Red Hat Quay Operator の OpenShift Container Platform へのデプロイ

第1章 Red Hat Quay Operator の概要
リンクのコピー

この章の内容を使用して、以下を実行します。

Red Hat Quay Operator を使用して Red Hat Quay on OpenShift Container Platform をインストールする
管理対象または管理対象外のオブジェクトストレージを設定する
データベース、Redis、ルート、TLS などの管理対象外のコンポーネントを設定する
Red Hat Quay Operator を使用して Red Hat Quay レジストリーを OpenShift Container Platform にデプロイする
Red Hat Quay でサポートされている高度な機能を使用する
Red Hat Quay Operator を使用して Red Hat Quay レジストリーをアップグレードする

1.1. Red Hat Quay Operator コンポーネント
リンクのコピー

Red Hat Quay には多くの依存関係があります。依存関係には、データベース、オブジェクトストレージ、Redis などが含まれます。Red Hat Quay Operator は、Red Hat Quay の独自のデプロイメントとその Kubernetes への依存関係を管理します。これらの依存関係は コンポーネント として処理され、QuayRegistry API で設定されます。

QuayRegistry カスタムリソースでは、spec.components フィールドでコンポーネントを設定します。各コンポーネントには、kind (コンポーネントの名前) と、maned (コンポーネントのライフサイクルが Red Hat Quay Operator によって処理されるかどうかを指定するブール値) の 2 つのフィールドが含まれています。

デフォルトでは、すべてのコンポーネントが管理され、調整時に表示できるように自動入力されます。

QuayRegistry リソースの例

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
  spec:
    configBundleSecret: config-bundle-secret
    components:
    - kind: quay
      managed: true
    - kind: postgres
      managed: true
    - kind: clair
      managed: true
    - kind: redis
      managed: true
    - kind: horizontalpodautoscaler
      managed: true
    - kind: objectstorage
      managed: true
    - kind: route
      managed: true
    - kind: mirror
      managed: true
    - kind: monitoring
      managed: true
    - kind: tls
      managed: true
    - kind: clairpostgres
      managed: true

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
  spec:
    configBundleSecret: config-bundle-secret
    components:
    - kind: quay
      managed: true
    - kind: postgres
      managed: true
    - kind: clair
      managed: true
    - kind: redis
      managed: true
    - kind: horizontalpodautoscaler
      managed: true
    - kind: objectstorage
      managed: true
    - kind: route
      managed: true
    - kind: mirror
      managed: true
    - kind: monitoring
      managed: true
    - kind: tls
      managed: true
    - kind: clairpostgres
      managed: true

Copy to Clipboard

Toggle word wrap

1.2. 管理コンポーネントの使用
リンクのコピー

QuayRegistry カスタムリソースで特に指定しない限り、Red Hat Quay Operator は以下の管理コンポーネントにデフォルトを使用します。

quay: Red Hat Quay on OpenShift Container Platform のデプロイメントに関するオーバーライド (環境変数やレプリカの数など) を保持します。このコンポーネントは Red Hat Quay 3.7 以降の新しいコンポーネントであり、管理対象外に設定できません。
postgres: レジストリーメタデータの保存には、Red Hat Quay 3.9 以降、Software Collections の PostgreSQL 13 のバージョンが使用されます。
注記
Red Hat Quay 3.8 → 3.9 にアップグレードする場合、Operator は PostgreSQL 10 から PostgreSQL 13 へのアップグレードを自動的に処理します。このアップグレードは必須です。PostgreSQL 10 は 2022 年 11 月 10 日に最終リリースとなり、サポートされなくなりました。
clair: イメージの脆弱性スキャンを提供します。
redis: ライブビルダーログと Red Hat Quay チュートリアルを保存します。ガベージコレクションに必要なロックメカニズムも含まれます。
horizontalpodautoscaler: メモリー/CPU 消費量に応じて Quay Pod の数を調整します。
objectstorage: イメージレイヤー Blob を保存するために、Noobaa または Red Hat OpenShift Data Foundation が提供する ObjectBucketClaim Kubernetes API を利用します。
route: OpenShift Container Platform の外部から Red Hat Quay レジストリーへの外部エントリーポイントを提供します。
mirror: オプションのリポジトリーミラーリングをサポートするようにリポジトリーミラーワーカーを設定します。
monitoring: Grafana ダッシュボード、個々のメトリクスへのアクセス、Quay Pod の頻繁な再起動に関する通知などの機能があります。
tls: Red Hat Quay または OpenShift Container Platform が SSL/TLS を処理するかどうかを設定します。
clairpostgres: 管理された Clair データベースを設定します。これは、Red Hat Quay のデプロイに使用される PostgreSQL データベースとは別のデータベースです。

Red Hat Quay Operator は、Red Hat Quay がマネージドコンポーネントを使用するために必要な設定およびインストール作業を処理します。Red Hat Quay Operator が実行するデプロイが環境に適さない場合は、Red Hat Quay Operator に unmanaged リソース (オーバーライド) を指定できます。これは、次のセクションで説明します。

1.3. 依存関係向けのマネージド外コンポーネントの使用
リンクのコピー

Red Hat Quay で使用する PostgreSQL、Redis、オブジェクトストレージなどの既存のコンポーネントがある場合は、まず Red Hat Quay 設定バンドル (config.yaml) 内でそれらを設定します。次に、どのコンポーネントが管理対象外であるかを示しながら、QuayRegistry バンドル内で (Kubernetes Secret として) 参照する必要があります。

注記

アンマネージド PostgreSQL データベースを使用していて、バージョンが PostgreSQL 10 である場合は、PostgreSQL 13 へのアップグレードが強く推奨されます。PostgreSQL 10 は 2022 年 11 月 10 日に最終リリースとなり、サポートされなくなりました。詳細は、PostgreSQL のバージョン管理ポリシーを参照してください。

管理対象外コンポーネントの設定は、以下のセクションを参照してください。

既存の PostgreSQL データベースの使用
管理対象外 Horizontal Pod Autoscaler の使用
管理対象外ストレージの使用
管理対象外 NooBaa インスタンスの使用
管理対象外 Redis データベースの使用
ルートコンポーネントの無効化
モニタリングコンポーネントの無効化
ミラーリングコンポーネントの無効化

1.4. 設定バンドルシークレット
リンクのコピー

spec.configBundleSecret フィールドは、QuayRegistry リソースと同じ namespace にある Secret の metadata.name への参照です。この Secret には config.yaml のキー/値のペアが含まれる必要があります。

config.yaml ファイルは、Red Hat Quay の config.yaml ファイルです。このフィールドはオプションで、指定されない場合は Red Hat Quay Operator により自動入力されます。指定されている場合、後に管理コンポーネントの他のフィールドにマージされる設定フィールドのベースセットとして機能し、Red Hat Quay アプリケーション Pod にマウントされる最終出力 Secret を形成します。

1.5. Red Hat Quay on OpenShift Container Platform の前提条件
リンクのコピー

Red Hat Quay Operator を使用して OpenShift Container Platform に Red Hat Quay をデプロイする前に、次の前提条件を考慮してください。

1.5.1. OpenShift Container Platform クラスター
リンクのコピー

Red Hat Quay Operator をデプロイするには、OpenShift Container Platform 4.5 以降のクラスターと管理アカウントへのアクセス権が必要です。管理アカウントには、クラスタースコープで namespaces を作成する権限が必要です。

1.5.2. リソース要件
リンクのコピー

各 Red Hat Quay アプリケーション Pod には、以下のリソース要件があります。

8 Gi のメモリー
2000 ミリコアの CPU

Red Hat Quay Operator は、管理する Red Hat Quay デプロイメントごとに少なくとも 1 つのアプリケーション Pod を作成します。OpenShift Container Platform クラスターに、これらの要件に必要なコンピュートリソースがあることを確認してください。

1.5.3. オブジェクトストレージ
リンクのコピー

デフォルトで、Red Hat Quay Operator は ObjectBucketClaim Kubernetes API を使用してオブジェクトストレージをプロビジョニングします。この API を使用すると、Red Hat Quay Operator がベンダー固有の実装から切り離されます。この API は、Red Hat OpenShift Data Foundation の NooBaa コンポーネントを介して提供されます。NooBaa はこのドキュメント全体で例として使用されています。

Red Hat Quay は、次のような複数のストレージクラウドプロバイダーを使用するように手動で設定できます。

Amazon S3 (Red Hat Quay 用の S3 バケットポリシーの設定は S3 IAM Bucket Policy を参照)
Microsoft Azure Blob Storage
Google Cloud Storage
Ceph Object Gateway(RADOS)
OpenStack Swift
CloudFront + S3

オブジェクトストレージプロバイダーの完全なリストは、Quay Enterprise 3.x サポートマトリックスを参照してください。

1.5.4. StorageClass
リンクのコピー

Red Hat Quay Operator を使用して Quay および Clair PostgreSQL データベースをデプロイする場合、デフォルトの StorageClass がクラスター内に設定されます。

Red Hat Quay Operator によって使用されるデフォルトの StorageClass は、Quay および Clair データベースに必要な永続ボリューム要求をプロビジョニングします。これらの PVC はデータを永続的に保存するために使用され、Red Hat Quay レジストリーと Clair 脆弱性スキャナーが利用可能な状態を維持し、再起動や障害が発生してもその状態が維持されるようにします。

インストールを続行する前に、Quay および Clair コンポーネント用のストレージのシームレスなプロビジョニングを確保するために、クラスター内にデフォルトの StorageClass が設定されていることを確認してください。

第2章 OperatorHub からの Red Hat Quay Operator のインストール
リンクのコピー

以下の手順を使用して、OpenShift Container Platform OperatorHub から Red Hat Quay Operator をインストールします。

手順

OpenShift Container Platform コンソールを使用して、Operators → OperatorHub を選択します。
検索ボックスに Red Hat Quay と入力し、Red Hat が提供する公式の Red Hat Quay Operator を選択します。機能、前提条件、デプロイメント情報が記載されている Installation ページに移動します。
Install を選択します。Operator Installation ページが表示されます。
インストールのカスタマイズには、以下の選択肢を使用できます。
1. Update Channel: 更新チャネルを選択します。たとえば、最新リリースの場合は stable-3.11 を選択します。
2. インストールモード:
  1. Red Hat Quay Operator をクラスター全体で使用できるようにする場合は、All namespaces on the cluster を選択します。Red Hat Quay Operator をクラスター全体にインストールすることが推奨されます。単一 namespace を選択する場合、モニタリングコンポーネントはデフォルトで利用できなくなります。
  2. これを単一の namespace 内にのみデプロイする必要がある場合は、A specific namespace on the cluster を選択します。
    Approval Strategy: 自動更新または手動更新のいずれかを承認します。自動更新ストラテジーが推奨されます。
Install を選択します。

第3章デプロイメント前に行う Red Hat Quay の設定
リンクのコピー

Red Hat Quay Operator は、OpenShift Container Platform にデプロイされると、すべての Red Hat Quay コンポーネントを管理できます。これはデフォルト設定ですが、セットアップをさらに制御する場合は、1 つ以上のコンポーネントを外部から管理できます。

次のパターンを使用して、管理対象外 Red Hat Quay コンポーネントを設定します。

手順

適切な設定で config.yaml 設定ファイルを作成します。最小限の設定は、以下を参照してください。

touch config.yaml

$ touch config.yaml

Copy to Clipboard

Toggle word wrap

AUTHENTICATION_TYPE: Database
BUILDLOGS_REDIS:
    host: <quay-server.example.com>
    password: <strongpassword>
    port: 6379
    ssl: false
DATABASE_SECRET_KEY: <0ce4f796-c295-415b-bf9d-b315114704b8>
DB_URI: <postgresql://quayuser:quaypass@quay-server.example.com:5432/quay>
DEFAULT_TAG_EXPIRATION: 2w
DISTRIBUTED_STORAGE_CONFIG:
    default:
        - LocalStorage
        - storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - default
PREFERRED_URL_SCHEME: http
SECRET_KEY: <e8f9fe68-1f84-48a8-a05f-02d72e6eccba>
SERVER_HOSTNAME: <quay-server.example.com>
SETUP_COMPLETE: true
TAG_EXPIRATION_OPTIONS:
    - 0s
    - 1d
    - 1w
    - 2w
    - 4w
USER_EVENTS_REDIS:
    host: <quay-server.example.com>
    port: 6379
    ssl: false

AUTHENTICATION_TYPE: Database
BUILDLOGS_REDIS:
    host: <quay-server.example.com>
    password: <strongpassword>
    port: 6379
    ssl: false
DATABASE_SECRET_KEY: <0ce4f796-c295-415b-bf9d-b315114704b8>
DB_URI: <postgresql://quayuser:quaypass@quay-server.example.com:5432/quay>
DEFAULT_TAG_EXPIRATION: 2w
DISTRIBUTED_STORAGE_CONFIG:
    default:
        - LocalStorage
        - storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - default
PREFERRED_URL_SCHEME: http
SECRET_KEY: <e8f9fe68-1f84-48a8-a05f-02d72e6eccba>
SERVER_HOSTNAME: <quay-server.example.com>
SETUP_COMPLETE: true
TAG_EXPIRATION_OPTIONS:
    - 0s
    - 1d
    - 1w
    - 2w
    - 4w
USER_EVENTS_REDIS:
    host: <quay-server.example.com>
    port: 6379
    ssl: false

Copy to Clipboard

Toggle word wrap

次のコマンドを入力して、設定ファイルを使用して Secret を作成します。

oc create secret generic --from-file config.yaml=./config.yaml config-bundle-secret

$ oc create secret generic --from-file config.yaml=./config.yaml config-bundle-secret

Copy to Clipboard

Toggle word wrap

quayregistry.yaml ファイルを作成し、管理対象外コンポーネントを特定し、作成された Secret を参照します。以下はその例です。

QuayRegistry YAML ファイルの例

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  configBundleSecret: <config_bundle_secret>
  components:
    - kind: objectstorage
      managed: false
# ...

