OpenShift への Apicurio Registry のインストールとデプロイ

手順

1. Red Hat Software Downloads に移動し、製品バージョンを選択して、Apicurio Registry CRD .zip ファイル内のサンプルをダウンロードします。
2. ダウンロードした CRD .zip ファイルを展開して、apicurio-registry-install-examples ディレクトリーに移動します。

3. Apicurio Registry Operator をインストールする OpenShift プロジェクトを作成します。次に例を示します。

   export NAMESPACE="apicurio-registry"
   oc new-project "$NAMESPACE"

4. 以下のコマンドを実行して、install/install.yaml ファイルにサンプル CRD を適用します。

   cat install/install.yaml | sed "s/apicurio-registry-operator-namespace/$NAMESPACE/g" | oc apply -f -

5. oc getdeployment と入力して、Apicurio Registry Operator の準備ができているかを確認します。たとえば、出力は以下のようになります。

   NAME                     	READY   UP-TO-DATE  AVAILABLE   AGE
   apicurio-registry-operator  1/1 	1        	1       	XmYs

手順

1. エディターで examples/apicurioregistry_sql_cr.yaml ファイルを開き、ApicurioRegistry カスタムリソース (CR) を表示します。

   SQL ストレージの CR の例

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-sql
   spec:
     configuration:
       persistence: "sql"
       sql:
         dataSource:
           url: "jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>"
           userName: "postgres"
           password: "<password>" # Optional

2. dataSource セクションで、設定例をデータベース接続の詳細に置き換えます。以下に例を示します。

   dataSource:
       url: "jdbc:postgresql://postgresql.apicurio-registry.svc:5432/registry"
       userName: "pgadmin"
       password: "pgpass"

3. 次のコマンドを入力して、Apicurio Registry Operator を使用して名前空間に更新された ApicurioRegistry CR を適用し、Apicurio Registry インスタンスがデプロイされるのを待ちます。

   oc project "$NAMESPACE"
   oc apply -f ./examples/apicurioregistry_sql_cr.yaml

4. oc getdeployment と入力して、Apicurio Registry インスタンスの準備ができているかを確認します。たとえば、出力は以下のようになります。

   NAME                     	        READY UP-TO-DATE AVAILABLE AGE
   example-apicurioregistry-sql-deployment 1/1   1          1         XmYs

5. oc get routes と入力して HOST/PORT URL を取得し、ブラウザーで Apicurio Registry Web コンソールを起動します。以下に例を示します。

   example-apicurioregistry-sql.apicurio-registry.router-default.apps.mycluster.myorg.mycompany.com

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。

2. 新しい OpenShift プロジェクトを作成します。

   1. 左側のナビゲーションメニューで、Home、Project、Create Project と順にクリックします。
   2. プロジェクト名 (my-project など) を入力し、Create をクリックします。
3. 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
4. Filter by keyword テキストボックスに registry を入力し、Red Hat Integration - Service Registry Operator を見つけます。
5. Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。

6. サブスクリプション設定を選択します。以下に例を示します。

   • Update Channel: 以下のいずれかを選択します。

     • 2.x: 2.3.0 や 2.0.3 などのすべてのマイナーおよびパッチの更新が含まれます。たとえば、2.0.x へのインストールは 2.3.x にアップグレードされます。
     • 2.0.x: 2.0.1 や 2.0.2 などのパッチの更新のみが含まれます。たとえば、2.0.x へのインストールは 2.3.x を無視します。

   • Installation Mode: 以下のいずれかを選択します。

     • All namespaces on the cluster (default)
     • A specific namespace on the cluster および my-project
   • Approval Strategy: Automatic または Manual を選択します。
7. Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
2. AMQ Streams をインストールする OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンから、my-project を選択します。
3. 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
4. Filter by keyword テキストボックスに AMQ Streams を入力し、Red Hat Integration - AMQ Streams を見つけます。
5. Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。

6. サブスクリプション設定を選択します。以下に例を示します。

   • Update Channel を選択してから amq-streams-2.6.x を選択します。

   • Installation Mode: 以下のいずれかを選択します。

     • All namespaces on the cluster (default)
     • A specific namespace on the cluster > my-project
   • Approval Strategy: Automatic または Manual を選択します。
7. Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。

2. Kafka クラスターがまだ設定されていない場合は、AMQ Streams を使用して新しい Kafka クラスターを作成します。たとえば、OpenShift OperatorHub では以下を実行します。

   1. Installed Operators をクリックしてから Red Hat Integration - AMQ Streams をクリックします。
   2. Provided APIs、Kafka と選択し、Create Instance をクリックして新しい Kafka クラスターを作成します。

