条件
- クラスター管理者として OpenShift クラスターにアクセスできる。
- OpenShift に Apicurio Registry がすでにインストールされている必要があります。
- AMQ Streams または PostgreSQL で選択した Apicurio Registry ストレージがインストールされ、設定されている。
手順
- OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
- Installed Operators > Red Hat Integration - Service Registry Operator をクリックします。
- ApicurioRegistry タブで、example-apicurioregistry などのデプロイメントの Operator カスタムリソースをクリックします。
-
メインの概要ページで、Deployment Name セクションと Apicurio Registry デプロイメントの対応する
DeploymentConfig名を見つけます (例: example-apicurioregistry)。 -
左側のナビゲーションメニューでWorkloads > Deployment Configs をクリックし、
DeploymentConfig名を選択します。 Environment タブをクリックして、Single values env セクションに環境変数を入力します。以下に例を示します。
-
NAME:
LIVENESS_STATUS_RESET -
VALUE:
350
-
NAME:
下部にある Save をクリックします。
代わりに、OpenShift
ocコマンドを使用して、これらの手順を実行することもできます。詳細は、OpenShift CLI のドキュメント を参照してください。
6.2. Apicurio Registry ヘルスチェックの環境変数
このセクションでは、OpenShift の Apicurio Registry ヘルスチェックに使用できる環境変数について説明します。これには、OpenShift 上の Apicurio Registry サーバーの健全性を監視する liveness および readiness プローブが含まれます。手順の例は、「OpenShift での Apicurio Registry ヘルスチェックの設定」 を参照してください。
以下の環境変数は参考としてのみ提供されます。デフォルト値はほとんどの場合を想定して設計されており、環境に必要な場合のみ変更する必要があります。デフォルトへの変更は、ハードウェア、ネットワーク、および保存されたデータ量によって異なります。これらの値は、不要なオーバーヘッドを回避するために、できるだけ低く抑える必要があります。
liveness 環境変数
| 名前 | 説明 | 型 | デフォルト |
|---|---|---|---|
|
| liveness プローブが失敗するまでに発生する可能性のある liveness の問題またはエラーの数。 | Integer |
|
|
| しきい値となる数のエラーが発生する期間。たとえば、この値が 60 でしきい値が 1 の場合、1 分間に 2 件のエラーが発生するとチェックが失敗します。 | 秒 |
|
|
| liveness プローブが OK ステータスにリセットされるために、エラーなしで経過する必要のある秒数。 | 秒 |
|
|
| 無視された liveness 例外のコンマ区切りリスト。 | 文字列 |
|
OpenShift は liveness チェックに失敗した Pod を自動的に再起動するため、liveness 設定は readiness 設定とは異なり、OpenShift 上の Apicurio Registry の動作に直接影響を与えません。
readiness 環境変数
| 名前 | 説明 | 型 | デフォルト |
|---|---|---|---|
|
| readiness プローブが失敗するまでに発生する可能性のある readiness の問題またはエラーの数。 | Integer |
|
|
| しきい値となる数のエラーが発生する期間。たとえば、この値が 60 でしきい値が 1 の場合、1 分間に 2 件のエラーが発生するとチェックが失敗します。 | 秒 |
|
|
| liveness プローブが OK ステータスにリセットされるために、エラーなしで経過する必要のある秒数。ここでは、Pod が通常の動作に戻るまでの準備ができていない状態の期間を意味します。 | 秒 |
|
|
| readiness は 2 つの操作のタイムアウトを追跡します。
これらの操作に設定されたタイムアウトよりも時間がかかった場合、これは readiness 問題またはエラーとしてカウントされます。この値は、両方の操作のタイムアウトを制御します。 | 秒 |
|
6.3. Apicurio Registry 環境変数の管理
Service Registry Operator は最も一般的な Apicurio Registry 設定を管理しますが、手動で調整できるオプションがいくつかあります。Apicurio Registry Deployment リソースに環境変数を設定することで、これらを更新することができます。ApicurioRegistry CR で特定の設定オプションが使用できない場合は、環境変数を使用して調整できます。
手順
- OpenShift Web コンソール
- Installed Operators タブを選択してから、Red Hat Integration - Service Registry Operator を選択します。
-
ApicurioRegistry タブで、Apicurio Registry デプロイメントの
ApicurioRegistryCR をクリックします。 -
メインの概要ページで、Apicurio Registry インスタンスをデプロイするために Operator によって管理される
Deploymentの名前が含まれるmanagedResourcesセクションを表示します。 -
左側のメニューの Workloads > Deployments でその
Deploymentを見つけます。 -
正しい名前の
