Red Hat Summit10.8. ストレージとデータ管理
このセクションでは、Red Hat Quay がデータを保存、管理、監査する方法を制御する設定フィールドについて説明します。
10.8.1. イメージストレージ機能
Red Hat Quay は、コンテナーイメージデータを管理する際のスケーラビリティー、回復力、柔軟性を強化するイメージストレージ機能をサポートしています。これらの機能により、Red Hat Quay はリポジトリーをミラーリングしたり、NGINX を介してストレージアクセスをプロキシーしたり、複数のストレージエンジン間でデータをレプリケートしたりできるようになります。
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_REPO_MIRROR | Boolean |
true に設定されている場合は、リポジトリーのミラーリングを有効にします。 |
| FEATURE_PROXY_STORAGE | Boolean |
NGINX を使用してストレージ内のすべての直接ダウンロード URL をプロキシーするかどうか。 |
| FEATURE_STORAGE_REPLICATION | Boolean |
ストレージエンジン間で自動的にレプリケートするかどうか。 |
イメージストレージの YAML サンプル
# ...
FEATURE_REPO_MIRROR: true
FEATURE_PROXY_STORAGE: false
FEATURE_STORAGE_REPLICATION: true
# ...10.8.2. アクションログストレージ設定フィールド
Red Hat Quay は、リポジトリーイベント、認証アクション、イメージ操作などのユーザーおよびシステムのアクティビティーを追跡するための詳細なアクションログを維持します。デフォルトでは、このログデータはデータベースに保存されますが、管理者は、高度な分析、監査、コンプライアンスのために、Elasticsearch や Splunk などの外部システムにログをエクスポートまたは転送するようにデプロイメントを設定できます。
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_LOG_EXPORT | Boolean |
アクションログのエクスポートを許可するかどうか。 |
| LOGS_MODEL | 文字列 |
ログデータを処理するための推奨される方法を指定します。 |
| LOGS_MODEL_CONFIG | Object | アクションログのログモデル設定。 |
| ALLOW_WITHOUT_STRICT_LOGGING | Boolean |
|
アクションログストレージの YAML サンプル
# ...
FEATURE_LOG_EXPORT: true
LOGS_MODEL: elasticsearch
LOGS_MODEL_CONFIG:
elasticsearch:
endpoint: http://elasticsearch.example.com:9200
index_prefix: quay-logs
username: elastic
password: changeme
ALLOW_WITHOUT_STRICT_LOGGING: true
# ...10.8.2.1. アクションログのローテーションおよびアーカイブ設定
このセクションでは、Red Hat Quay でのアクションログのローテーションとアーカイブに関連する設定フィールドについて説明します。有効にすると、古いログが自動的にローテーションされ、指定されたストレージの場所にアーカイブされるため、ログの保持とストレージの使用率を効率的に管理できます。
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_ACTION_LOG_ROTATION | Boolean |
ログローテーションおよび archival を有効にすると、30 日以上経過したすべてのログをストレージに移動します。 |
| ACTION_LOG_ARCHIVE_LOCATION | 文字列 |
アクションログのアーカイブが有効な場合は、アーカイブされたデータを配置するストレージエンジン。 |
| ACTION_LOG_ARCHIVE_PATH | 文字列 |
アクションログのアーカイブが有効な場合は、アーカイブされたデータを配置するストレージのパス。 |
| ACTION_LOG_ROTATION_THRESHOLD | 文字列 |
ログをローテーションする間隔。 |
アクションログのローテーションとアーカイブの YAML サンプル
# ...
FEATURE_ACTION_LOG_ROTATION: true
ACTION_LOG_ARCHIVE_LOCATION: s3_us_east
ACTION_LOG_ARCHIVE_PATH: archives/actionlogs
ACTION_LOG_ROTATION_THRESHOLD: 30d
# ...10.8.2.2. アクションログの監査設定
このセクションでは、Red Hat Quay 内の監査ロギングの設定フィールドについて説明します。監査ロギングを有効にすると、通常のユーザー、ロボットアカウント、トークンベースのアカウントの UI ログイン、ログアウト、Docker ログインなどの詳細なユーザーアクティビティーが追跡されます。