   3. 適切にカスタムリソース定義を編集し、Create をクリックします。

      警告

      デフォルトの例では、3 つの Zookeeper ノード、および、ephemeral ストレージを持つ 3 つの Kafka ノードを持つクラスターが作成されます。この一時ストレージは開発およびテストにのみ適しており、実稼働には適していません。詳細は、OpenShift での AMQ Streams のデプロイと管理 を参照してください。

3. クラスターの準備ができたら、Provided APIs > Kafka > my-cluster > YAML をクリックします。

4. status ブロックで、bootstrapServers 値のコピーを作成します。これは、後で Apicurio Registry をデプロイするために使用します。以下に例を示します。

   status:
     ...
     conditions:
     ...
     listeners:
       - addresses:
           - host: my-cluster-kafka-bootstrap.my-project.svc
             port: 9092
         bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092'
         type: plain
     ...

5. Installed Operators > Red Hat Integration - Service Registry > ApicurioRegistry > Create ApicurioRegistry をクリックします｡

6. 次のカスタムリソース定義を貼り付けますが、前にコピーした bootstrapServers 値を使用します。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql
   spec:
     configuration:
       persistence: 'kafkasql'
       kafkasql:
         bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092'

7. Create をクリックし、Apicurio Registry ルートが OpenShift に作成されるのを待ちます。

8. Networking > Route をクリックして、Apicurio Registry Web コンソールの新しいルートにアクセスします。以下に例を示します。

   http://example-apicurioregistry-kafkasql.my-project.my-domain-name.com/

9. Apicurio Registry がデータの保存に使用する Kafka トピックを設定するには、Installed Operators > Red Hat Integration - AMQ Streams > Provided APIs > Kafka Topic > kafkasql-journal > YAML をクリックします。以下に例を示します。

   apiVersion: kafka.strimzi.io/v1beta2
   kind: KafkaTopic
   metadata:
     name: kafkasql-journal
     labels:
       strimzi.io/cluster: my-cluster
     namespace: ...
   spec:
     partitions: 3
     replicas: 3
     config:
       cleanup.policy: compact

   警告

   Apicurio Registry で使用される Kafka トピック (デフォルトでは kafkasql-journal という名前) を圧縮クリーンアップポリシーで設定する必要があります。そうしないと、データ損失が発生する可能性があります。

手順

1. OpenShift Web コンソールで Installed Operators をクリックし、AMQ Streams Operator の詳細を選択してから、Kafka タブをクリックします。
2. Create Kafka をクリックし、Apicurio Registry ストレージの新しい Kafka クラスターをプロビジョニングします。

3. Kafka クラスターに TLS 認証を使用するように、 authorization フィールドと tls フィールドを設定します。次に例を示します。

   apiVersion: kafka.strimzi.io/v1beta2
   kind: Kafka
   metadata:
     name: my-cluster
     namespace: registry-example-kafkasql-tls
     # Change or remove the explicit namespace
   spec:
     kafka:
       config:
         offsets.topic.replication.factor: 3
         transaction.state.log.replication.factor: 3
         transaction.state.log.min.isr: 2
         log.message.format.version: '2.7'
         inter.broker.protocol.version: '2.7'
       version: 2.7.0
       storage:
         type: ephemeral
       replicas: 3
       listeners:
         - name: tls
           port: 9093
           type: internal
           tls: true
           authentication:
             type: tls
       authorization:
         type: simple
     entityOperator:
       topicOperator: {}
       userOperator: {}
     zookeeper:
       storage:
         type: ephemeral
       replicas: 3

   データを保存するために Apicurio Registry によって自動作成されるデフォルトの Kafka トピック名は kafkasql-journal です。環境変数を設定することで、この動作またはデフォルトのトピック名をオーバーライドできます。デフォルト値は以下のとおりです。

   • REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true
   • REGISTRY_KAFKASQL_TOPIC=kafkasql-journal

   Kafka トピックを手動で作成しない場合は、次の手順を省略します。

4. Kafka Topic タブをクリックし、Create Kafka Topic をクリックして、kafkasql-journal トピックを作成します。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaTopic
   metadata:
     name: kafkasql-journal
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-tls
   spec:
     partitions: 2
     replicas: 1
     config:
       cleanup.policy: compact