Deploymentを選択し、Environment タブを選択します。 - 環境変数を Single values (env) セクションに追加または変更できます。
- 下部にある Save をクリックします。
- OpenShift CLI
- Apicurio Registry がインストールされているプロジェクトを選択します。
-
oc get apicurioregistryを実行して、ApicurioRegistryCR のリストを取得します -
設定する Apicurio Registry インスタンスを表す CR で
oc describeを実行します。 -
statusセクションでmanagedResourceを表示します。 -
その
Deploymentを見つけて、oc editと入力します。 -
spec.template.spec.containers[0].envセクションで環境変数を追加または変更します。
6.4. Apicurio Registry Web コンソールを設定する
オプションの環境変数を設定して、デプロイメント環境専用に Apicurio Registry Web コンソールを設定したり、その動作をカスタマイズしたりできます。
前提条件
- Apicurio Registry はすでにインストールされています。
Web コンソールのデプロイメント環境の設定
ブラウザーで Apicurio Registry Web コンソールにアクセスすると、いくつかの初期設定が読み込まれます。次の設定が重要です。
- コア Apicurio Registry サーバー REST API の URL
- Apicurio Registry Web コンソールクライアントの URL
通常、Apicurio Registry はこれらの設定を自動的に検出して生成しますが、一部のデプロイメント環境ではこの自動検出が失敗する場合があります。その場合には、環境のこれらの URL を明示的に設定するように環境変数を設定できます。
手順
以下の環境変数を設定し、デフォルトの URL を上書きします。
-
REGISTRY_UI_CONFIG_APIURL: コア Apicurio Registry サーバー REST API の URL を指定します。例:https://registry.my-domain.com/apis/registry -
REGISTRY_UI_CONFIG_UIURL: Apicurio Registry Web コンソールクライアントの URL を指定します。たとえば、https://registry.my-domain.com/ui
読み取り専用モードでの Web コンソールの設定
オプション機能として、Apicurio Registry の Web コンソールを読み取り専用モードに設定することができます。このモードでは、Apicurio Registry Web コンソールでユーザーが登録されたアーティファクトを変更できる機能がすべて無効になります。たとえば、これには以下が含まれます。
- アーティファクトの作成
- 新しいアーティファクトバージョンのアップロード
- アーティファクトメタデータの更新
- アーティファクトの削除
手順
次の環境変数を設定します。
-
REGISTRY_UI_FEATURES_READONLY:trueに設定すると、読み取り専用モードが有効になります。デフォルトはfalseです。
6.5. Apicurio Registry ログの設定
実行時に Apicurio Registry のログ設定を設定できます。Apicurio Registry は、詳細なロギングのために特定のロガーのログレベルを設定する REST エンドポイントを提供します。本セクションでは、Apicurio Registry /admin REST API を使用して、実行時に Apicurio Registry ログレベルを表示および設定する方法を説明します。
前提条件
-
Apicurio Registry インスタンスにアクセスするための URL を取得するか、OpenShift にデプロイした場合に Apicurio Registry ルートを取得します。この簡単な例では、
localhost:8080の URL を使用しています。
手順
この
curlコマンドを使用して、ロガーio.apicurio.registry.storageの現在のログレベルを取得します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow curl -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
$ curl -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage HTTP/1.1 200 OK [...] Content-Type: application/json {"name":"io.apicurio.registry.storage","level":"INFO"}この
curlコマンドを使用して、ロガーio.apicurio.registry.storageのログレベルをDEBUGに変更します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow curl -X PUT -i -H "Content-Type: application/json" --data '{"level":"DEBUG"}' localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage$ curl -X PUT -i -H "Content-Type: application/json" --data '{"level":"DEBUG"}' localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage HTTP/1.1 200 OK [...] Content-Type: application/json {"name":"io.apicurio.registry.storage","level":"DEBUG"}この