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  configBundleSecret: <config_bundle_secret>
  components:
    - kind: objectstorage
      managed: false
# ...

Copy to Clipboard

Toggle word wrap

次のコマンドを入力し、quayregistry.yaml ファイルを使用してレジストリーをデプロイします。
```
oc create -n quay-enterprise -f quayregistry.yaml
```
```
$ oc create -n quay-enterprise -f quayregistry.yaml
```
Copy to Clipboard Toggle word wrap

3.1. 自動化のための Red Hat Quay の事前設定
リンクのコピー

Red Hat Quay は、自動化を可能にするいくつかの設定オプションをサポートします。ユーザーはデプロイメント前にこれらのオプションを設定して、ユーザーインターフェイスとの対話の必要性を減らすことができます。

3.1.1. API による最初のユーザー作成の許可
リンクのコピー

最初のユーザーを作成するには、ユーザーは FEATURE_USER_INITIALIZE パラメーターを True に設定し、/api/v1/user/initialize API を呼び出す必要があります。既存の組織の OAuth アプリケーションによって生成された OAuth トークンを必要とする他のすべてのレジストリー API 呼び出しとは異なり、API エンドポイントは認証を必要としません。

他のユーザーが作成されていない場合、ユーザーは Red Hat Quay のデプロイ後に API を使用して quayadmin などのユーザーを作成できます。詳細は、API を使用して最初のユーザーを作成するを参照してください。

3.1.2. API 一般アクセスの有効化
リンクのコピー

Red Hat Quay レジストリー API への一般的なアクセスを許可するには、ユーザーは BROWSER_API_CALLS_XHR_ONLY 設定オプションを False に設定する必要があります。

3.1.3. スーパーユーザーの追加
リンクのコピー

Red Hat Quay をデプロイしたら、ユーザーを作成し、最初のユーザーに完全な権限を持つ管理者権限を付与できます。SUPER_USER 設定オブジェクトを使用すると、事前に完全な権限を設定できます。以下に例を示します。

# ...
SERVER_HOSTNAME: quay-server.example.com
SETUP_COMPLETE: true
SUPER_USERS:
  - quayadmin
# ...

# ...
SERVER_HOSTNAME: quay-server.example.com
SETUP_COMPLETE: true
SUPER_USERS:
  - quayadmin
# ...

Copy to Clipboard

Toggle word wrap

3.1.4. ユーザー作成の制限
リンクのコピー

スーパーユーザーを設定した後、FEATURE_USER_CREATION を False に設定することで、新しいユーザーを作成できる権限をスーパーユーザーグループに制限できます。以下に例を示します。

# ...
FEATURE_USER_INITIALIZE: true
BROWSER_API_CALLS_XHR_ONLY: false
SUPER_USERS:
- quayadmin
FEATURE_USER_CREATION: false
# ...

# ...
FEATURE_USER_INITIALIZE: true
BROWSER_API_CALLS_XHR_ONLY: false
SUPER_USERS:
- quayadmin
FEATURE_USER_CREATION: false
# ...

Copy to Clipboard

Toggle word wrap

3.1.5. Red Hat Quay 3.11 での新機能の有効化
リンクのコピー

新しい Red Hat Quay 3.11 の機能を使用するには、次の機能の一部またはすべてを有効にします。

# ...
FEATURE_UI_V2: true
FEATURE_UI_V2_REPO_SETTINGS: true
FEATURE_AUTO_PRUNE: true
ROBOTS_DISALLOW: false
# ...

# ...
FEATURE_UI_V2: true
FEATURE_UI_V2_REPO_SETTINGS: true
FEATURE_AUTO_PRUNE: true
ROBOTS_DISALLOW: false
# ...

Copy to Clipboard

Toggle word wrap

3.1.6. 自動化の推奨設定
リンクのコピー

自動化には、以下の config.yaml パラメーターが推奨されます。

# ...
FEATURE_USER_INITIALIZE: true
BROWSER_API_CALLS_XHR_ONLY: false
SUPER_USERS:
- quayadmin
FEATURE_USER_CREATION: false
# ...

# ...
FEATURE_USER_INITIALIZE: true
BROWSER_API_CALLS_XHR_ONLY: false
SUPER_USERS:
- quayadmin
FEATURE_USER_CREATION: false
# ...

Copy to Clipboard

Toggle word wrap

3.2. オブジェクトストレージの設定
リンクのコピー

ストレージを管理するのが Red Hat Quay Operator かユーザーかにかかわらず、Red Hat Quay をインストールする前にオブジェクトストレージを設定する必要があります。

Red Hat Quay Operator にストレージの管理を任せたい場合は、マネージドストレージセクションで、NooBaa および Red Hat OpenShift Data Foundation Operator のインストールと設定の詳細を参照してください。

別のストレージソリューションを使用している場合は、Operator の設定時に objectstorage を unmanaged として設定します。以下のセクションを参照してください。既存のストレージの設定の詳細は、管理対象外ストレージを参照してください。

3.2.1. 管理対象外ストレージの使用
リンクのコピー

このセクションでは、参考として管理対象外ストレージの設定例を示しています。オブジェクトストレージの設定方法の詳細は、Red Hat Quay 設定ガイドを参照してください。

3.2.1.1. AWS S3 ストレージ
リンクのコピー

Red Hat Quay デプロイメント用に AWS S3 ストレージを設定する場合は、次の例を使用します。

DISTRIBUTED_STORAGE_CONFIG:
  s3Storage:
    - S3Storage
    - host: s3.us-east-2.amazonaws.com
      s3_access_key: ABCDEFGHIJKLMN
      s3_secret_key: OL3ABCDEFGHIJKLMN
      s3_bucket: quay_bucket
      s3_region: <region>
      storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - s3Storage

DISTRIBUTED_STORAGE_CONFIG:
  s3Storage:
    - S3Storage
    - host: s3.us-east-2.amazonaws.com
      s3_access_key: ABCDEFGHIJKLMN
      s3_secret_key: OL3ABCDEFGHIJKLMN
      s3_bucket: quay_bucket
      s3_region: <region>
      storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - s3Storage

Copy to Clipboard

Toggle word wrap

3.2.1.2. Google Cloud storage
リンクのコピー

Red Hat Quay デプロイメント用に Google Cloud ストレージを設定する場合は、次の例を使用します。

DISTRIBUTED_STORAGE_CONFIG:
    googleCloudStorage:
        - GoogleCloudStorage
        - access_key: GOOGQIMFB3ABCDEFGHIJKLMN
          bucket_name: quay-bucket
          secret_key: FhDAYe2HeuAKfvZCAGyOioNaaRABCDEFGHIJKLMN
          storage_path: /datastorage/registry
          boto_timeout: 120 
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - googleCloudStorage

DISTRIBUTED_STORAGE_CONFIG:
    googleCloudStorage:
        - GoogleCloudStorage
        - access_key: GOOGQIMFB3ABCDEFGHIJKLMN
          bucket_name: quay-bucket
          secret_key: FhDAYe2HeuAKfvZCAGyOioNaaRABCDEFGHIJKLMN
          storage_path: /datastorage/registry
          boto_timeout: 120

1


DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - googleCloudStorage

Copy to Clipboard

Toggle word wrap

1: オプション: 接続から読み取ろうとしたときにタイムアウト例外が出力されるまでの時間 (秒単位)。デフォルトは 60 秒です。また、接続を試行するときにタイムアウト例外が出力されるまでの時間 (秒単位) も含まれます。デフォルトは 60 秒です。

3.2.1.3. Microsoft Azure ストレージ
リンクのコピー

Red Hat Quay デプロイメント用に Microsoft Azure ストレージを設定する場合は、次の例を使用します。

DISTRIBUTED_STORAGE_CONFIG:
  azureStorage:
    - AzureStorage
    - azure_account_name: azure_account_name_here
      azure_container: azure_container_here
      storage_path: /datastorage/registry
      azure_account_key: azure_account_key_here
      sas_token: some/path/
      endpoint_url: https://[account-name].blob.core.usgovcloudapi.net 
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - azureStorage

DISTRIBUTED_STORAGE_CONFIG:
  azureStorage:
    - AzureStorage
    - azure_account_name: azure_account_name_here
      azure_container: azure_container_here
      storage_path: /datastorage/registry
      azure_account_key: azure_account_key_here
      sas_token: some/path/
      endpoint_url: https://[account-name].blob.core.usgovcloudapi.net

1


DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - azureStorage

Copy to Clipboard

Toggle word wrap

1: Microsoft Azure ストレージの endpoint_url パラメーターは任意であり、Microsoft Azure Government (MAG) エンドポイントで使用できます。空白のままにすると、endpoint_url は通常の Microsoft リージョンに接続します。
Red Hat Quay 3.7 以降では、MAG Blob サービスのプライマリーエンドポイントを使用する必要があります。MAG Blob サービスのセカンダリーエンドポイントを使用すると、AuthenticationErrorDetail:Cannot find the claimed account when trying to GetProperties for the account whusc8-secondary エラーが発生します。

3.2.1.4. Ceph/RadosGW ストレージ
リンクのコピー

Red Hat Quay デプロイメント用に Ceph/RadosGW ストレージを設定する場合は、次の例を使用します。

DISTRIBUTED_STORAGE_CONFIG:
  radosGWStorage: #storage config name
    - RadosGWStorage #actual driver
    - access_key: access_key_here #parameters
      secret_key: secret_key_here
      bucket_name: bucket_name_here
      hostname: hostname_here
      is_secure: 'true'
      port: '443'
      storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE: #must contain name of the storage config
    - radosGWStorage

DISTRIBUTED_STORAGE_CONFIG:
  radosGWStorage: #storage config name
    - RadosGWStorage #actual driver
    - access_key: access_key_here #parameters
      secret_key: secret_key_here
      bucket_name: bucket_name_here
      hostname: hostname_here
      is_secure: 'true'
      port: '443'
      storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE: #must contain name of the storage config
    - radosGWStorage

Copy to Clipboard

Toggle word wrap

3.2.1.5. Swift ストレージ:
リンクのコピー

Red Hat Quay デプロイメント用に Swift ストレージを設定する場合は、次の例を使用します。

DISTRIBUTED_STORAGE_CONFIG:
  swiftStorage:
    - SwiftStorage
    - swift_user: swift_user_here
      swift_password: swift_password_here
      swift_container: swift_container_here
      auth_url: https://example.org/swift/v1/quay
      auth_version: 1
      ca_cert_path: /conf/stack/swift.cert"
      storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - swiftStorage

DISTRIBUTED_STORAGE_CONFIG:
  swiftStorage:
    - SwiftStorage
    - swift_user: swift_user_here
      swift_password: swift_password_here
      swift_container: swift_container_here
      auth_url: https://example.org/swift/v1/quay
      auth_version: 1
      ca_cert_path: /conf/stack/swift.cert"
      storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - swiftStorage

Copy to Clipboard

Toggle word wrap

3.2.1.6. NooBaa 管理対象外ストレージ
リンクのコピー

次の手順を使用して、NooBaa を管理対象外のストレージ設定としてデプロイします。

手順

Red Hat Quay コンソールで、Storage → Object Bucket Claims に移動して、NooBaa Object Bucket Claim を作成します。
アクセスキー、バケット名、エンドポイント (ホスト名)、および秘密鍵を含む Object Bucket Claim データの詳細を取得します。

Object Bucket Claim (オブジェクトバケット要求) の情報を使用する config.yaml 設定ファイルを作成します。

DISTRIBUTED_STORAGE_CONFIG:
  default:
    - RHOCSStorage
    - access_key: WmrXtSGk8B3nABCDEFGH
      bucket_name: my-noobaa-bucket-claim-8b844191-dc6c-444e-9ea4-87ece0abcdef
      hostname: s3.openshift-storage.svc.cluster.local
      is_secure: true
      port: "443"
      secret_key: X9P5SDGJtmSuHFCMSLMbdNCMfUABCDEFGH+C5QD
      storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
  - default

DISTRIBUTED_STORAGE_CONFIG:
  default:
    - RHOCSStorage
    - access_key: WmrXtSGk8B3nABCDEFGH
      bucket_name: my-noobaa-bucket-claim-8b844191-dc6c-444e-9ea4-87ece0abcdef
      hostname: s3.openshift-storage.svc.cluster.local
      is_secure: true
      port: "443"
      secret_key: X9P5SDGJtmSuHFCMSLMbdNCMfUABCDEFGH+C5QD
      storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
  - default