5. Kafka User リソースを作成し、Apicurio Registry ユーザーの認証および認可を設定します。metadata セクションでユーザー名を指定するか、デフォルトの my-user を使用できます。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaUser
   metadata:
     name: my-user
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-tls
   spec:
     authentication:
       type: tls
     authorization:
       acls:
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: topic
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: cluster
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: transactionalId
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: group
       type: simple

   注記

   このシンプルな例では、admin パーミッションを前提とし、Kafka トピックを自動的に作成します。Apicurio Registry が必要とするトピックとリソース専用に authorization セクションを設定する必要があります。

   次の例は、Kafka トピックを手動で作成する場合に必要な最小設定を示しています。

    ...
     authorization:
       acls:
       - operations:
           - Read
           - Write
         resource:
           name: kafkasql-journal
           patternType: literal
           type: topic
       - operations:
           - Read
           - Write
         resource:
           name: apicurio-registry-
           patternType: prefix
           type: group
       type: simple

6. Workloads、Secrets の順にクリックして、Apicurio Registry が Kafka クラスターに接続するために AMQ Streams が作成する 2 つのシークレットを見つけます。

   • my-cluster-cluster-ca-cert - Kafka クラスターの PKCS12 トラストストアが含まれています

   • my-user - ユーザーのキーストアが含まれます

     注記

     シークレットの名前は、クラスターまたはユーザー名によって異なります。

7. シークレットを手動で作成する場合は、以下のキーと値のペアを含める必要があります。

   • my-cluster-ca-cert

     • ca.p12 - PKCS12 形式のトラストストア
     • ca.password - truststore password

   • my-user

     • user.p12 - PKCS12 形式のキーストア
     • user.password - keystore password

8. 次の設定例を設定して、Apicurio Registry をデプロイします。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql-tls
   spec:
     configuration:
       persistence: "kafkasql"
       kafkasql:
         bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-tls.svc:9093"
         security:
           tls:
             keystoreSecretName: my-user
             truststoreSecretName: my-cluster-cluster-ca-cert

手順

1. OpenShift Web コンソールで Installed Operators をクリックし、AMQ Streams Operator の詳細を選択してから、Kafka タブをクリックします。
2. Create Kafka をクリックし、Apicurio Registry ストレージの新しい Kafka クラスターをプロビジョニングします。

3. Kafka クラスターに SCRAM-SHA-512 認証を使用するように、 authorization フィールドと tls フィールドを設定します。次に例を示します。

   apiVersion: kafka.strimzi.io/v1beta2
   kind: Kafka
   metadata:
     name: my-cluster
     namespace: registry-example-kafkasql-scram
     # Change or remove the explicit namespace
   spec:
     kafka:
       config:
         offsets.topic.replication.factor: 3
         transaction.state.log.replication.factor: 3
         transaction.state.log.min.isr: 2
         log.message.format.version: '2.7'
         inter.broker.protocol.version: '2.7'
       version: 2.7.0
       storage:
         type: ephemeral
       replicas: 3
       listeners:
         - name: tls
           port: 9093
           type: internal
           tls: true
           authentication:
             type: scram-sha-512
       authorization:
         type: simple
     entityOperator:
       topicOperator: {}
       userOperator: {}
     zookeeper:
       storage:
         type: ephemeral
       replicas: 3

   データを保存するために Apicurio Registry によって自動作成されるデフォルトの Kafka トピック名は kafkasql-journal です。環境変数を設定することで、この動作またはデフォルトのトピック名をオーバーライドできます。デフォルト値は以下のとおりです。

   • REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true
   • REGISTRY_KAFKASQL_TOPIC=kafkasql-journal

   Kafka トピックを手動で作成しない場合は、次の手順を省略します。

4. Kafka Topic タブをクリックし、Create Kafka Topic をクリックして、kafkasql-journal トピックを作成します。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaTopic
   metadata:
     name: kafkasql-journal
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-scram
   spec:
     partitions: 2
     replicas: 1
     config:
       cleanup.policy: compact

5. Kafka User リソースを作成し、Apicurio Registry ユーザーの SCRAM 認証および認可を設定します。metadata セクションでユーザー名を指定するか、デフォルトの my-user を使用できます。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaUser
   metadata:
     name: my-user
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-scram
   spec:
     authentication:
       type: scram-sha-512
     authorization:
       acls:
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: topic
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: cluster
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: transactionalId
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: group
       type: simple

   注記

   このシンプルな例では、admin パーミッションを前提とし、Kafka トピックを自動的に作成します。Apicurio Registry が必要とするトピックとリソース専用に authorization セクションを設定する必要があります。