curlコマンドを使用して、ロガーio.apicurio.registry.storageのログレベルをデフォルト値に戻します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow curl -X DELETE -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
$ curl -X DELETE -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage HTTP/1.1 200 OK [...] Content-Type: application/json {"name":"io.apicurio.registry.storage","level":"INFO"}
6.6. Apicurio Registry イベントソーシングの設定
Apicurio Registry は、変更がレジストリーに加えられたときにイベントを送信するように設定できます。たとえば、Apicurio Registry は、スキーマおよび API アーティファクトが作成、更新、削除された場合などにイベントをトリガーできます。このように、イベントをアプリケーションおよびサードパーティーのインテグレーションに送信するように Apicurio Registry を設定できます。
イベントの転送に使用できるさまざまなプロトコルがあります。現在実装されているプロトコルは HTTP および Apache Kafka です。ただし、プロトコルに関係なく、イベントは CNCF CloudEvents 仕様を使用して送信されます。
すべてのイベントタイプは、 io.apicurio.registry.events.dto.RegistryEventType で定義されています。たとえば、イベントタイプには次のものがあります。
-
io.apicurio.registry.artifact-created -
io.apicurio.registry.artifact-updated -
io.apicurio.registry.artifact-rule-created -
io.apicurio.registry.global-rule-created
Java システムプロパティーまたは同等の環境変数を使用して、Apicurio Registry でクラウドイベントを設定できます。
前提条件
- Apicurio Registry クラウドイベントの送信先となるアプリケーションが必要です。たとえば、カスタムアプリケーションやサードパーティーアプリケーションなどです。
HTTP を使用した Apicurio Registry イベントソーシングの設定
このセクションの例は、http://my-app-host:8888/events で実行されているカスタムアプリケーションを示しています。
手順
HTTP プロトコルを使用する場合は、以下のようにイベントをアプリケーションに送信するように Apicurio Registry を設定します。
-
registry.events.sink.my-custom-consumer=http://my-app-host:8888/events
-
必要に応じて、複数のイベントコンシューマーを以下のように設定できます。
-
registry.events.sink.my-custom-consumer=http://my-app-host:8888/events -
registry.events.sink.other-consumer=http://my-consumer.com/events
-
Apache Kafka を使用した Apicurio Registry イベントソーシングの設定
このセクションの例では、my-registry-events という名前の Kafka トピックが my-kafka-host:9092 で動作していることを示します。
手順
Kafka プロトコルを使用する場合、以下のように Kafka トピックを設定します。
-
registry.events.kafka.topic=my-registry-events
-
KAFKA_BOOTSTRAP_SERVERS環境変数を使用して、Kafka プロデューサーを設定できます。KAFKA_BOOTSTRAP_SERVERS=my-kafka-host:9092または、
registry.events.kafka.config接頭辞を使用して kafka プロデューサーのプロパティーを設定できます。例:registry.events.kafka.config.bootstrap.servers=my-kafka-host:9092
必要に応じて、イベントの生成に使用する Kafka トピックパーティションを設定することもできます。
-
registry.events.kafka.topic-partition=1
-
関連情報
- 詳細は、CNCF CloudEvents 仕様 を参照してください。
第7章 Service Registry Operator の設定リファレンス
本章では、Service Registry Operator をデプロイするように Apicurio Registry を設定するために使用されるカスタムリソースの詳細情報を提供します。
7.1. Apicurio Registry カスタムリソース
Service Registry Operator は、OpenShift 上の Apicurio Registry の単一デプロイメントを表す ApicurioRegistry custom resource (CR) を定義します。
これらのリソースオブジェクトはユーザーによって作成および維持され、Apicurio Registry のデプロイおよび設定方法を Service Registry Operator に指示します。
ApicurioRegistry CR の例
次のコマンドは、ApicurioRegistry リソースを表示します。
oc get apicurioregistry oc edit apicurioregistry example-apicurioregistry
oc get apicurioregistry
oc edit apicurioregistry example-apicurioregistryapiVersion: registry.apicur.io/v1
kind: ApicurioRegistry
metadata:
name: example-apicurioregistry
namespace: demo-kafka
# ...
spec:
configuration:
persistence: kafkasql
kafkasql:
bootstrapServers: 'my-cluster-kafka-bootstrap.demo-kafka.svc:9092'
deployment:
host: >-
example-apicurioregistry.demo-kafka.example.com
status:
conditions:
- lastTransitionTime: "2021-05-03T10:47:11Z"
message: ""
reason: Reconciled
status: "True"
type: Ready
info:
host: example-apicurioregistry.demo-kafka.example.com
managedResources:
- kind: Deployment
name: example-apicurioregistry-deployment
namespace: demo-kafka
- kind: Service
name: example-apicurioregistry-service
namespace: demo-kafka
- kind: Ingress
name: example-apicurioregistry-ingress
namespace: demo-kafka
apiVersion: registry.apicur.io/v1
kind: ApicurioRegistry
metadata:
name: example-apicurioregistry
namespace: demo-kafka
# ...
spec:
configuration:
persistence: kafkasql
kafkasql:
bootstrapServers: 'my-cluster-kafka-bootstrap.demo-kafka.svc:9092'
deployment:
host: >-
example-apicurioregistry.demo-kafka.example.com
status:
conditions:
- lastTransitionTime: "2021-05-03T10:47:11Z"
message: ""
reason: Reconciled
status: "True"
type: Ready
info:
host: example-apicurioregistry.demo-kafka.example.com
managedResources:
- kind: Deployment
name: example-apicurioregistry-deployment
namespace: demo-kafka
- kind: Service
name: example-apicurioregistry-service
namespace: demo-kafka
- kind: Ingress
name: example-apicurioregistry-ingress
namespace: demo-kafka
デフォルトで、Service Registry Operator は独自のプロジェクト namespace のみを監視します。したがって、operator を手動でデプロイする場合は、同じ namespace に ApicurioRegistry CR を作成する必要があります。Operator Deployment リソースの WATCH_NAMESPACE 環境変数を更新することで、この動作を修正することができます。
7.2. Apicurio Registry CR スペック
spec は、オペレーターがアーカイブするための望ましい状態または設定を提供するために使用される ApicurioRegistry CR の一部です。
ApicurioRegistry CR 仕様コンテンツ
以下のブロック例には、可能な spec 設定オプションの完全なツリーが含まれます。フィールドによっては、必須ではないものや、同時に定義してはいけないものもあります。
spec:
configuration:
persistence: <string>
sql:
dataSource:
url: <string>
userName: <string>
password: <string>
kafkasql:
bootstrapServers: <string>
security:
tls:
truststoreSecretName: <string>
keystoreSecretName: <string>
scram:
mechanism: <string>
truststoreSecretName: <string>
user: <string>
passwordSecretName: <string>
ui:
readOnly: <string>
logLevel: <string>
security:
keycloak:
url: <string>
realm: <string>
apiClientId: <string>
uiClientId: <string>
deployment:
replicas: <int32>
host: <string>
affinity: <k8s.io/api/core/v1 Affinity struct>
tolerations: <k8s.io/api/core/v1 []Toleration slice>
spec:
configuration:
persistence: <string>
sql:
dataSource:
url: <string>
userName: <string>
password: <string>
kafkasql:
bootstrapServers: <string>
security:
tls:
truststoreSecretName: <string>
keystoreSecretName: <string>
scram:
mechanism: <string>
truststoreSecretName: <string>
user: <string>
passwordSecretName: <string>
ui:
readOnly: <string>
logLevel: <string>
security:
keycloak:
url: <string>
realm: <string>
apiClientId: <string>
uiClientId: <string>
deployment:
replicas: <int32>
host: <string>
affinity: <k8s.io/api/core/v1 Affinity struct>
tolerations: <k8s.io/api/core/v1 []Toleration slice>以下の表は、各設定オプションについて説明しています。
| 設定オプション | 型 | デフォルト値 | 説明 |
|---|---|---|---|
|
| - | - | Apicurio Registry アプリケーションの設定セクション |
|
| string | 必須 |
ストレージバックエンド。 |
|
| - | - | SQL ストレージバックエンドの設定 |
|
| - | - | SQL ストレージバックエンドのデータベース接続設定 |
|
| string | 必須 | データベース接続 URL 文字列 |
|
| string | 必須 | データベースコネクションユーザー |
|
| string | 空 | データベース接続パスワード |
|
| - | - | Kafka ストレージバックエンドの設定 |
|
| string | 必須 | Streams ストレージバックエンドの Kafka ブートストラップサーバー URL。 |
|
| - | - | Kafka ストレージバックエンドの TLS 認証を設定するセクション。 |
|
| string | 必須 | Kafka の TLS トラストストアが含まれるシークレットの名前 |
|
| string | 必須 | ユーザー TLS キーストアを含むシークレットの名前 |
|
| string | 必須 | Kafka の TLS トラストストアが含まれるシークレットの名前 |
|
| string | 必須 | SCRAM ユーザー名 |
|
| string | 必須 | SCRAM ユーザーパスワードが含まれるシークレットの名前 |
|
| string |
| SASL メカニズム |
|
| - | - | Apicurio Registry Web コンソールの設定 |
|
| string |
| Apicurio Registry Web コンソールを読み取り専用モードに設定する |
|
| string |
|
Apicurio レジストリーのログレベル。 |
|
| - | - | Apicurio Registry Web コンソールと REST API のセキュリティー設定 |
|
| - | - | Keycloak を使用した Web コンソールおよび REST API セキュリティー設定 |
|
| string | 必須 |
Keycloak URL、 |
|
| string | 必須 | Keycloak レルム |
|
| string |
| REST API の Keycloak クライアント |
|
| string |
| Web コンソールの Keycloak クライアント |
|
| - | - | Apicurio Registry デプロイメント設定のセクション |
|
| 正の整数 |
| デプロイする Apicurio Registry Pod の数 |
|
| string | 自動生成 | Apicurio Registry コンソールと API が利用可能なホスト/URL。可能な場合は、Service Registry Operator はクラスタールーターの設定に基づいて正しい値を判別しようとします。値は一度だけ自動生成されるため、ユーザーは後で上書きすることができます。 |
|
| k8s.io/api/core/v1 Affinity struct | 空 | Apicurio Registry デプロイメントアフィニティー設定 |
|
| k8s.io/api/core/v1 []Toleration slice | 空 | Apicurio レジストリーのデプロイ容認の設定 |
オプションが 必須 とされている場合は、有効になっている他の設定オプションの条件である可能性があります。空の値は受け入れられる可能性がありますが、Operator は指定されたアクションを実行しません。
7.3. Apicurio レジストリーの CR ステータス
status は、Service Registry Operator によって管理される CR のセクションであり、現在のデプロイメントとアプリケーションの状態の説明が含まれています。
ApicurioRegistry CR ステータスのコンテンツ
status セクションには、次のフィールドが含まれています。
status:
info:
host: <string>
conditions: <list of:>
- type: <string>
status: <string, one of: True, False, Unknown>