Copy to Clipboard

Toggle word wrap

Object Bucket Claim の設定の詳細は、オブジェクトバケットクレームを参照してください。

3.2.2. 管理対象外 NooBaa インスタンスの使用
リンクのコピー

以下の手順を使用して、Red Hat Quay デプロイメントに管理対象外 NooBaa インスタンスを使用します。

手順

Storage → Object Bucket Claims のコンソールで NooBaa Object Bucket Claim を作成します。
Access Key、Bucket Name、Endpoint (hostname)、および Secret Key を含む Object Bucket Claim データの詳細を取得します。

Object Bucket Claim (オブジェクトバケット要求) の情報を使用して config.yaml 設定ファイルを作成します。以下に例を示します。

DISTRIBUTED_STORAGE_CONFIG:
  default:
    - RHOCSStorage
    - access_key: WmrXtSGk8B3nABCDEFGH
      bucket_name: my-noobaa-bucket-claim-8b844191-dc6c-444e-9ea4-87ece0abcdef
      hostname: s3.openshift-storage.svc.cluster.local
      is_secure: true
      port: "443"
      secret_key: X9P5SDGJtmSuHFCMSLMbdNCMfUABCDEFGH+C5QD
      storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
  - default

DISTRIBUTED_STORAGE_CONFIG:
  default:
    - RHOCSStorage
    - access_key: WmrXtSGk8B3nABCDEFGH
      bucket_name: my-noobaa-bucket-claim-8b844191-dc6c-444e-9ea4-87ece0abcdef
      hostname: s3.openshift-storage.svc.cluster.local
      is_secure: true
      port: "443"
      secret_key: X9P5SDGJtmSuHFCMSLMbdNCMfUABCDEFGH+C5QD
      storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
  - default

Copy to Clipboard

Toggle word wrap

3.2.3. マネージドストレージ
リンクのコピー

Red Hat Quay Operator に Red Hat Quay のオブジェクトストレージを管理させる場合、クラスターは ObjectBucketClaim API を通じてオブジェクトストレージを提供できる必要があります。Red Hat OpenShift Data Foundation Operator を使用する場合は、サポートされている 2 つのオプションを使用できます。

ローカルの Kubernetes PersistentVolume ストレージでサポートされる Multi-Cloud Object Gateway のスタンドアロンインスタンス
- 高可用性がない
- Red Hat Quay サブスクリプションに含まれている
- Red Hat OpenShift Data Foundation の別のサブスクリプションは不要
スケールアウト Object Service と Ceph を備えた Red Hat OpenShift Data Foundation の実稼働環境用デプロイメント
- 高可用性がある
- Red Hat OpenShift Data Foundation の別のサブスクリプションが必要

スタンドアロンのインスタンスオプションを使用するには、以下の読み取りを続行します。Red Hat OpenShift Data Foundation の実稼働環境用デプロイメントの詳細は、公式ドキュメントを参照してください。

注記

オブジェクトストレージのディスク容量は、50 GiB が Red Hat Quay Operator によって自動的に割り当てられます。この数は、ほとんどの小規模/中規模の Red Hat Quay インストールで利用可能なストレージの量を表しますが、実際のユースケースには十分ではない可能性があります。現在、Red Hat OpenShift Data Foundation ボリュームのサイズ変更は、Red Hat Quay Operator によって処理されません。詳細は、マネージドストレージのサイズ変更に関するセクションを参照してください。

3.2.3.1. Red Hat Quay の Red Hat OpenShift Data Foundation Operator での Multicloud Object Gateway コンポーネントの使用
リンクのコピー

Red Hat Quay サブスクリプションの一環として、Red Hat OpenShift Data Foundation Operator (旧称 OpenShift Container Storage Operator) の Multicloud Object Gateway コンポーネントを使用できます。このゲートウェイコンポーネントを使用すると、Kubernetes PersistentVolume ベースのブロックストレージがサポートする Red Hat Quay への S3 互換のオブジェクトストレージインターフェイスを指定できます。この使用は、Operator で管理される Red Hat Quay デプロイメントや、以下に示す Multicloud Object Gateway インスタンスの正確な仕様に限定されます。

Red Hat Quay はローカルファイルシステムのストレージをサポートしないため、ユーザーは代わりに Kubernetes PersistentVolume ストレージと組み合わせてゲートウェイを利用し、サポートされるデプロイメントを提供できます。PersistentVolume はオブジェクトストレージのバッキングストアとしてゲートウェイインスタンスに直接マウントされ、ブロックベースの StorageClass がサポートされます。

PersistentVolume の性質上、これはスケールアウトできる高可用性ソリューションではなく、Red Hat OpenShift Data Foundation などのスケールアウトストレージシステムを置き換えることはできません。ゲートウェイの単一インスタンスのみが実行されています。再スケジュール、更新、または予定外のダウンタイムが原因でゲートウェイを実行している Pod が利用できなくなると、接続された Red Hat Quay インスタンスのパフォーマンスが一時的に低下します。

Red Hat OpenShift Data Foundation を使用して OpenShift Container Platform に Red Hat Quay をデプロイするには、ローカルストレージ Operator、Red Hat OpenShift Data Foundation Operator をダウンロードし、OpenShift Container Platform UI を使用してスタンドアロンの Multicloud Object Gateway をデプロイする必要があります。以下の手順は、以下の Red Hat OpenShift Data Foundation ドキュメントを参照してください。

第4章トラフィック受信の設定
リンクのコピー

4.1. SSL/TLS とルートの設定
リンクのコピー

OpenShift Container Platform の エッジターミネーション ルートのサポートが、新しい管理対象コンポーネントの tls によって追加されました。これにより、route コンポーネントが SSL/TLS から分離され、ユーザーは両方を個別に設定できるようになります。

EXTERNAL_TLS_TERMINATION: true は事前に設定された設定です。

注記

tls が管理対象の場合、デフォルトのクラスターワイルドカード証明書が使用されます。
tls が管理対象外の場合、ユーザーが指定したキーと証明書のペアがルートに挿入されます。

ssl.cert と ssl.key が別の永続的なシークレットに移動し、キーと証明書のペアが調整のたびに再生成されなくなりました。キーと証明書のペアは edge ルートとしてフォーマットされ、Quay コンテナー内の同じディレクトリーにマウントされます。

SSL/TLS とルートを設定する場合は複数の置換が可能ですが、次のルールが適用されます。

SSL/TLS が managed になっている場合は、ルートも managed にする必要があります。
SSL/TLS が unmanaged の場合は、設定バンドルで証明書を直接指定する必要があります。

次の表に、有効なオプションを示します。

Expand

表4.1 TLS およびルートの有効な設定オプション
オプション	Route	TLS	証明書が提供されるか	結果
独自のロードバランサーが TLS を処理する	管理対象	管理対象	いいえ	デフォルトのワイルドカード証明書を使用したエッジルート
Red Hat Quay が TLS を処理する	管理対象	管理対象外	はい	Pod 内にマウントされる証明書を含むパススルールート
Red Hat Quay が TLS を処理する	管理対象外	管理対象外	はい	証明書は `quay` Pod 内に設定されますが、ルートは手動で作成する必要があります。

4.1.1. SSL/TLS 証明書とキーのペアを使用した設定バンドルシークレットの作成
リンクのコピー

次の手順を使用して、独自の SSL/TLS 証明書とキーペアを含む設定バンドルシークレットを作成します。

手順

次のコマンドを入力して、独自の SSL/TLS 証明書とキーペアを含む設定バンドルシークレットを作成します。

oc create secret generic --from-file config.yaml=./config.yaml --from-file ssl.cert=./ssl.cert --from-file ssl.key=./ssl.key config-bundle-secret

$ oc create secret generic --from-file config.yaml=./config.yaml --from-file ssl.cert=./ssl.cert --from-file ssl.key=./ssl.key config-bundle-secret

Copy to Clipboard

Toggle word wrap

第5章 OpenShift Container Platform 上の管理対象コンポーネントのリソースの設定
リンクのコピー

以下のコンポーネントに実行中の Pod がある場合は、Red Hat Quay on OpenShift Container Platform でリソースを手動調整できます。

quay
clair
mirroring
clairpostgres
postgres

この機能により、ユーザーはより小規模なテストクラスターを実行したり、Quay Pod の機能が部分的に低下するのを避けるために事前にさらに多くのリソースを要求したりできるようになります。Kubernetes リソース単位に応じて制限やリクエストを設定できます。

次のコンポーネントは、最小要件よりも低く設定しないでください。これにより、デプロイメントに問題が発生し、場合によっては Pod のデプロイメントが失敗する可能性があります。

quay: 最低 6 GB、2vCPU
clair: 2 GB のメモリー、2 つの vCPU を推奨
clairpostgres: 最低 200MB

リソース要求は、OpenShift Container Platform UI で設定することも、QuayRegistry YAML を直接更新して設定することもできます。

重要

これらのコンポーネントに設定されているデフォルト値は推奨値です。リソース要求の設定が高すぎるか低すぎると、それぞれリソースの使用効率やパフォーマンスが低する可能性があります。

5.1. OpenShift Container Platform UI を使用したリソース要求の設定
リンクのコピー

OpenShift Container Platform UI を使用してリソースを設定するには、次の手順に従います。

手順

OpenShift Container Platform 開発者コンソールで、Operator → Installed Operators → Red Hat Quay をクリックします。
QuayRegistry をクリックします。
レジストリーの名前 (例: example-registry) をクリックします。
YAML をクリックします。

spec.components フィールドでは、.overrides.resources.limits および overrides.resources.requests フィールドに値を設定することで、quay、clair、mirroring clairpostgres、および postgres リソースのリソースをオーバーライドできます。以下に例を示します。

spec:
  components:
    - kind: clair
      managed: true
      overrides:
        resources:
          limits:
            cpu: "5"     # Limiting to 5 CPU (equivalent to 5000m or 5000 millicpu)
            memory: "18Gi"  # Limiting to 18 Gibibytes of memory
          requests:
            cpu: "4"     # Requesting 4 CPU
            memory: "4Gi"   # Requesting 4 Gibibytes of memory
    - kind: postgres
      managed: true
      overrides:
        resources:
          limits: {} 
          requests:
            cpu: "700m"   # Requesting 700 millicpu or 0.7 CPU
            memory: "4Gi"   # Requesting 4 Gibibytes of memory
    - kind: mirror
      managed: true
      overrides:
        resources:
          limits: 
          requests:
            cpu: "800m"   # Requesting 800 millicpu or 0.8 CPU
            memory: "1Gi"   # Requesting 1 Gibibyte of memory
    - kind: quay
      managed: true
      overrides:
        resources:
          limits:
            cpu: "4"    # Limiting to 4 CPU
            memory: "10Gi"   # Limiting to 10 Gibibytes of memory
          requests:
            cpu: "4"   # Requesting 4 CPU
            memory: "10Gi"   # Requesting 10 Gibi of memory
    - kind: clairpostgres
      managed: true
      overrides:
        resources:
          limits:
            cpu: "800m"   # Limiting to 800 millicpu or 0.8 CPU
            memory: "3Gi"   # Limiting to 3 Gibibytes of memory
          requests: {}

spec:
  components:
    - kind: clair
      managed: true
      overrides:
        resources:
          limits:
            cpu: "5"     # Limiting to 5 CPU (equivalent to 5000m or 5000 millicpu)
            memory: "18Gi"  # Limiting to 18 Gibibytes of memory
          requests:
            cpu: "4"     # Requesting 4 CPU
            memory: "4Gi"   # Requesting 4 Gibibytes of memory
    - kind: postgres
      managed: true
      overrides:
        resources:
          limits: {}

1


          requests:
            cpu: "700m"   # Requesting 700 millicpu or 0.7 CPU
            memory: "4Gi"   # Requesting 4 Gibibytes of memory
    - kind: mirror
      managed: true
      overrides:
        resources:
          limits:

2


          requests:
            cpu: "800m"   # Requesting 800 millicpu or 0.8 CPU
            memory: "1Gi"   # Requesting 1 Gibibyte of memory
    - kind: quay
      managed: true
      overrides:
        resources:
          limits:
            cpu: "4"    # Limiting to 4 CPU
            memory: "10Gi"   # Limiting to 10 Gibibytes of memory
          requests:
            cpu: "4"   # Requesting 4 CPU
            memory: "10Gi"   # Requesting 10 Gibi of memory
    - kind: clairpostgres
      managed: true
      overrides:
        resources:
          limits:
            cpu: "800m"   # Limiting to 800 millicpu or 0.8 CPU
            memory: "3Gi"   # Limiting to 3 Gibibytes of memory
          requests: {}

Copy to Clipboard

Toggle word wrap

1: limits または requests フィールドを {} に設定すると、これらのリソースのデフォルト値が使用されます。
2: limits または requests フィールドを空のままにしておくと、これらのリソースに制限は設定されません。

5.2. QuayRegistry YAML の編集によるリソースリクエストの設定
リンクのコピー

レジストリーをデプロイした後で、Red Hat Quay を再設定してリソース要求を設定できます。これは、QuayRegistry YAML ファイルを直接編集し、レジストリーを再デプロイすることで実行できます。

手順

オプション: QuayRegistry YAML ファイルのローカルコピーがない場合は、次のコマンドを入力して取得します。
```
oc get quayregistry <registry_name> -n <namespace> -o yaml > quayregistry.yaml
```
```
$ oc get quayregistry <registry_name> -n <namespace> -o yaml > quayregistry.yaml
```
Copy to Clipboard Toggle word wrap