   次の例は、Kafka トピックを手動で作成する場合に必要な最小設定を示しています。

    ...
     authorization:
       acls:
       - operations:
           - Read
           - Write
         resource:
           name: kafkasql-journal
           patternType: literal
           type: topic
       - operations:
           - Read
           - Write
         resource:
           name: apicurio-registry-
           patternType: prefix
           type: group
       type: simple

6. Workloads、Secrets の順にクリックして、Apicurio Registry が Kafka クラスターに接続するために AMQ Streams が作成する 2 つのシークレットを見つけます。

   • my-cluster-cluster-ca-cert - Kafka クラスターの PKCS12 トラストストアが含まれています

   • my-user - ユーザーのキーストアが含まれます

     注記

     シークレットの名前は、クラスターまたはユーザー名によって異なります。

7. シークレットを手動で作成する場合は、以下のキーと値のペアを含める必要があります。

   • my-cluster-ca-cert

     • ca.p12 -PKCS12 形式のトラストストア
     • ca.password - truststore password

   • my-user

     • パスワード - ユーザーパスワード

8. Apicurio Registry をデプロイするように、以下の設定例を設定します。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql-scram
   spec:
     configuration:
       persistence: "kafkasql"
       kafkasql:
         bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-scram.svc:9093"
         security:
           scram:
             truststoreSecretName: my-cluster-cluster-ca-cert
             user: my-user
             passwordSecretName: my-user

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
2. PostgreSQL Operator をインストールする OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンから、my-project を選択します。
3. 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
4. Filter by keyword テキストボックスに PostgreSQL と入力して、環境に適した Operator を見つけます (例: Crunchy PostgreSQL for OpenShift)。
5. Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。

6. サブスクリプション設定を選択します。以下に例を示します。

   • Update Channel: stable
   • Installation Mode: A specific namespace on the cluster および my-project
   • Approval Strategy: Automatic または Manual を選択します。

7. Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。

   重要

   データベースの作成と管理方法の詳細については、選択したPostgreSQL Operator のドキュメントを読む必要があります。

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
2. Apicurio Registry および PostgreSQL Operator がインストールされている OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンから、my-project を選択します。
3. Apicurio Registry ストレージの PostgreSQL データベースを作成します。たとえば、Installed Operators、PostgreSQL Operator by Dev4Ddevs.com の順にクリックした後、Create database をクリックします。

4. YAML をクリックし、以下のようにデータベース設定を編集します。

   • name: 値を registry に変更します
   • image: 値を centos/postgresql-12-centos7 に変更します

5. 実際の環境に応じて、必要に応じてその他のデータベース設定を編集します。以下に例を示します。

   apiVersion: postgresql.dev4devs.com/v1alpha1
   kind: Database
   metadata:
     name: registry
     namespace: my-project
   spec:
     databaseCpu: 30m
     databaseCpuLimit: 60m
     databaseMemoryLimit: 512Mi
     databaseMemoryRequest: 128Mi
     databaseName: example
     databaseNameKeyEnvVar: POSTGRESQL_DATABASE
     databasePassword: postgres
     databasePasswordKeyEnvVar: POSTGRESQL_PASSWORD
     databaseStorageRequest: 1Gi
     databaseUser: postgres
     databaseUserKeyEnvVar: POSTGRESQL_USER
     image: centos/postgresql-12-centos7
     size: 1

6. Create をクリックし、データベースが作成されるまで待ちます。
7. Installed Operators > Red Hat Integration - Service Registry > ApicurioRegistry > Create ApicurioRegistry をクリックします｡

8. 以下のカスタムリソース定義に貼り付け、データベース url およびクレデンシャルの値を編集して環境と一致するようにします。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-sql
   spec:
     configuration:
       persistence: 'sql'
       sql:
         dataSource:
           url: 'jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>'
           # e.g. url: 'jdbc:postgresql://acid-minimal-cluster.my-project.svc:5432/registry'
           userName: 'postgres'
           password: '<password>' # Optional