reason: <string>
message: <string>
lastTransitionTime: <string, RFC-3339 timestamp>
managedResources: <list of:>
- kind: <string>
namespace: <string>
name: <string>
status:
info:
host: <string>
conditions: <list of:>
- type: <string>
status: <string, one of: True, False, Unknown>
reason: <string>
message: <string>
lastTransitionTime: <string, RFC-3339 timestamp>
managedResources: <list of:>
- kind: <string>
namespace: <string>
name: <string>| status フィールド | 型 | 説明 |
|---|---|---|
|
| - | デプロイされた Apicurio Registry に関する情報が含まれるセクション。 |
|
| string | Apicurio Registry UI および REST API にアクセスできる URL。 |
|
| - | Apicurio Registry のステータス、またはそのデプロイメントに関連した operator のステータスを報告する条件の一覧。 |
|
| string | 条件の型。 |
|
| string |
状態のステータス、 |
|
| string | 条件の最後の遷移の理由を示すプログラムによる識別子。 |
|
| string | 遷移の詳細を示す人が判読できるメッセージ。 |
|
| string | 最後にある状態から別の状態に遷移した時間。 |
|
| - | Service Registry Operator によって管理される OpenShift リソースの一覧 |
|
| string | リソースの種類。 |
|
| string | リソースの namespace。 |
|
| string | リソース名。 |
7.4. Apicurio Registry が管理するリソース
Apicurio Registry のデプロイ時に Service Registry Operator によって管理されるリソースは次のとおりです。
-
デプロイメント -
サービス -
Ingress(およびRoute) -
PodDisruptionBudget
7.5. Service Registry Operator ラベル
通常 Service Registry Operator によって管理されるリソースには、以下のようにラベルが付けられます。
| ラベル | 説明 |
|---|---|
|
|
指定された |
|
|
デプロイメントのタイプ: |
|
|
デプロイの名前: |
|
| Apicurio Registry または Service Registry Operator のバージョン |
|
| アプリケーションのデプロイメントに推奨される Kubernetes ラベルのセット。 |
|
| Red Hat 製品のメータリングラベル。 |
付録A サブスクリプションの使用
Apicurio Registry は、ソフトウェアサブスクリプションから提供されます。サブスクリプションを管理するには、Red Hat カスタマーポータルでアカウントにアクセスします。
アカウントへのアクセス
- access.redhat.com に移動します。
- アカウントがない場合は、作成します。
- アカウントにログインします。
サブスクリプションのアクティベート
- access.redhat.com に移動します。
- My Subscriptions に移動します。
- Activate a subscription に移動し、16 桁のアクティベーション番号を入力します。
ZIP および TAR ファイルのダウンロード
ZIP または TAR ファイルにアクセスするには、カスタマーポータルを使用して、ダウンロードする関連ファイルを検索します。RPM パッケージを使用している場合は、この手順は必要ありません。
- ブラウザーを開き、access.redhat.com/downloads で Red Hat カスタマーポータルの Product Downloads ページにログインします。
- Integration and Automation カテゴリーで Red Hat Integration エントリーを見つけます。
- 目的の Apicurio Registry 製品を選択します。Software Downloads ページが開きます。
- コンポーネントの Download リンクをクリックします。
パッケージ用のシステムの登録
Red Hat Enterprise Linux に RPM パッケージをインストールするには、システムを登録する必要があります。ZIP または TAR ファイルを使用している場合、この手順は必要ありません。
- access.redhat.com に移動します。
- Registration Assistant に移動します。
- ご使用の OS バージョンを選択し、次のページに進みます。
- システムターミナルで listed コマンドを使用して、登録を完了します。
詳細は How to Register and Subscribe a System to the Red Hat Customer Portal を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}