この手順のステップ 1 で作成した quayregistry.yaml を開き、必要な変更を加えます。以下に例を示します。

    - kind: quay
      managed: true
      overrides:
        resources:
          limits: {}
          requests:
            cpu: "0.7"   # Requesting 0.7 CPU (equivalent to 500m or 500 millicpu)
            memory: "512Mi"   # Requesting 512 Mebibytes of memory

    - kind: quay
      managed: true
      overrides:
        resources:
          limits: {}
          requests:
            cpu: "0.7"   # Requesting 0.7 CPU (equivalent to 500m or 500 millicpu)
            memory: "512Mi"   # Requesting 512 Mebibytes of memory

Copy to Clipboard

Toggle word wrap

変更を保存します。
次のコマンドを実行して、更新された設定を使用して Red Hat Quay レジストリーを適用します。
```
oc replace -f quayregistry.yaml
```
```
$ oc replace -f quayregistry.yaml
```
Copy to Clipboard Toggle word wrap
出力例
```
quayregistry.quay.redhat.com/example-registry replaced
```
```
quayregistry.quay.redhat.com/example-registry replaced
```
Copy to Clipboard Toggle word wrap

第6章データベースの設定
リンクのコピー

6.1. 既存の PostgreSQL データベースの使用
リンクのコピー

外部で管理されている PostgreSQL データベースを使用している場合、デプロイメントを成功させるには、pg_trgm 拡張機能を手動で有効にする必要があります。

重要

Red Hat Quay と Clair の両方のデプロイメントに、外部で管理される同じ PostgreSQL データベースを使用しないでください。また、Red Hat Quay や Clair などの接続集約型のワークロードがリソースを競合すると、PostgreSQL 側の自然な接続制限を使い果たしてしまう可能性があるため、PostgreSQL データベースを他のワークロードと共有しないでください。さらに、pgBouncer は Red Hat Quay または Clair ではサポートされていないため、この問題を解決するオプションではありません。

既存の PostgreSQL データベースをデプロイするには、次の手順を使用します。

手順

必要なデータベースフィールドを含む config.yaml ファイルを作成します。以下に例を示します。
config.yaml ファイルの例:
```
DB_URI: postgresql://test-quay-database:postgres@test-quay-database:5432/test-quay-database
```
```
DB_URI: postgresql://test-quay-database:postgres@test-quay-database:5432/test-quay-database
```
Copy to Clipboard Toggle word wrap

設定ファイルを使用して Secret を作成します。

kubectl create secret generic --from-file config.yaml=./config.yaml config-bundle-secret

$ kubectl create secret generic --from-file config.yaml=./config.yaml config-bundle-secret

Copy to Clipboard

Toggle word wrap

postgres コンポーネントを unmanaged とマークし、作成した Secret を参照する QuayRegistry.yaml ファイルを作成します。以下に例を示します。

quayregistry.yaml ファイルの例

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  configBundleSecret: config-bundle-secret
  components:
    - kind: postgres
      managed: false

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  configBundleSecret: config-bundle-secret
  components:
    - kind: postgres
      managed: false

Copy to Clipboard

Toggle word wrap

次のステップ

次のセクションに進み、レジストリーをデプロイします。

6.1.1. データベースの設定
リンクのコピー

このセクションでは、Red Hat Quay デプロイメントで利用可能なデータベース設定フィールドを説明します。

6.1.1.1. データベース URI
リンクのコピー

Red Hat Quay では、必要な DB_URI フィールドを使用してデータベースへの接続を設定します。

以下の表は DB_URI 設定フィールドを説明します。

Expand

表6.1 データベース URI
フィールド	型	説明
DB_URI (必須)	文字列	認証情報を含む、データベースにアクセスするための URI。 `DB_URI` フィールドの例: postgresql://quayuser:quaypass@quay-server.example.com:5432/quay

6.1.1.2. データベース接続引数
リンクのコピー

オプションの接続引数は、DB_CONNECTION_ARGS パラメーターで設定されます。DB_CONNECTION_ARGS で定義されたキーと値のペアの一部は汎用的なものも、データベース固有のものもあります。

以下の表は、データベース接続引数を説明します。

Expand

表6.2 データベース接続引数
フィールド	型	説明
DB_CONNECTION_ARGS	Object	タイムアウトや SSL/TLS などのデータベースの任意の接続引数。
.autorollback	Boolean	スレッドローカル接続を使用するかどうか。常に `True`にする必要があります。
.threadlocals	Boolean	自動ロールバック接続を使用するかどうか。常に `True`にする必要があります。

6.1.1.2.1. PostgreSQL SSL/TLS 接続引数
リンクのコピー

SSL/TLS では、設定はデプロイするデータベースによって異なります。次の例は、PostgreSQL SSL/TLS 設定を示しています。

DB_CONNECTION_ARGS:
  sslmode: verify-ca
  sslrootcert: /path/to/cacert

DB_CONNECTION_ARGS:
  sslmode: verify-ca
  sslrootcert: /path/to/cacert

Copy to Clipboard

Toggle word wrap

sslmode オプションは、セキュアな SSL/TLS TCP/IP 接続がサーバーにネゴシエートされるかどうか、その優先度を決定します。モードは 6 つあります。

Expand

表6.3 SSL/TLS オプション
モード	説明
disable	この設定では、非 SSL/TLS 接続のみが試行されます。
allow	設定では、まず非 SSL/TLS 接続が試行されます。失敗すると、SSL/TLS 接続が試行されます。
prefer (デフォルト)	設定では、まず SSL/TLS 接続が試行されます。失敗すると、非 SSL/TLS 接続が試行されます。
require	設定では SSL/TLS 接続のみが試行されます。ルート CA ファイルが存在する場合は、verify-ca が指定されているのと同じ方法で証明書が検証されます。
verify-ca	設定では SSL/TLS 接続のみが試行され、サーバー証明書が信頼された認証局 (CA) によって発行されたかどうかが検証されます。
verify-full	SSL/TLS 接続のみを試行し、サーバー証明書が信頼できる CA によって発行されていること、および要求されたサーバーのホスト名が証明書内のホスト名と一致することが確認されます。

PostgreSQL の有効な引数の詳細は、Database Connection Control Functions を参照してください。

6.1.1.2.2. MySQL SSL/TLS 接続引数
リンクのコピー

次の例は、MySQL SSL/TLS 設定のサンプルを示しています。

DB_CONNECTION_ARGS:
  ssl:
    ca: /path/to/cacert

DB_CONNECTION_ARGS:
  ssl:
    ca: /path/to/cacert

Copy to Clipboard

Toggle word wrap

MySQL の有効な接続引数に関する情報は、Connecting to the Server Using URI-Like Strings or Key-Value Pairs を参照してください。

6.1.2. マネージド PostgreSQL データベースの使用
リンクのコピー

Red Hat Quay 3.9 では、データベースが Red Hat Quay Operator によって管理されている場合、Red Hat Quay 3.8 から 3.9 に更新すると自動的に PostgreSQL 10 から PostgreSQL 13 にアップグレードされます。

重要

マネージドデータベースを使用しているユーザーは、PostgreSQL データベースを 10 から 13 にアップグレードする必要があります。
Red Hat Quay および Clair データベースが Operator によって管理されている場合、3.9.0 のアップグレードを成功させるには、各コンポーネントのデータベースのアップグレードが成功する必要があります。いずれかのデータベースのアップグレードが失敗すると、Red Hat Quay のバージョン全体のアップグレードが失敗します。この動作は想定されています。

Red Hat Quay Operator により PostgreSQL デプロイメントが PostgreSQL 10 から 13 にアップグレードされることを望まない場合は、quayregistry.yaml ファイルで PostgreSQL パラメーターを manage: false に設定する必要があります。データベースを管理対象外に設定する方法の詳細は、既存 Postgres データベースの使用を参照してください。

重要

PostgreSQL 13 にアップグレードすることが強く推奨されます。PostgreSQL 10 は 2022 年 11 月 10 日に最終リリースとなり、サポートされなくなりました。詳細は、PostgreSQL のバージョン管理ポリシーを参照してください。

PostgreSQL データベースと Red Hat Enterprise Linux (RHEL) システムのバージョンを一致させるには、RHEL 8 の場合は PostgreSQL の RHEL 8 バージョンへの移行、RHEL 9 の場合は PostgreSQL の RHEL 9 バージョンへの移行を参照してください。

Red Hat Quay 3.8 → 3.9 の手順の詳細は、Red Hat Quay Operator のアップグレードの概要を参照してください。

6.1.2.1. PostgreSQL データベースの推奨事項
リンクのコピー

Red Hat Quay チームは、PostgreSQL データベースを管理するために以下を推奨します。

PostgreSQL イメージで提供されるツールまたは独自のバックアップインフラストラクチャーのいずれかを使用して、データベースのバックアップを定期的に実行する必要があります。Red Hat Quay Operator は現在、PostgreSQL データベースがバックアップされていることを保証していません。
バックアップからの PostgreSQL データベースの復元は、PostgreSQL のツールと手順を使用して行う必要があります。データベースを復元している間は、Quay Pods を実行できないことに注意してください。
データベースのディスク容量は、Red Hat Quay Operator によって 50 GiB が自動的に割り当てられます。この数は、ほとんどの小規模/中規模の Red Hat Quay インストールで利用可能なストレージの量を表しますが、実際のユースケースには十分ではない可能性があります。現在、データベースボリュームのサイズ変更は Red Hat Quay Operator で処理されません。

6.2. 外部 Redis の設定
リンクのコピー

このセクションの内容に沿って、外部 Redis デプロイメントをセットアップします。

6.2.1. 管理対象外 Redis データベースの使用
リンクのコピー

外部 Redis データベースをセットアップするには、次の手順を実行します。

手順

次の Redis フィールドを使用して config.yaml ファイルを作成します。

# ...
BUILDLOGS_REDIS:
    host: <quay-server.example.com>
    port: 6379
    ssl: false
# ...
USER_EVENTS_REDIS:
    host: <quay-server.example.com>
    port: 6379
    ssl: false
# ...

# ...
BUILDLOGS_REDIS:
    host: <quay-server.example.com>
    port: 6379
    ssl: false
# ...
USER_EVENTS_REDIS:
    host: <quay-server.example.com>
    port: 6379
    ssl: false
# ...

Copy to Clipboard

Toggle word wrap

次のコマンドを入力して、設定ファイルを使用してシークレットを作成します。

oc create secret generic --from-file config.yaml=./config.yaml config-bundle-secret

$ oc create secret generic --from-file config.yaml=./config.yaml config-bundle-secret

Copy to Clipboard

Toggle word wrap

Redis コンポーネントを unmanaged に設定し、作成されたシークレットを参照する quayregistry.yaml ファイルを作成します。

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  configBundleSecret: config-bundle-secret
  components:
    - kind: redis
      managed: false
# ...

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  configBundleSecret: config-bundle-secret
  components:
    - kind: redis
      managed: false
# ...

Copy to Clipboard

Toggle word wrap

Red Hat Quay レジストリーをデプロイします。

6.2.2. 管理対象外 Horizontal Pod Autoscaler の使用
リンクのコピー

Horizontal Pod Autoscaler (HPA) は Clair、Quay、および Mirror Pod に含まれるようになり、負荷の急増時に自動的にスケーリングされるようになりました。

HPA はデフォルトで管理対象となるように設定されているため、Clair、Quay、および Mirror の Pod 数は 2 に設定されています。これにより、Red Hat Quay Operator による Quay の更新または再設定時、またはイベントの再スケジューリング中のダウンタイムを容易に回避できます。

6.2.2.1. Horizontal Pod Autoscaler の無効化
リンクのコピー

自動スケーリングを無効にするか、独自の HorizontalPodAutoscaler を作成するには、QuayRegistry インスタンスでコンポーネントを unmanaged として指定します。以下に例を示します。

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  components:
    - kind: horizontalpodautoscaler
      managed: false
# ...

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  components:
    - kind: horizontalpodautoscaler
      managed: false
# ...

Copy to Clipboard

Toggle word wrap

6.2.3. Route コンポーネントの無効化
リンクのコピー

Red Hat Quay Operator がルートを作成できないようにするには、次の手順を使用します。

手順

コンポーネントを quayregistry.yaml ファイルで managed: false と設定します。

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  components:
    - kind: route
      managed: false

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  components:
    - kind: route
      managed: false

Copy to Clipboard

Toggle word wrap

config.yaml ファイルを編集して、Red Hat Quay が SSL/TLS を処理するように指定します。以下に例を示します。

# ...
EXTERNAL_TLS_TERMINATION: false
# ...
SERVER_HOSTNAME: example-registry-quay-quay-enterprise.apps.user1.example.com
# ...
PREFERRED_URL_SCHEME: https
# ...

# ...
EXTERNAL_TLS_TERMINATION: false
# ...
SERVER_HOSTNAME: example-registry-quay-quay-enterprise.apps.user1.example.com
# ...
PREFERRED_URL_SCHEME: https
# ...