9. Create をクリックし、Apicurio Registry ルートが OpenShift に作成されるのを待ちます。

10. Networking > Route をクリックして、Apicurio Registry Web コンソールの新しいルートにアクセスします。以下に例を示します。

    http://example-apicurioregistry-sql.my-project.my-domain-name.com/

手順

1. 以下のコマンドを入力して、データベースを作成します。

    $ createdb -T template0 dbname

2. 以下のコマンドを入力して SQL ダンプを復元します

    $ psql dbname < dumpfile

3. クエリーオプティマイザーが便利な統計を持つように、各データベースで ANALYZE を実行します。

手順

1. OpenShift Web コンソールで、Installed Operators および Red Hat Single Sign-On Operator をクリックし、Keycloak タブをクリックします。

2. Create Keycloak をクリックし、Apicurio Registry デプロイメントのセキュリティーを保護するために、新しい Red Hat Single Sign-On インスタンスをプロビジョニングします。デフォルト値を使用できます。以下に例を示します。

   apiVersion: keycloak.org/v1alpha1
   kind: Keycloak
   metadata:
     name: example-keycloak
     labels:
       app: sso
   spec:
     instances: 1
     externalAccess:
       enabled: True
     podDisruptionBudget:
       enabled: True

3. インスタンスが作成されるまで待ち、Networking をクリックした後に Routes をクリックし、keycloak インスタンスの新規ルートにアクセスします。
4. Location URL をクリックし、表示された URL 値をコピーして、後で Apicurio Registry のデプロイ時に使用します。

5. Installed Operators および Red Hat Single Sign-On Operator をクリックし、Keycloak Realm タブをクリックした後、Create Keycloak Realm をクリックして registry のサンプルレルムを作成します。

   apiVersion: keycloak.org/v1alpha1
   kind: KeycloakRealm
   metadata:
     name: registry-keycloakrealm
     labels:
       app: sso
   spec:
     instanceSelector:
       matchLabels:
         app: sso
     realm:
       displayName: Registry
       enabled: true
       id: registry
       realm: registry
       sslRequired: none
       roles:
         realm:
           - name: sr-admin
           - name: sr-developer
           - name: sr-readonly
       clients:
         - clientId: registry-client-ui
           implicitFlowEnabled: true
           redirectUris:
             - '*'
           standardFlowEnabled: true
           webOrigins:
             - '*'
           publicClient: true
         - clientId: registry-client-api
           implicitFlowEnabled: true
           redirectUris:
             - '*'
           standardFlowEnabled: true
           webOrigins:
             - '*'
           publicClient: true
       users:
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-admin
           username: registry-admin
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-developer
           username: registry-developer
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-readonly
           username: registry-user

   重要

   実稼働環境にデプロイする場合は、ご使用の環境に適した値でこの KeycloakRealm リソースをカスタマイズする必要があります。Red Hat Single Sign-On Web コンソールを使用してレルムを作成および管理することもできます。

6. クラスターに有効な HTTPS 証明書が設定されていない場合は、一時的な回避策として次の HTTP Service および Ingress リソースを作成できます。

   1. Networking をクリックしてから Services をクリックし、以下の例を使用して Create Service をクリックします。

      apiVersion: v1
      kind: Service
      metadata:
        name: keycloak-http
        labels:
          app: keycloak
      spec:
        ports:
          - name: keycloak-http
            protocol: TCP
            port: 8080
            targetPort: 8080
        selector:
          app: keycloak
          component: keycloak
        type: ClusterIP
        sessionAffinity: None
      status:
        loadBalancer: {}

   2. Networking をクリックしてから Ingresses をクリックし、以下の例を使用して Create Ingress をクリックします。

      apiVersion: networking.k8s.io/v1
      kind: Ingress
      metadata:
        name: keycloak-http
        labels:
          app: keycloak
      spec:
        rules:
          - host: KEYCLOAK_HTTP_HOST
            http:
              paths:
                - path: /
                  pathType: ImplementationSpecific
                  backend:
                    service:
                      name: keycloak-http
                      port:
                        number: 8080

      host の値を変更して、Apicurio Registry ユーザーがアクセスできるルートを作成し、Red Hat Single Sign-On Operator によって作成された HTTPS ルートの代わりにこれを使用します。

7. Apicurio Registry Operator をクリックし、以下の例のように ApicurioRegistry タブをクリックして Create ApicurioRegistry をクリックしますが、keycloak セクションの値を置き換えます。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql-keycloak
   spec:
     configuration:
       security:
         keycloak:
           url: "http://keycloak-http-<namespace>.apps.<cluster host>"
           # ^ Required
           # Use an HTTP URL in development.
           realm: "registry"
           # apiClientId: "registry-client-api"
           # ^ Optional (default value)
           # uiClientId: "registry-client-ui"
           # ^ Optional (default value)
       persistence: 'kafkasql'
       kafkasql:
         bootstrapServers: '<my-cluster>-kafka-bootstrap.<my-namespace>.svc:9092'

手順

1. Red Hat Single Sign-On 管理コンソールで、Apicurio Registry 用の Red Hat Single Sign-On レルムを作成します。デフォルトでは、Apicurio Registry は registry のレルム名を想定しています。レルムの作成に関する詳細は、Red Hat Single Sign-On のユーザードキュメント を参照してください。

2. Apicurio Registry API 用の Red Hat Single Sign-On クライアントを作成します。デフォルトでは、Apicurio Registry は次の設定を想定しています。

   • Client ID: registry-api
   • Client Protocol: openid-connect

   • Access Type: bearer-only

     他のクライアント設定にはデフォルト値を使用できます。

     注記

     Red Hat Single Sign-On サービスアカウントを使用している場合、クライアントの Access Type は、bearer-only ではなく confidential である必要があります。

3. Apicurio Registry Web コンソール用の Red Hat Single Sign-On クライアントを作成します。デフォルトでは、Apicurio Registry は次の設定を想定しています。

   • Client ID: apicurio-registry
   • Client Protocol: openid-connect
   • Access Type: public
   • Valid Redirect URLs: http://my-registry-url:8080/*

   • Web Origins: +

     他のクライアント設定にはデフォルト値を使用できます。

4. OpenShift 上の Apicurio Registry デプロイメントで、次の Apicurio Registry 環境変数を設定して、Red Hat Single Sign-On を使用した認証を設定します。

   表5.2 Red Hat Single Sign-On を使用した Apicurio Registry 認証の設定

   環境変数	説明	型	デフォルト
   AUTH_ENABLED	Apicurio Registry の認証を有効にします。true に設定する場合は、以下の環境変数が Red Hat Single Sign-On の認証に必要です。	String	false
   KEYCLOAK_URL	Red Hat Single Sign-On 認証サーバーの URL。たとえば、http://localhost:8080 です。	String	-
   KEYCLOAK_REALM	認証用の Red Hat Single Sign-On レルム。たとえば、registry です。	String	-
   KEYCLOAK_API_CLIENT_ID	Apicurio Registry REST API のクライアント ID。	String	registry-api
   KEYCLOAK_UI_CLIENT_ID	Apicurio Registry Web コンソールのクライアント ID。	String	apicurio-registry

   ヒント

   OpenShift に環境変数を設定する例については、「OpenShift での Apicurio Registry ヘルスチェックの設定」 を参照してください。

5. 以下のオプションを true に設定して、Red Hat Single Sign-On で Apicurio Registry ユーザーロールを有効にします。

   表5.3 Apicurio Registry ロールベース認証の設定

   環境変数	Java システムプロパティー	型	デフォルト値
   ROLE_BASED_AUTHZ_ENABLED	registry.auth.role-based-authorization	Boolean	false

6. Apicurio Registry ユーザーロールが有効になっている場合、Apicurio Registry ユーザーを、Red Hat Single Sign-On レルム内の以下のデフォルトユーザーロールの少なくとも 1 つに割り当てる必要があります。

   表5.4 レジストリーの認証および認可のデフォルトユーザーロール

   Role	アーティファクトの読み取り	アーティファクトの書き込み	グローバルルール	Summary
   sr-admin	◯	はい	◯	すべての作成、読み取り、更新、および削除操作へのフルアクセス。
   sr-developer	◯	はい	✕	グローバルルールの設定を除く、作成、読み取り、更新、および削除操作へのアクセス。このロールは、アーティファクト固有のルールを設定できます。
   sr-readonly	◯	いいえ	✕	読み取りおよび検索操作のみへのアクセス。このロールはルールを設定できません。

7. 以下を true に設定して、Apicurio Registry のスキーマおよび API アーティファクトの更新に対して所有者のみの認可を有効にします。

   表5.5 所有者のみの認可の設定

   環境変数	Java システムプロパティー	型	デフォルト値
   REGISTRY_AUTH_OBAC_ENABLED	registry.auth.owner-only-authorization	Boolean	false

手順

1. メールアドレスまたは GitHub アカウントを使用して Azure AD ポータルにログインします。

2. ナビゲーションメニューで、Manage > App registrations > New registration を選択し、次の設定を完了します。

   • Name: アプリケーション名を入力します。例: apicurio-registry-example
   • Supported account types: Accounts in any organizational directory をクリックします。