Copy to Clipboard

Toggle word wrap

管理対象外ルートを正しく設定しないと、次のエラーが返されます。

{
  {
    "kind":"QuayRegistry",
    "namespace":"quay-enterprise",
    "name":"example-registry",
    "uid":"d5879ba5-cc92-406c-ba62-8b19cf56d4aa",
    "apiVersion":"quay.redhat.com/v1",
    "resourceVersion":"2418527"
  },
  "reason":"ConfigInvalid",
  "message":"required component `route` marked as unmanaged, but `configBundleSecret` is missing necessary fields"
}

{
  {
    "kind":"QuayRegistry",
    "namespace":"quay-enterprise",
    "name":"example-registry",
    "uid":"d5879ba5-cc92-406c-ba62-8b19cf56d4aa",
    "apiVersion":"quay.redhat.com/v1",
    "resourceVersion":"2418527"
  },
  "reason":"ConfigInvalid",
  "message":"required component `route` marked as unmanaged, but `configBundleSecret` is missing necessary fields"
}

Copy to Clipboard

Toggle word wrap

注記

デフォルトルートを無効にするということは、Red Hat Quay インスタンスにアクセスするために Route、Service、または Ingress を作成する必要があることを意味します。さらに、使用する DNS は Red Hat Quay 設定の SERVER_HOSTNAME と一致する必要があります。

6.2.4. モニタリングコンポーネントの無効化
リンクのコピー

Red Hat Quay Operator を単一の namaspace にインストールすると、モニタリングコンポーネントは自動的に managed: false に設定されます。監視を明示的に無効にするには、次の参照を使用してください。

管理対象外のモニタリング

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  components:
    - kind: monitoring
      managed: false

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  components:
    - kind: monitoring
      managed: false

Copy to Clipboard

Toggle word wrap

このシナリオでモニタリングを有効にするには、Red Hat Quay Operator が単一の namespace にインストールされている場合の監視の有効化を参照してください。

6.2.5. ミラーリングコンポーネントの無効化
リンクのコピー

ミラーリングを無効にするには、次の YAML 設定を使用します。

管理対象外ミラーリングの YAML 設定の例

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  components:
    - kind: mirroring
      managed: false

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  components:
    - kind: mirroring
      managed: false

Copy to Clipboard

Toggle word wrap

第7章 Operator を使用した Red Hat Quay のデプロイ
リンクのコピー

Red Hat Quay は、コマンドラインインターフェイスを使用して、または OpenShift Container Platform コンソールから OpenShift Container Platform にデプロイできます。手順は基本的に同じです。

7.1. コマンドラインからの Red Hat Quay のデプロイ
リンクのコピー

コマンドラインインターフェイス (CLI) を使用して Red Hat Quay をデプロイするには、次の手順を実行します。

前提条件

CLI を使用して OpenShift Container Platform にログインしている。

手順

次のコマンドを入力して、namespace (例: quay-enterprise) を作成します。
```
oc new-project quay-enterprise
```
```
$ oc new-project quay-enterprise
```
Copy to Clipboard Toggle word wrap

オプション: Red Hat Quay デプロイメントで何かを事前に設定する場合は、設定バンドルの Secret を作成します。

oc create secret generic quay-enterprise-config-bundle --from-file=config-bundle.tar.gz=/path/to/config-bundle.tar.gz

$ oc create secret generic quay-enterprise-config-bundle --from-file=config-bundle.tar.gz=/path/to/config-bundle.tar.gz

Copy to Clipboard

Toggle word wrap

quayregistry.yaml という名前のファイルに QuayRegistry カスタムリソースを作成します。

最小限のデプロイメントでは、すべてのデフォルトを使用します。

quayregistry.yaml:

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise

Copy to Clipboard

Toggle word wrap

オプション: 一部のコンポーネントを管理対象外にする必要がある場合、この情報を spec フィールドに追加します。最小デプロイメントは次の例のようになります。

管理対象外コンポーネントを含む quayregistry.yaml の例

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  components:
    - kind: clair
      managed: false
    - kind: horizontalpodautoscaler
      managed: false
    - kind: mirror
      managed: false
    - kind: monitoring
      managed: false

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  components:
    - kind: clair
      managed: false
    - kind: horizontalpodautoscaler
      managed: false
    - kind: mirror
      managed: false
    - kind: monitoring
      managed: false

Copy to Clipboard

Toggle word wrap

オプション: 設定バンドル (例: init-config-bundle-secret) を作成している場合は、これを quayregistry.yaml ファイルで参照します。

設定バンドルを含む quayregistry.yaml の例

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  configBundleSecret: init-config-bundle-secret

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  configBundleSecret: init-config-bundle-secret

Copy to Clipboard

Toggle word wrap

オプション: プロキシーを設定している場合は、Red Hat Quay、Clair、およびミラーリングのオーバーライドを使用して情報を追加できます。

プロキシーが設定された quayregistry.yaml の例

  kind: QuayRegistry
  metadata:
    name: quay37
  spec:
    configBundleSecret: config-bundle-secret
    components:
      - kind: objectstorage
        managed: false
      - kind: route
        managed: true
      - kind: mirror
        managed: true
        overrides:
          env:
            - name: DEBUGLOG
              value: "true"
            - name: HTTP_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128
            - name: HTTPS_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128
            - name: NO_PROXY
              value: svc.cluster.local,localhost,quay370.apps.quayperf370.perfscale.devcluster.openshift.com
      - kind: tls
        managed: false
      - kind: clair
        managed: true
        overrides:
          env:
            - name: HTTP_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128
            - name: HTTPS_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128
            - name: NO_PROXY
              value: svc.cluster.local,localhost,quay370.apps.quayperf370.perfscale.devcluster.openshift.com
      - kind: quay
        managed: true
        overrides:
          env:
            - name: DEBUGLOG
              value: "true"
            - name: NO_PROXY
              value: svc.cluster.local,localhost,quay370.apps.quayperf370.perfscale.devcluster.openshift.com
            - name: HTTP_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128
            - name: HTTPS_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128

  kind: QuayRegistry
  metadata:
    name: quay37
  spec:
    configBundleSecret: config-bundle-secret
    components:
      - kind: objectstorage
        managed: false
      - kind: route
        managed: true
      - kind: mirror
        managed: true
        overrides:
          env:
            - name: DEBUGLOG
              value: "true"
            - name: HTTP_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128
            - name: HTTPS_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128
            - name: NO_PROXY
              value: svc.cluster.local,localhost,quay370.apps.quayperf370.perfscale.devcluster.openshift.com
      - kind: tls
        managed: false
      - kind: clair
        managed: true
        overrides:
          env:
            - name: HTTP_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128
            - name: HTTPS_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128
            - name: NO_PROXY
              value: svc.cluster.local,localhost,quay370.apps.quayperf370.perfscale.devcluster.openshift.com
      - kind: quay
        managed: true
        overrides:
          env:
            - name: DEBUGLOG
              value: "true"
            - name: NO_PROXY
              value: svc.cluster.local,localhost,quay370.apps.quayperf370.perfscale.devcluster.openshift.com
            - name: HTTP_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128
            - name: HTTPS_PROXY
              value: quayproxy.qe.devcluster.openshift.com:3128

Copy to Clipboard

Toggle word wrap

次のコマンドを入力して、指定の namespace に QuayRegistry を作成します。
```
oc create -n quay-enterprise -f quayregistry.yaml
```
```
$ oc create -n quay-enterprise -f quayregistry.yaml
```
Copy to Clipboard Toggle word wrap

次のコマンドを入力して、status.registryEndpoint がいつ設定されるかを確認します。

oc get quayregistry -n quay-enterprise example-registry -o jsonpath="{.status.registryEndpoint}" -w

$ oc get quayregistry -n quay-enterprise example-registry -o jsonpath="{.status.registryEndpoint}" -w

Copy to Clipboard

Toggle word wrap

関連情報

Red Hat Quay のデプロイの進行状況を追跡する方法の詳細は、デプロイメントプロセスの監視およびデバッグを参照してください。

7.1.1. API を使用した最初のユーザーの作成
リンクのコピー

以下の手順に従って、Red Hat Quay 組織で最初のユーザーを作成します。

前提条件

設定オプション FEATURE_USER_INITIALIZE は True に設定する。
データベースにユーザーが存在していない。

手順

この手順では、"access_token": true を指定して OAuth トークンを要求します。

Red Hat Quay 設定ファイルを開き、以下の設定フィールドを更新します。
```
FEATURE_USER_INITIALIZE: true
SUPER_USERS:
     -  quayadmin
```
```
FEATURE_USER_INITIALIZE: true
SUPER_USERS:
     -  quayadmin
```
Copy to Clipboard Toggle word wrap
次のコマンドを入力して、Red Hat Quay サービスを停止します。
```
sudo podman stop quay
```
```
$ sudo podman stop quay
```
Copy to Clipboard Toggle word wrap

次のコマンドを入力して、Red Hat Quay サービスを開始します。

sudo podman run -d -p 80:8080 -p 443:8443 --name=quay -v $QUAY/config:/conf/stack:Z  -v $QUAY/storage:/datastorage:Z {productrepo}/{quayimage}:{productminv}

$ sudo podman run -d -p 80:8080 -p 443:8443 --name=quay -v $QUAY/config:/conf/stack:Z  -v $QUAY/storage:/datastorage:Z {productrepo}/{quayimage}:{productminv}

Copy to Clipboard

Toggle word wrap

次の CURL コマンドを実行して、ユーザー名、パスワード、電子メール、およびアクセストークンを使用して新しいユーザーを生成します。

curl -X POST -k  http://quay-server.example.com/api/v1/user/initialize --header 'Content-Type: application/json' --data '{ "username": "quayadmin", "password":"quaypass12345", "email": "quayadmin@example.com", "access_token": true}'

$ curl -X POST -k  http://quay-server.example.com/api/v1/user/initialize --header 'Content-Type: application/json' --data '{ "username": "quayadmin", "password":"quaypass12345", "email": "quayadmin@example.com", "access_token": true}'

Copy to Clipboard

Toggle word wrap

成功すると、このコマンドはユーザー名、メール、および暗号化されたパスワードが含まれるオブジェクトを返します。以下に例を示します。

{"access_token":"6B4QTRSTSD1HMIG915VPX7BMEZBVB9GPNY2FC2ED", "email":"quayadmin@example.com","encrypted_password":"1nZMLH57RIE5UGdL/yYpDOHLqiNCgimb6W9kfF8MjZ1xrfDpRyRs9NUnUuNuAitW","username":"quayadmin"} # gitleaks:allow

{"access_token":"6B4QTRSTSD1HMIG915VPX7BMEZBVB9GPNY2FC2ED", "email":"quayadmin@example.com","encrypted_password":"1nZMLH57RIE5UGdL/yYpDOHLqiNCgimb6W9kfF8MjZ1xrfDpRyRs9NUnUuNuAitW","username":"quayadmin"} # gitleaks:allow

Copy to Clipboard

Toggle word wrap

データベースにユーザーが存在している場合は、エラーが返されます。

{"message":"Cannot initialize user in a non-empty database"}

{"message":"Cannot initialize user in a non-empty database"}

Copy to Clipboard

Toggle word wrap

パスワードが 8 文字以上でない場合や、空白が含まれている場合には、エラーが返されます。

{"message":"Failed to initialize user: Invalid password, password must be at least 8 characters and contain no whitespace."}

{"message":"Failed to initialize user: Invalid password, password must be at least 8 characters and contain no whitespace."}

Copy to Clipboard

Toggle word wrap

以下のコマンドを入力して、Red Hat Quay デプロイメントにログインします。

sudo podman login -u quayadmin -p quaypass12345 http://quay-server.example.com --tls-verify=false

$ sudo podman login -u quayadmin -p quaypass12345 http://quay-server.example.com --tls-verify=false

Copy to Clipboard

Toggle word wrap

出力例

Login Succeeded!

Login Succeeded!

Copy to Clipboard

Toggle word wrap

7.1.2. コマンドラインで作成されたコンポーネントの表示
リンクのコピー

デプロイされた Red Hat Quay コンポーネントを表示するには、次の手順を使用します。

前提条件

Red Hat Quay を OpenShift Container Platform にデプロイしている。

手順

次のコマンドを入力して、デプロイされたコンポーネントを表示します。

oc get pods -n quay-enterprise

$ oc get pods -n quay-enterprise

Copy to Clipboard

Toggle word wrap

出力例

NAME                                                   READY   STATUS      RESTARTS   AGE
example-registry-clair-app-5ffc9f77d6-jwr9s            1/1     Running     0          3m42s
example-registry-clair-app-5ffc9f77d6-wgp7d            1/1     Running     0          3m41s
example-registry-clair-postgres-54956d6d9c-rgs8l       1/1     Running     0          3m5s
example-registry-quay-app-79c6b86c7b-8qnr2             1/1     Running     4          3m42s
example-registry-quay-app-79c6b86c7b-xk85f             1/1     Running     4          3m41s
example-registry-quay-app-upgrade-5kl5r                0/1     Completed   4          3m50s
example-registry-quay-database-b466fc4d7-tfrnx         1/1     Running     2          3m42s
example-registry-quay-mirror-6d9bd78756-6lj6p          1/1     Running     0          2m58s
example-registry-quay-mirror-6d9bd78756-bv6gq          1/1     Running     0          2m58s
example-registry-quay-postgres-init-dzbmx              0/1     Completed   0          3m43s
example-registry-quay-redis-8bd67b647-skgqx            1/1     Running     0          3m42s

NAME                                                   READY   STATUS      RESTARTS   AGE
example-registry-clair-app-5ffc9f77d6-jwr9s            1/1     Running     0          3m42s
example-registry-clair-app-5ffc9f77d6-wgp7d            1/1     Running     0          3m41s
example-registry-clair-postgres-54956d6d9c-rgs8l       1/1     Running     0          3m5s
example-registry-quay-app-79c6b86c7b-8qnr2             1/1     Running     4          3m42s
example-registry-quay-app-79c6b86c7b-xk85f             1/1     Running     4          3m41s
example-registry-quay-app-upgrade-5kl5r                0/1     Completed   4          3m50s
example-registry-quay-database-b466fc4d7-tfrnx         1/1     Running     2          3m42s
example-registry-quay-mirror-6d9bd78756-6lj6p          1/1     Running     0          2m58s
example-registry-quay-mirror-6d9bd78756-bv6gq          1/1     Running     0          2m58s
example-registry-quay-postgres-init-dzbmx              0/1     Completed   0          3m43s
example-registry-quay-redis-8bd67b647-skgqx            1/1     Running     0          3m42s

Copy to Clipboard

Toggle word wrap

7.1.3. Horizontal Pod 自動スケーリング
リンクのコピー

デフォルトのデプロイメントでは、以下の実行中の Pod が表示されます。

Red Hat Quay アプリケーション自体で使用する 2 つの Pod (example-registry-quay-app-*`)
Red Hat Quay ロギングに使用する 1 つの Redis Pod (example-registry-quay-redis-*)
Red Hat Quay がメタデータストレージに使用する PostgreSQL の 1 つのデータベース Pod (example-registry-quay-database-*)
2 つの Quay ミラーリング Pod (example-registry-quay-mirror-*)
Clair アプリケーションの 2 つの Pod (example-registry-clair-app-*)
Clair 用の 1 つの PostgreSQL Pod (example-registry-clair-postgres-*)

Horizontal PPod 自動スケーリングはデフォルトで managed に設定され、Quay、Clair、およびリポジトリーミラーリングの Pod 数は 2 に設定されます。これにより、Red Hat Quay Operator による Red Hat Quay の更新または再設定時、またはイベントの再スケジューリング中のダウンタイムを容易に回避できます。以下のコマンドを入力して、HPA オブジェクトに関する情報を表示できます。

oc get hpa -n quay-enterprise

$ oc get hpa -n quay-enterprise

Copy to Clipboard

Toggle word wrap

出力例

NAME                           REFERENCE                                 TARGETS           MINPODS   MAXPODS   REPLICAS   AGE
example-registry-clair-app     Deployment/example-registry-clair-app     16%/90%, 0%/90%   2         10        2          13d
example-registry-quay-app      Deployment/example-registry-quay-app      31%/90%, 1%/90%   2         20        2          13d
example-registry-quay-mirror   Deployment/example-registry-quay-mirror   27%/90%, 0%/90%   2         20        2          13d

NAME                           REFERENCE                                 TARGETS           MINPODS   MAXPODS   REPLICAS   AGE
example-registry-clair-app     Deployment/example-registry-clair-app     16%/90%, 0%/90%   2         10        2          13d
example-registry-quay-app      Deployment/example-registry-quay-app      31%/90%, 1%/90%   2         20        2          13d
example-registry-quay-mirror   Deployment/example-registry-quay-mirror   27%/90%, 0%/90%   2         20        2          13d

Copy to Clipboard

Toggle word wrap

第8章インフラストラクチャーノードへの Red Hat Quay のデプロイ
リンクのコピー

デフォルトで、quay関連のすべての Pod は OpenShift Container Platform クラスター内の利用可能なワーカーノードでスケジュールされます。一部の環境では、レジストリー、データベース、および Pod の監視など、インフラストラクチャーワークロード専用の特定のノード専用に割り当てて、パフォーマンスを改善し、重要なコンポーネントの分離やメンテナンスの簡素化が必要になる場合があります。

OpenShift Container Platform は、インフラストラクチャーマシンセットを使用したこのアプローチをサポートします。

OpenShift Container Platform 管理者は、ワーカーノードのラベル付けおよびテイントを使用して同じ結果を得ることができます。これにより、quay Pod などのインフラストラクチャーワークロードのみがこれらのノードでスケジュールされます。インフラストラクチャーノードを設定したら、ノードセレクターおよび容認を使用して quay Pod を実行する場所を制御できます。

以下の手順は、Red Hat Quay Operator を単一の namespace にインストールし、独自のバックエンドストレージを提供する新規のデプロイメントを対象としています。この手順では、ノードを準備し、専用のインフラストラクチャーノードに Red Hat Quay をデプロイする方法を説明します。この手順では、quay関連のすべての Pod が専用のインフラストラクチャーノードに配置されます。

8.1. インフラストラクチャー用ノードへのラベルとテインとの追加
リンクのコピー

次の手順を実行して、インフラストラクチャー用のノードにラベルとテインとを追加します。

注記

以下の手順では、3 つのワーカーノードに infra ラベルを付けます。環境に関連するリソースによっては、3 つ以上のワーカーノードに infra ラベルを付ける必要がある場合があります。

次のコマンドを入力して、デプロイメント内の ワーカー ノードのリストを取得します。

oc get nodes | grep worker

$ oc get nodes | grep worker

Copy to Clipboard

Toggle word wrap

出力例

NAME                                                              STATUS   ROLES                  AGE    VERSION
---
example-cluster-new-c5qqp-worker-b-4zxx5.c.quay-devel.internal   Ready    worker                 401d   v1.31.11
example-cluster-new-c5qqp-worker-b-kz6jn.c.quay-devel.internal   Ready    worker                 402d   v1.31.11
example-cluster-new-c5qqp-worker-b-wrhw4.c.quay-devel.internal   Ready    worker                 401d   v1.31.11
---

NAME                                                              STATUS   ROLES                  AGE    VERSION
---
example-cluster-new-c5qqp-worker-b-4zxx5.c.quay-devel.internal   Ready    worker                 401d   v1.31.11
example-cluster-new-c5qqp-worker-b-kz6jn.c.quay-devel.internal   Ready    worker                 402d   v1.31.11
example-cluster-new-c5qqp-worker-b-wrhw4.c.quay-devel.internal   Ready    worker                 401d   v1.31.11
---

Copy to Clipboard

Toggle word wrap

次のコマンドを入力して、node-role.kubernetes.io/infra= ラベルをワーカーノードに追加します。必要なインフラストラクチャーノードの数は、環境によって異なります。実稼働環境では、すべての quay関連のコンポーネントに対して高可用性と十分なリソースを確保するために、十分な infra ノードをプロビジョニングする必要があります。CPU、メモリー、およびストレージ使用率を監視して、追加のインフラノードが必要であるかどうかを判別します。
```
oc label node --overwrite <infra_node_one> <infra_node_two> <infra_node_three> node-role.kubernetes.io/infra=
```
```
$ oc label node --overwrite <infra_node_one> <infra_node_two> <infra_node_three> node-role.kubernetes.io/infra=
```
Copy to Clipboard Toggle word wrap

次のコマンドを入力して、node-role.kubernetes.io/infra= ラベルが適切なノードに追加されていることを確認します。

oc get node | grep infra

$ oc get node | grep infra

Copy to Clipboard

Toggle word wrap

---
example-cluster-new-c5qqp-worker-b-4zxx5.c.quay-devel.internal   Ready    infra,worker           405d   v1.32.8
example-cluster-new-c5qqp-worker-b-kz6jn.c.quay-devel.internal   Ready    infra,worker           406d   v1.32.8
example-cluster-new-c5qqp-worker-b-wrhw4.c.quay-devel.internal   Ready    infra,worker           405d   v1.32.8
---

---
example-cluster-new-c5qqp-worker-b-4zxx5.c.quay-devel.internal   Ready    infra,worker           405d   v1.32.8
example-cluster-new-c5qqp-worker-b-kz6jn.c.quay-devel.internal   Ready    infra,worker           406d   v1.32.8
example-cluster-new-c5qqp-worker-b-wrhw4.c.quay-devel.internal   Ready    infra,worker           405d   v1.32.8
---

Copy to Clipboard

Toggle word wrap

ワーカーノードに infra ロールが割り当てられている場合、ユーザーのワークロードが誤ってインフラノードに割り当てられる可能性があります。これを回避するには、infra ノードにテイントを適用し、制御する Pod に容認を追加します。次のコマンドを入力して、ワーカーノードに infra ラベルを付けます。

oc adm taint nodes -l node-role.kubernetes.io/infra \
  node-role.kubernetes.io/infra=reserved:NoSchedule --overwrite

$ oc adm taint nodes -l node-role.kubernetes.io/infra \
  node-role.kubernetes.io/infra=reserved:NoSchedule --overwrite

Copy to Clipboard

Toggle word wrap

出力例

node/example-cluster-new-c5qqp-worker-b-4zxx5.c.quay-devel.internal modified
node/example-cluster-new-c5qqp-worker-b-kz6jn.c.quay-devel.internal modified
node/example-cluster-new-c5qqp-worker-b-wrhw4.c.quay-devel.internal modified

node/example-cluster-new-c5qqp-worker-b-4zxx5.c.quay-devel.internal modified
node/example-cluster-new-c5qqp-worker-b-kz6jn.c.quay-devel.internal modified
node/example-cluster-new-c5qqp-worker-b-wrhw4.c.quay-devel.internal modified

Copy to Clipboard

Toggle word wrap

8.2. ノードセレクターと容認を使用したプロジェクト作成
リンクのコピー

以下の手順を使用して、node-selector および tolerations アノテーションでプロジェクトを作成します。

手順

次のコマンドを入力して、node-selector アノテーションを namespace に追加します。

oc annotate namespace <namespace> openshift.io/node-selector='node-role.kubernetes.io/infra='

$ oc annotate namespace <namespace> openshift.io/node-selector='node-role.kubernetes.io/infra='

Copy to Clipboard

Toggle word wrap

出力例

namespace/<namespace> annotated

namespace/<namespace> annotated

Copy to Clipboard

Toggle word wrap

以下のコマンドを入力して tolerations アノテーションを namespace に追加します。

oc annotate namespace <namespace> scheduler.alpha.kubernetes.io/defaultTolerations='[{"operator":"Equal","value":"reserved","effect":"NoSchedule","key":"node-role.kubernetes.io/infra"},{"operator":"Equal","value":"reserved","effect":"NoExecute","key":"node-role.kubernetes.io/infra"}]' --overwrite

$ oc annotate namespace <namespace> scheduler.alpha.kubernetes.io/defaultTolerations='[{"operator":"Equal","value":"reserved","effect":"NoSchedule","key":"node-role.kubernetes.io/infra"},{"operator":"Equal","value":"reserved","effect":"NoExecute","key":"node-role.kubernetes.io/infra"}]' --overwrite

Copy to Clipboard

Toggle word wrap

出力例

namespace/<namespace> annotated

namespace/<namespace> annotated

Copy to Clipboard

Toggle word wrap

重要

この例の容認は、一般的にインフラノードに適用される 2 つのテイントに固有のものです。お使いの環境で設定したテイントは異なる場合があります。それに応じて容認を設定して、インフラノードに適用されたテイントと一致させる必要があります。

8.3. アノテーションが付けられた名前空間への Red Hat Quay Operator のインストール
リンクのコピー

node-role.kubernetes.io/infra= ラベルをワーカーノードに追加し、node-selector および tolerations アノテーションを namespace に追加した後、その namespace に Red Hat Quay Operator をダウンロードする必要があります。

次の手順は、アノテーションが付けられた namespace に Red Hat Quay Operator をダウンロードし、インストールを正常に実行するためにサブスクリプションを更新する方法を示しています。

手順

OpenShift Container Platform Web コンソールで、Operators → OperatorHub をクリックします。
検索ボックスに、Red Hat Quay と入力します。
Red Hat Quay → Install をクリックします。
更新チャネル（例： stable-3.11 とバージョン）を選択します。
インストールモード のクラスターで特定の namespace をクリックし、node-selector および tolerations アノテーションを適用した namespace を選択します。
Install をクリックします。

次のコマンドを入力して、Operator がインストールされていることを確認します。

oc get pods -n <annotated_namespace> -o wide | grep quay-operator

$ oc get pods -n <annotated_namespace> -o wide | grep quay-operator

Copy to Clipboard

Toggle word wrap

出力例

quay-operator.v3.15.1-858b5c5fdc-lf5kj   1/1     Running   0          29m   10.130.6.18   example-cluster-new-c5qqp-worker-f-mhngl.c.quay-devel.internal   <none>           <none>

quay-operator.v3.15.1-858b5c5fdc-lf5kj   1/1     Running   0          29m   10.130.6.18   example-cluster-new-c5qqp-worker-f-mhngl.c.quay-devel.internal   <none>           <none>

Copy to Clipboard

Toggle word wrap

8.4. Red Hat Quay レジストリーの作成
リンクのコピー

Red Hat Quay Operator をダウンロードしたら、Red Hat Quay レジストリーを作成する必要があります。レジストリーのコンポーネント( clair、postgres、redis など)には、infra ワーカーノードにスケジュールできるように、Toleration アノテーションを適用する必要があります。

以下の手順は、インフラストラクチャーノードで実行される Red Hat Quay レジストリーを作成する方法を示しています。

手順

OpenShift Container Platform Web コンソールで、Operators → Installed Operators → Red Hat Quay をクリックします。
Red Hat Quay Operator の詳細 ページで、Quay Registry → Create QuayRegistry をクリックします。
Create QuayRegistry ページで、monitoring および objectstorage フィールドを false に設定します。Red Hat Quay が単一の namespace にインストールされている場合、モニタリングコンポーネントを有効にすることはできません。以下に例を示します。
```
# ...
    - kind: monitoring
      managed: false
    - kind: objectstorage
      managed: false
# ...
```
```
# ...
    - kind: monitoring
      managed: false
    - kind: objectstorage
      managed: false
# ...
```
Copy to Clipboard Toggle word wrap
Create をクリックします。

オプション：Pod がインフラノードで実行されていることを確認します。

次のコマンドを入力して、すべての Quay関連の Pod とスケジュールされているノードを一覧表示します。

oc get pods -n <annotated_namespace> -o wide | grep example-registry

$ oc get pods -n <annotated_namespace> -o wide | grep example-registry

Copy to Clipboard

Toggle word wrap

出力例

...
NAME                                               READY   STATUS      RESTARTS   AGE   IP             NODE                                                              NOMINATED NODE   READINESS GATES
example-registry-clair-app-5f95d685bd-dgjf6        1/1     Running     0          52m   10.128.4.12    example-cluster-new-c5qqp-worker-b-wrhw4.c.quay-devel.internal   <none>           <none>
...