   • Redirect URI: リストから Single-page application を選択し、Apicurio Registry Web コンソールアプリケーションホストを入力します。例: https://test-registry.com/ui/

     重要

     Apicurio Registry アプリケーションホストを Redirect URI として登録する必要があります。ログインすると、ユーザーは認証のために Apicurio Registry から Azure AD にリダイレクトされます。その後、ユーザーをアプリケーションに戻す必要があります。Azure AD では、登録されていないリダイレクト URL は許可されません。

3. Register をクリックします。アプリケーション登録の詳細は、Manage > App registrations > apicurio-registry-example を選択すると表示されます。

4. Manage > Authentication を選択し、アプリケーションがリダイレクト URL とトークンを使用して次のように設定されていることを確認します。

   • Redirect URIs: たとえば、https://test-registry.com/ui/ です。
   • Implicit grant and hybrid flows: ID tokens (used for implicit and hybrid flows) をクリックします。
5. Azure AD > Admin > App registrations > Your app > Application (client) ID を選択します。例: 123456a7-b8c9-012d-e3f4-5fg67h8i901
6. Azure AD > Admin > App registrations > Your app > Directory (tenant) ID を選択します。例: https://login.microsoftonline.com/1a2bc34d-567e-89f1-g0hi-1j2kl3m4no56/v2.0

7. Apicurio Registry で、Azure AD 設定を使用して次の環境変数を設定します。

   表5.6 Apicurio Registry での Azure AD の設定

   環境変数	説明	設定
   KEYCLOAK_API_CLIENT_ID	Apicurio Registry REST API のクライアントアプリケーション ID	手順 5 で取得した Azure AD アプリケーション (クライアント) ID。例: 123456a7-b8c9-012d-e3f4-5fg67h8i901
   REGISTRY_OIDC_UI_CLIENT_ID	Apicurio Registry Web コンソールのクライアントアプリケーション ID。	手順 5 で取得した Azure AD アプリケーション (クライアント) ID。例: 123456a7-b8c9-012d-e3f4-5fg67h8i901
   REGISTRY_AUTH_URL_CONFIGURED	Azure AD での認証用 URL。	手順 6 で取得した Azure AD アプリケーション (テナント) ID。例: https://login.microsoftonline.com/1a2bc34d-567e-89f1-g0hi-1j2kl3m4no56/v2.0。

8. Apicurio Registry で、Apicurio Registry 固有の設定用に次の環境変数を設定します。

   表5.7 Apicurio レジストリー固有の設定

   環境変数	説明	設定
   REGISTRY_AUTH_ENABLED	Apicurio Registry の認証を有効にします。	true
   REGISTRY_UI_AUTH_TYPE	Apicurio Registry 認証タイプ。	oidc
   CORS_ALLOWED_ORIGINS	Cross-Origin Resource Sharing (CORS) 用の Apicurio Registry デプロイメントのホスト。	例: https://test-registry.com
   REGISTRY_OIDC_UI_REDIRECT_URL	Apicurio Registry Web コンソールのホスト。	例: https://test-registry.com/ui
   ROLE_BASED_AUTHZ_ENABLED	Apicurio レジストリーでロールベースの認証を有効にします。	true
   QUARKUS_OIDC_ROLES_ROLE_CLAIM_PATH	Azure AD がロールを保存するクレームの名前。	roles

   注記

   Apicurio Registry でロールを有効にする場合は、アプリケーションロールとして同じロールを Azure AD でも作成する必要があります。Apicurio Registry で想定されるデフォルトのロールは、sr-admin、sr-developer、sr-readonly です。

手順

1. 自己署名証明書を使用して keystore を生成します。独自の証明書を使用している場合は、この手順を省略できます。

   openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout tls.key -out tls.crt

2. 証明書と秘密鍵を保持する新しいシークレットを作成します。

   1. OpenShift Web コンソールの左側のナビゲーションメニューで、Workloads > Secrets > Create Key/Value Secret とクリックします。
   2. 次の値を使用します。
      名前: https-cert-secret
      キー 1: tls.key
      値 1: tls.key (アップロードされたファイル)
      キー 2: tls.crt
      値 2: tls.crt (アップロードされたファイル)

   または、次のコマンドを使用してシークレットを作成します。

   oc create secret generic https-cert-secret --from-file=tls.key --from-file=tls.crt

3. Apicurio Registry デプロイメントの ApicurioRegistry CR の spec.configuration.security.https セクションを編集します。次に例を示します。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry
   spec:
     configuration:
       # ...
       security:
         https:
           secretName: https-cert-secret

4. 接続が機能していることを確認します。

   1. SSH を使用してクラスターの Pod に接続します (Apicurio Registry Pod を使用できます)。

      oc rsh example-apicurioregistry-deployment-6f788db977-2wzpw

   2. Serviceリソースから Apicurio Registry Pod のクラスター IP を見つけます (Web コンソールの Location 列を参照)。その後、テスト要求を実行します (自己署名証明書を使用するので、セキュアでないフラグが必要になります)。

      curl -k https://172.30.230.78:8443/health

手順

1. Apicurio Registry Operator によって作成される HTTP ルートの他に、2 つ目の Route を追加します。以下に例を示します。

   kind: Route
   apiVersion: route.openshift.io/v1
   metadata:
     [...]
     labels:
       app: example-apicurioregistry
       [...]
   spec:
     host: example-apicurioregistry-default.apps.example.com
     to:
       kind: Service
       name: example-apicurioregistry-service-9whd7
       weight: 100
     port:
       targetPort: 8080
     tls:
       termination: edge
       insecureEdgeTerminationPolicy: Redirect
     wildcardPolicy: None

   注記

   insecureEdgeTerminationPolicy: Redirect 設定プロパティーが設定されていることを確認してください。

   証明書を指定しない場合、OpenShift はデフォルトを使用します。または、以下のコマンドを使用して、カスタムの自己署名証明書を生成することもできます。

   openssl genrsa 2048 > tls.key &&
   openssl req -new -x509 -nodes -sha256 -days 365 -key tls.key -out tls.crt

   次に、OpenShift CLI を使用してルートを作成します。

   oc create route edge \
     --service=example-apicurioregistry-service-9whd7 \
     --cert=tls.crt --key=tls.key \
     --hostname=example-apicurioregistry-default.apps.example.com \
     --insecure-policy=Redirect \
     -n default

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
2. Installed Operators > Red Hat Integration - Service Registry Operator をクリックします。
3. ApicurioRegistry タブで、example-apicurioregistry などのデプロイメントの Operator カスタムリソースをクリックします。
4. メインの概要ページで、Deployment Name セクションと Apicurio Registry デプロイメントの対応する DeploymentConfig 名を見つけます (例: example-apicurioregistry)。
5. 左側のナビゲーションメニューでWorkloads > Deployment Configs をクリックし、DeploymentConfig 名を選択します。

6. Environment タブをクリックして、Single values env セクションに環境変数を入力します。以下に例を示します。

   • NAME: LIVENESS_STATUS_RESET
   • VALUE: 350

7. 下部にある Save をクリックします。

   代わりに、OpenShift oc コマンドを使用して、これらの手順を実行することもできます。詳細は、OpenShift CLI のドキュメント を参照してください。

手順

1. この curl コマンドを使用して、ロガー io.apicurio.registry.storage の現在のログレベルを取得します。

   $ curl -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"INFO"}

2. この curl コマンドを使用して、ロガー io.apicurio.registry.storage のログレベルを DEBUG に変更します。

   $ curl -X PUT -i -H "Content-Type: application/json" --data '{"level":"DEBUG"}' localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"DEBUG"}

3. この curl コマンドを使用して、ロガー io.apicurio.registry.storage のログレベルをデフォルト値に戻します。

   $ curl -X DELETE -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"INFO"}

手順

1. HTTP プロトコルを使用する場合は、以下のようにイベントをアプリケーションに送信するように Apicurio Registry を設定します。

   • registry.events.sink.my-custom-consumer=http://my-app-host:8888/events

2. 必要に応じて、複数のイベントコンシューマーを以下のように設定できます。

   • registry.events.sink.my-custom-consumer=http://my-app-host:8888/events
   • registry.events.sink.other-consumer=http://my-consumer.com/events

手順

1. Kafka プロトコルを使用する場合、以下のように Kafka トピックを設定します。

   • registry.events.kafka.topic=my-registry-events

2. KAFKA_BOOTSTRAP_SERVERS 環境変数を使用して、Kafka プロデューサーを設定できます。

   • KAFKA_BOOTSTRAP_SERVERS=my-kafka-host:9092

     または、registry.events.kafka.config 接頭辞を使用して kafka プロデューサーのプロパティーを設定できます。例: registry.events.kafka.config.bootstrap.servers=my-kafka-host:9092

3. 必要に応じて、イベントの生成に使用する Kafka トピックパーティションを設定することもできます。

   • registry.events.kafka.topic-partition=1