...
NAME                                               READY   STATUS      RESTARTS   AGE   IP             NODE                                                              NOMINATED NODE   READINESS GATES
example-registry-clair-app-5f95d685bd-dgjf6        1/1     Running     0          52m   10.128.4.12    example-cluster-new-c5qqp-worker-b-wrhw4.c.quay-devel.internal   <none>           <none>
...

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、一覧表示されたノードに infra というラベルが付けられたノードのみが含まれていることを確認します。

oc get nodes -l node-role.kubernetes.io/infra -o name

$ oc get nodes -l node-role.kubernetes.io/infra -o name

Copy to Clipboard

Toggle word wrap

出力例

node/example-cluster-new-c5qqp-worker-b-4zxx5.c.quay-devel.internal modified
node/example-cluster-new-c5qqp-worker-b-kz6jn.c.quay-devel.internal modified
node/example-cluster-new-c5qqp-worker-b-wrhw4.c.quay-devel.internal modified

node/example-cluster-new-c5qqp-worker-b-4zxx5.c.quay-devel.internal modified
node/example-cluster-new-c5qqp-worker-b-kz6jn.c.quay-devel.internal modified
node/example-cluster-new-c5qqp-worker-b-wrhw4.c.quay-devel.internal modified

Copy to Clipboard

Toggle word wrap

注記

いずれかの Pod がインフラ以外のノードに表示される場合は、namespace のアノテーションとデプロイメントのパッチを適用します。

次のコマンドを入力して、Red Hat Quay レジストリーのすべての Pod を再起動します。
```
oc delete pod -n <annotated_namespace> --all
```
```
$ oc delete pod -n <annotated_namespace> --all
```
Copy to Clipboard Toggle word wrap

以下のコマンドを実行して Pod のステータスを確認します。

oc get pods -n <annotated_namespace>

$ oc get pods -n <annotated_namespace>

Copy to Clipboard

Toggle word wrap

出力例

...
NAME                                               READY   STATUS      RESTARTS   AGE
example-registry-clair-app-5f95d685bd-dgjf6        1/1     Running     0          5m4s
...

...
NAME                                               READY   STATUS      RESTARTS   AGE
example-registry-clair-app-5f95d685bd-dgjf6        1/1     Running     0          5m4s
...

Copy to Clipboard

Toggle word wrap

第9章デプロイメントプロセスの監視およびデバッグ
リンクのコピー

ユーザーは、デプロイメントフェーズ中に問題のトラブルシューティングを行えるようになりました。QuayRegistry オブジェクトのステータスは、デプロイメント時にコンポーネントの正常性をモニターするのに役立ちます。これにより、発生する可能性のある問題のデバッグに役立ちます。

手順

次のコマンドを入力して、デプロイメントのステータスを確認します。

oc get quayregistry -n quay-enterprise -o yaml

$ oc get quayregistry -n quay-enterprise -o yaml

Copy to Clipboard

Toggle word wrap

出力例

デプロイメント直後に、QuayRegistry オブジェクトに基本設定が表示されます。

apiVersion: v1
items:
- apiVersion: quay.redhat.com/v1
  kind: QuayRegistry
  metadata:
    creationTimestamp: "2021-09-14T10:51:22Z"
    generation: 3
    name: example-registry
    namespace: quay-enterprise
    resourceVersion: "50147"
    selfLink: /apis/quay.redhat.com/v1/namespaces/quay-enterprise/quayregistries/example-registry
    uid: e3fc82ba-e716-4646-bb0f-63c26d05e00e
  spec:
    components:
    - kind: postgres
      managed: true
    - kind: clair
      managed: true
    - kind: redis
      managed: true
    - kind: horizontalpodautoscaler
      managed: true
    - kind: objectstorage
      managed: true
    - kind: route
      managed: true
    - kind: mirror
      managed: true
    - kind: monitoring
      managed: true
    - kind: tls
      managed: true
    - kind: clairpostgres
      managed: true
    configBundleSecret: example-registry-config-bundle-kt55s
kind: List
metadata:
  resourceVersion: ""
  selfLink: ""

apiVersion: v1
items:
- apiVersion: quay.redhat.com/v1
  kind: QuayRegistry
  metadata:
    creationTimestamp: "2021-09-14T10:51:22Z"
    generation: 3
    name: example-registry
    namespace: quay-enterprise
    resourceVersion: "50147"
    selfLink: /apis/quay.redhat.com/v1/namespaces/quay-enterprise/quayregistries/example-registry
    uid: e3fc82ba-e716-4646-bb0f-63c26d05e00e
  spec:
    components:
    - kind: postgres
      managed: true
    - kind: clair
      managed: true
    - kind: redis
      managed: true
    - kind: horizontalpodautoscaler
      managed: true
    - kind: objectstorage
      managed: true
    - kind: route
      managed: true
    - kind: mirror
      managed: true
    - kind: monitoring
      managed: true
    - kind: tls
      managed: true
    - kind: clairpostgres
      managed: true
    configBundleSecret: example-registry-config-bundle-kt55s
kind: List
metadata:
  resourceVersion: ""
  selfLink: ""

Copy to Clipboard

Toggle word wrap

oc get pods コマンドを使用して、デプロイされたコンポーネントの現在の状態を表示します。

oc get pods -n quay-enterprise

$ oc get pods -n quay-enterprise

Copy to Clipboard

Toggle word wrap

出力例

NAME                                                   READY   STATUS              RESTARTS   AGE
example-registry-clair-app-86554c6b49-ds7bl            0/1     ContainerCreating   0          2s
example-registry-clair-app-86554c6b49-hxp5s            0/1     Running             1          17s
example-registry-clair-postgres-68d8857899-lbc5n       0/1     ContainerCreating   0          17s
example-registry-quay-app-upgrade-h2v7h                0/1     ContainerCreating   0          9s
example-registry-quay-database-66f495c9bc-wqsjf        0/1     ContainerCreating   0          17s
example-registry-quay-mirror-854c88457b-d845g          0/1     Init:0/1            0          2s
example-registry-quay-mirror-854c88457b-fghxv          0/1     Init:0/1            0          17s
example-registry-quay-postgres-init-bktdt              0/1     Terminating         0          17s
example-registry-quay-redis-f9b9d44bf-4htpz            0/1     ContainerCreating   0          17s

NAME                                                   READY   STATUS              RESTARTS   AGE
example-registry-clair-app-86554c6b49-ds7bl            0/1     ContainerCreating   0          2s
example-registry-clair-app-86554c6b49-hxp5s            0/1     Running             1          17s
example-registry-clair-postgres-68d8857899-lbc5n       0/1     ContainerCreating   0          17s
example-registry-quay-app-upgrade-h2v7h                0/1     ContainerCreating   0          9s
example-registry-quay-database-66f495c9bc-wqsjf        0/1     ContainerCreating   0          17s
example-registry-quay-mirror-854c88457b-d845g          0/1     Init:0/1            0          2s
example-registry-quay-mirror-854c88457b-fghxv          0/1     Init:0/1            0          17s
example-registry-quay-postgres-init-bktdt              0/1     Terminating         0          17s
example-registry-quay-redis-f9b9d44bf-4htpz            0/1     ContainerCreating   0          17s

Copy to Clipboard

Toggle word wrap

デプロイメントが進行中、QuayRegistry オブジェクトに現在のステータスが表示されます。この場合、データベースの移行が行われ、その他のコンポーネントは完了するまで待機します。

  status:
    conditions:
    - lastTransitionTime: "2021-09-14T10:52:04Z"
      lastUpdateTime: "2021-09-14T10:52:04Z"
      message: all objects created/updated successfully
      reason: ComponentsCreationSuccess
      status: "False"
      type: RolloutBlocked
    - lastTransitionTime: "2021-09-14T10:52:05Z"
      lastUpdateTime: "2021-09-14T10:52:05Z"
      message: running database migrations
      reason: MigrationsInProgress
      status: "False"
      type: Available
    lastUpdated: 2021-09-14 10:52:05.371425635 +0000 UTC
    unhealthyComponents:
      clair:
      - lastTransitionTime: "2021-09-14T10:51:32Z"
        lastUpdateTime: "2021-09-14T10:51:32Z"
        message: 'Deployment example-registry-clair-postgres: Deployment does not have minimum availability.'
        reason: MinimumReplicasUnavailable
        status: "False"
        type: Available
      - lastTransitionTime: "2021-09-14T10:51:32Z"
        lastUpdateTime: "2021-09-14T10:51:32Z"
        message: 'Deployment example-registry-clair-app: Deployment does not have minimum availability.'
        reason: MinimumReplicasUnavailable
        status: "False"
        type: Available
      mirror:
      - lastTransitionTime: "2021-09-14T10:51:32Z"
        lastUpdateTime: "2021-09-14T10:51:32Z"
        message: 'Deployment example-registry-quay-mirror: Deployment does not have minimum availability.'
        reason: MinimumReplicasUnavailable
        status: "False"
        type: Available

  status:
    conditions:
    - lastTransitionTime: "2021-09-14T10:52:04Z"
      lastUpdateTime: "2021-09-14T10:52:04Z"
      message: all objects created/updated successfully
      reason: ComponentsCreationSuccess
      status: "False"
      type: RolloutBlocked
    - lastTransitionTime: "2021-09-14T10:52:05Z"
      lastUpdateTime: "2021-09-14T10:52:05Z"
      message: running database migrations
      reason: MigrationsInProgress
      status: "False"
      type: Available
    lastUpdated: 2021-09-14 10:52:05.371425635 +0000 UTC
    unhealthyComponents:
      clair:
      - lastTransitionTime: "2021-09-14T10:51:32Z"
        lastUpdateTime: "2021-09-14T10:51:32Z"
        message: 'Deployment example-registry-clair-postgres: Deployment does not have minimum availability.'
        reason: MinimumReplicasUnavailable
        status: "False"
        type: Available
      - lastTransitionTime: "2021-09-14T10:51:32Z"
        lastUpdateTime: "2021-09-14T10:51:32Z"
        message: 'Deployment example-registry-clair-app: Deployment does not have minimum availability.'
        reason: MinimumReplicasUnavailable
        status: "False"
        type: Available
      mirror:
      - lastTransitionTime: "2021-09-14T10:51:32Z"
        lastUpdateTime: "2021-09-14T10:51:32Z"
        message: 'Deployment example-registry-quay-mirror: Deployment does not have minimum availability.'
        reason: MinimumReplicasUnavailable
        status: "False"
        type: Available

Copy to Clipboard

Toggle word wrap

デプロイメントプロセスが正常に終了すると、QuayRegistry オブジェクトのステータスには正常でないコンポーネントは表示されません。

  status:
    conditions:
    - lastTransitionTime: "2021-09-14T10:52:36Z"
      lastUpdateTime: "2021-09-14T10:52:36Z"
      message: all registry component healthchecks passing
      reason: HealthChecksPassing
      status: "True"
      type: Available
    - lastTransitionTime: "2021-09-14T10:52:46Z"
      lastUpdateTime: "2021-09-14T10:52:46Z"
      message: all objects created/updated successfully
      reason: ComponentsCreationSuccess
      status: "False"
      type: RolloutBlocked
    currentVersion: {producty}
    lastUpdated: 2021-09-14 10:52:46.104181633 +0000 UTC
    registryEndpoint: https://example-registry-quay-quay-enterprise.apps.docs.quayteam.org
    unhealthyComponents: {}

  status:
    conditions:
    - lastTransitionTime: "2021-09-14T10:52:36Z"
      lastUpdateTime: "2021-09-14T10:52:36Z"
      message: all registry component healthchecks passing
      reason: HealthChecksPassing
      status: "True"
      type: Available
    - lastTransitionTime: "2021-09-14T10:52:46Z"
      lastUpdateTime: "2021-09-14T10:52:46Z"
      message: all objects created/updated successfully
      reason: ComponentsCreationSuccess
      status: "False"
      type: RolloutBlocked
    currentVersion: {producty}
    lastUpdated: 2021-09-14 10:52:46.104181633 +0000 UTC
    registryEndpoint: https://example-registry-quay-quay-enterprise.apps.docs.quayteam.org
    unhealthyComponents: {}

Copy to Clipboard

Toggle word wrap

9.1. OpenShift Container Platform コンソールからの Red Hat Quay のデプロイ
リンクのコピー

namespace (例: quay-enterprise) を作成します。
Operators → Installed Operators を選択してから Quay Operator を選択し、Operator の詳細ビューに移動します。
'Provided API' の下にある 'Quay Registry' タイルの 'Create Instance' をクリックします。
オプションで、QuayRegistry の 'Name' を変更します。これはレジストリーのホスト名に影響します。その他のフィールドはすべてデフォルトで入力されています。
'Create' をクリックし、Quay Operator によってデプロイされる QuayRegistry を送信します。
QuayRegistry リストビューにリダイレクトされるはずです。作成した QuayRegistry をクリックし、詳細ビューを表示します。
'Registry Endpoint' の値が設定されたら、その値をクリックして UI で新規 Quay レジストリーにアクセスします。'Create Account' を選択して、ユーザーを作成し、サインインできるようになりました。

9.1.1. Red Hat Quay UI を使用した最初のユーザーの作成
リンクのコピー

Red Hat Quay UI で最初のユーザーを作成するには、次の手順を実行します。

注記

この手順では、FEATURE_USER_CREATION 設定オプションが false に設定されていることを前提としています。False の場合、UI での Create Account 機能が無効になり、API を使用して最初のユーザーを作成する必要があります。

手順

OpenShift Container Platform コンソールで、適切な namespace /プロジェクトを使用して Operators → Installed Operators に移動します。
新しくインストールされた QuayRegistry オブジェクトをクリックして詳細を表示します。以下に例を示します。
Registry Endpoint に値を設定したら、ブラウザーでこの URL に移動します。
Red Hat Quay レジストリー UI で Create Account を選択し、ユーザーを作成します。以下に例を示します。
Username、Password、Email の詳細を入力し、Create Account をクリックします。以下に例を示します。

最初のユーザーを作成すると、自動的に Red Hat Quay レジストリーにログインされます。以下に例を示します。

Initial log in

第10章 QuayRegistry オブジェクトのステータスの表示
リンクのコピー

特定の Red Hat Quay デプロイメントのライフサイクル可観測性は、対応する QuayRegistry オブジェクトの status セクションで報告されます。Red Hat Quay Operator はこのセクションを常に更新します。Red Hat Quay または管理対象の依存関係において問題や状態の変更がないかを確認する場合に、こちらの場所を最初に探すようにしてください。

10.1. レジストリーエンドポイントの表示
リンクのコピー

Red Hat Quay を使用する準備ができると、レジストリーの一般に利用可能なホスト名が status.registryEndpoint フィールドに設定されます。

10.2. 使用中の Red Hat Quay のバージョンの表示
リンクのコピー

実行中の Red Hat Quay の現行バージョンは status.currentVersion で報告されます。

10.3. Red Hat Quay デプロイメントの条件の表示
リンクのコピー

特定の条件は status.conditions で報告されます。

第11章 OpenShift Container Platform での Red Hat Quay のカスタマイズ
リンクのコピー

デプロイメント後に、Red Hat Quay 設定バンドルシークレット spec.configBundleSecret を編集して Red Hat Quay アプリケーションをカスタマイズできます。QuayRegistry リソースの spec.components オブジェクトで、コンポーネントの管理ステータスを変更したり、一部のコンポーネントのリソース要求を設定したりすることもできます。

11.1. OpenShift Container Platform コンソールでの設定バンドルシークレットの編集
リンクのコピー

OpenShift Container Platform コンソールで設定バンドルシークレットを編集するには、次の手順を実行します。

手順

Red Hat Quay Registry の概要画面で、Config Bundle Secret のリンクをクリックします。
シークレットを編集するには、Actions → Edit Secret をクリックします。
設定を変更して保存します
デプロイメントを監視して、正常に完了したこと、および設定の変更が反映されていることを確認します。

11.2. QuayRegistry エンドポイントおよびシークレットの決定
リンクのコピー

次の手順を実行して、QuayRegistry エンドポイントとシークレットを見つけます。

手順

現在のエンドポイントとシークレットを見つけるには、次のコマンドを入力し、oc describe quayregistry または oc get quayregistry -o yaml を使用して QuayRegistry リソースを調べます。

oc get quayregistry example-registry -n quay-enterprise -o yaml

$ oc get quayregistry example-registry -n quay-enterprise -o yaml

Copy to Clipboard

Toggle word wrap

出力例

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  ...
  name: example-registry
  namespace: quay-enterprise
  ...
spec:
  components:
  - kind: quay
    managed: true
  ...
  - kind: clairpostgres
    managed: true
  configBundleSecret: init-config-bundle-secret 
status:
  currentVersion: 3.7.0
  lastUpdated: 2022-05-11 13:28:38.199476938 +0000 UTC
  registryEndpoint: https://example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  ...
  name: example-registry
  namespace: quay-enterprise
  ...
spec:
  components:
  - kind: quay
    managed: true
  ...
  - kind: clairpostgres
    managed: true
  configBundleSecret: init-config-bundle-secret

1


status:
  currentVersion: 3.7.0
  lastUpdated: 2022-05-11 13:28:38.199476938 +0000 UTC
  registryEndpoint: https://example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org

2

Copy to Clipboard

Toggle word wrap

1: config.yaml ファイルと SSL/TLS 証明書を含む設定バンドルのシークレット。
2: レジストリーの URL、レジストリー UI へのブラウザーアクセス、およびレジストリー API エンドポイント。

11.3. 既存設定のダウンロード
リンクのコピー

以下は、各種ストラテジーを使用して既存の設定をダウンロードするための手順です。

11.3.1. 設定バンドルのシークレットを使用して既存の設定をダウンロード
リンクのコピー

設定バンドルのシークレットを使用して、既存の設定をダウンロードできます。

手順

次のコマンドを入力してシークレットデータを取得します。

oc get secret -n quay-enterprise init-config-bundle-secret -o jsonpath='{.data}'

$ oc get secret -n quay-enterprise init-config-bundle-secret -o jsonpath='{.data}'

Copy to Clipboard

Toggle word wrap

出力例

{
    "config.yaml": "RkVBVFVSRV9VU0 ... MDAwMAo="
}

{
    "config.yaml": "RkVBVFVSRV9VU0 ... MDAwMAo="
}

Copy to Clipboard

Toggle word wrap

次のコマンドを入力してデータをデコードします。

echo 'RkVBVFVSRV9VU0 ... MDAwMAo=' | base64 --decode

$ echo 'RkVBVFVSRV9VU0 ... MDAwMAo=' | base64 --decode

Copy to Clipboard

Toggle word wrap

出力例

FEATURE_USER_INITIALIZE: true
BROWSER_API_CALLS_XHR_ONLY: false
SUPER_USERS:
- quayadmin
FEATURE_USER_CREATION: false
FEATURE_QUOTA_MANAGEMENT: true
FEATURE_PROXY_CACHE: true
FEATURE_BUILD_SUPPORT: true
DEFAULT_SYSTEM_REJECT_QUOTA_BYTES: 102400000

FEATURE_USER_INITIALIZE: true
BROWSER_API_CALLS_XHR_ONLY: false
SUPER_USERS:
- quayadmin
FEATURE_USER_CREATION: false
FEATURE_QUOTA_MANAGEMENT: true
FEATURE_PROXY_CACHE: true
FEATURE_BUILD_SUPPORT: true
DEFAULT_SYSTEM_REJECT_QUOTA_BYTES: 102400000

Copy to Clipboard

Toggle word wrap

11.4. 設定バンドルを使用したカスタム SSL/TLS 証明書の設定
リンクのコピー

カスタム SSL/TLS 証明書は、初期デプロイメントの前、または Red Hat Quay を OpenShift Container Platform にデプロイした後に設定できます。これは、設定バンドルのシークレットを作成または更新することで実行できます。

既存のデプロイメントに証明書を追加する場合は、設定を変更しない場合でも、新規の設定バンドルシークレットに既存の config.yaml を含める必要があります。

カスタム SSL/TLS 証明書を追加するには、次の手順を実行します。

手順

QuayRegistry YAML ファイルで、kind: tls を manage:false に設定します。以下はその例です。
```
  - kind: tls
    managed: false
```
```
  - kind: tls
    managed: false
```
Copy to Clipboard Toggle word wrap

Events ページには、適切な設定が行われるまで変更がブロックされていることが表示されます。以下に例を示します。

    - lastTransitionTime: '2022-03-28T12:56:49Z'
      lastUpdateTime: '2022-03-28T12:56:49Z'
      message: >-
        required component `tls` marked as unmanaged, but `configBundleSecret`
        is missing necessary fields
      reason: ConfigInvalid
      status: 'True'

    - lastTransitionTime: '2022-03-28T12:56:49Z'
      lastUpdateTime: '2022-03-28T12:56:49Z'
      message: >-
        required component `tls` marked as unmanaged, but `configBundleSecret`
        is missing necessary fields
      reason: ConfigInvalid
      status: 'True'

Copy to Clipboard

Toggle word wrap

埋め込みデータまたはファイルを使用してシークレットを作成します。

設定の詳細を Secret リソース YAML ファイルに直接組み込みます。以下に例を示します。

custom-ssl-config-bundle.yaml

apiVersion: v1
kind: Secret
metadata:
  name: custom-ssl-config-bundle-secret
  namespace: quay-enterprise
data:
  config.yaml: |
    FEATURE_USER_INITIALIZE: true
    BROWSER_API_CALLS_XHR_ONLY: false
    SUPER_USERS:
    - quayadmin
    FEATURE_USER_CREATION: false
    FEATURE_QUOTA_MANAGEMENT: true
    FEATURE_PROXY_CACHE: true
    FEATURE_BUILD_SUPPORT: true
    DEFAULT_SYSTEM_REJECT_QUOTA_BYTES: 102400000
  extra_ca_cert_my-custom-ssl.crt: |
    -----BEGIN CERTIFICATE-----
    MIIDsDCCApigAwIBAgIUCqlzkHjF5i5TXLFy+sepFrZr/UswDQYJKoZIhvcNAQEL
    BQAwbzELMAkGA1UEBhMCSUUxDzANBgNVBAgMBkdBTFdBWTEPMA0GA1UEBwwGR0FM
    ....
    -----END CERTIFICATE-----

apiVersion: v1
kind: Secret
metadata:
  name: custom-ssl-config-bundle-secret
  namespace: quay-enterprise
data:
  config.yaml: |
    FEATURE_USER_INITIALIZE: true
    BROWSER_API_CALLS_XHR_ONLY: false
    SUPER_USERS:
    - quayadmin
    FEATURE_USER_CREATION: false
    FEATURE_QUOTA_MANAGEMENT: true
    FEATURE_PROXY_CACHE: true
    FEATURE_BUILD_SUPPORT: true
    DEFAULT_SYSTEM_REJECT_QUOTA_BYTES: 102400000
  extra_ca_cert_my-custom-ssl.crt: |
    -----BEGIN CERTIFICATE-----
    MIIDsDCCApigAwIBAgIUCqlzkHjF5i5TXLFy+sepFrZr/UswDQYJKoZIhvcNAQEL
    BQAwbzELMAkGA1UEBhMCSUUxDzANBgNVBAgMBkdBTFdBWTEPMA0GA1UEBwwGR0FM
    ....
    -----END CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

YAML ファイルからシークレットを作成します。
```
oc create  -f custom-ssl-config-bundle.yaml
```
```
$ oc create  -f custom-ssl-config-bundle.yaml
```
Copy to Clipboard Toggle word wrap
..

または、必要な情報が含まれるファイルを作成し、そのファイルからシークレットを作成できます。
1. 次のコマンドを入力して、config.yaml ファイルと custom-ssl.crt ファイルを含む汎用 Secret オブジェクトを作成します。
  $ oc create secret generic custom-ssl-config-bundle-secret \ --from-file=config.yaml \ --from-file=extra_ca_cert_my-custom-ssl.crt=my-custom-ssl.crt
  Copy to Clipboard Toggle word wrap
2. 作成された Secret を参照する QuayRegistry YAML ファイルを作成または更新します。以下はその例です。
  QuayRegistry YAML ファイルの例
  apiVersion: quay.redhat.com/v1 kind: QuayRegistry metadata: name: example-registry namespace: quay-enterprise spec: configBundleSecret: custom-ssl-config-bundle-secret
  
  Copy to Clipboard Toggle word wrap
3. 次のコマンドを入力し、YAML ファイルを使用してレジストリーをデプロイまたは更新します。
  $ oc apply -f quayregistry.yaml
  Copy to Clipboard Toggle word wrap

次のステップ

Red Hat Quay の機能