| フィールド | 型 | 説明 |
|---|---|---|
| ACTION_LOG_AUDIT_LOGINS | Boolean |
|
| ACTION_LOG_AUDIT_LOGIN_FAILURES | Boolean |
失敗したログイン試行のロギングが有効かどうか。 |
| ACTION_LOG_AUDIT_PULL_FAILURES | Boolean |
失敗したイメージプル試行のロギングが有効かどうか。 |
| ACTION_LOG_AUDIT_PUSH_FAILURES | Boolean |
失敗したイメージプッシュ試行のロギングが有効かどうか。 |
| ACTION_LOG_AUDIT_DELETE_FAILURES | Boolean |
失敗したイメージ削除試行のロギングが有効かどうか。 |
監査ログの設定の YAML サンプル
# ...
ACTION_LOG_AUDIT_LOGINS: true
ACTION_LOG_AUDIT_LOGIN_FAILURES: false
ACTION_LOG_AUDIT_PULL_FAILURES: false
ACTION_LOG_AUDIT_PUSH_FAILURES: false
ACTION_LOG_AUDIT_DELETE_FAILURES: false
# ...10.8.3. Elasticsearch 設定フィールド
次の設定フィールドを使用して、Red Hat Quay を外部 Elasticsearch サービスと統合します。これにより、アクションログ、リポジトリーイベント、その他の操作レコードなどの構造化データを内部データベースの外部に保存およびクエリーできるようになります。
| フィールド | 型 | 説明 |
|---|---|---|
| LOGS_MODEL_CONFIG.elasticsearch_config.access_key | 文字列 |
Elasticsearch ユーザー (または AWS ES の IAM キー)。 |
| .elasticsearch_config.host | 文字列 |
Elasticsearch クラスターのエンドポイント。 |
| .elasticsearch_config.index_prefix | 文字列 |
Elasticsearch インデックスの接頭辞。 |
| .elasticsearch_config.index_settings | Object | Elasticsearch のインデックス設定。 |
| LOGS_MODEL_CONFIG.elasticsearch_config.use_ssl | Boolean |
Elasticsearch に SSL を使用するかどうか。 |
| .elasticsearch_config.secret_key | 文字列 |
Elasticsearch パスワード (または AWS ES の IAM シークレット)。 |
| .elasticsearch_config.aws_region | 文字列 |
AWS リージョン。 |
| .elasticsearch_config.port | 数値 |
Elasticsearch クラスターのポート。 |
| .kinesis_stream_config.aws_secret_key | 文字列 |
AWS シークレットキー。 |
| .kinesis_stream_config.stream_name | 文字列 |
アクションログを送信する AWS Kinesis ストリーム。 |
| .kinesis_stream_config.aws_access_key | 文字列 |
AWS アクセスキー。 |
| .kinesis_stream_config.retries | 数値 |
1 回のリクエストに対する再試行の最大回数。 |
| .kinesis_stream_config.read_timeout | 数値 |
読み取りタイムアウト (秒単位)。 |
| .kinesis_stream_config.max_pool_connections | 数値 |
プール内の接続の最大数。 |
| .kinesis_stream_config.aws_region | 文字列 |
AWS リージョン。 |
| .kinesis_stream_config.connect_timeout | 数値 |
接続タイムアウト (秒単位)。 |
| .producer | 文字列 |
ログプロデューサータイプ。 |
| .kafka_config.topic | 文字列 |
ログエントリーを公開するために使用される Kafka トピック。 |
| .kafka_config.bootstrap_servers | Array | クライアントのブートストラップに使用される Kafka ブローカーのリスト。 |
| .kafka_config.max_block_seconds | 数値 |
|
Elasticsearch の YAML サンプル
# ...
FEATURE_LOG_EXPORT: true
LOGS_MODEL: elasticsearch
LOGS_MODEL_CONFIG:
producer: elasticsearch
elasticsearch_config:
access_key: elastic_user
secret_key: elastic_password
host: es.example.com
port: 9200
use_ssl: true
aws_region: us-east-1
index_prefix: logentry_
index_settings:
number_of_shards: 3
number_of_replicas: 1
ALLOW_WITHOUT_STRICT_LOGGING: true
# ...10.8.3.1. Splunk 設定フィールド
次のフィールドを使用して、アクションログを Splunk エンドポイントにエクスポートするように Red Hat Quay を設定します。この設定により、監査ログとイベントログを外部の Splunk サーバーに送信して、集中的な分析、検索、長期保存を行うことができます。
| フィールド | 型 | 説明 |
|---|---|---|
| producer | 文字列 |
Splunk をログエクスポーターとして設定する場合は、 |
| splunk_config | Object | Splunk アクションログまたは Splunk クラスター設定のログモデル設定。 |
| .host | 文字列 | Splunk クラスターのエンドポイント。 |
| .port | Integer | Splunk 管理クラスターのエンドポイントのポート番号。 |
| .bearer_token | 文字列 | Splunk での認証に使用されるベアラートークン。 |
| .verify_ssl | Boolean |
HTTPS 接続の TLS/SSL 検証を有効 ( |
| .index_prefix | 文字列 | Splunk で使用されるインデックス接頭辞。 |
| .ssl_ca_path | 文字列 |
SSL 検証用の認証局 (CA) を含む |
Splunk 設定の YAML サンプル
# ...
LOGS_MODEL: splunk
LOGS_MODEL_CONFIG:
producer: splunk
splunk_config:
host: http://<user_name>.remote.csb
port: 8089
bearer_token: <bearer_token>
url_scheme: <http/https>
verify_ssl: False
index_prefix: <splunk_log_index_name>
ssl_ca_path: <location_to_ssl-ca-cert.pem>
# ...10.8.3.1.1. Splunk HEC 設定フィールド
Red Hat Quay 用に Splunk HTTP Event Collector (HEC) を設定する場合は、次のフィールドを使用できます。
| フィールド | 型 | 説明 |
|---|---|---|
| producer | 文字列 |
Splunk HTTP Event Collector (HEC) を設定するときは、 |
| splunk_hec_config | Object | Splunk HTTP Event Collector アクションログのログモデル設定。 |
| .host | 文字列 | Splunk クラスターのエンドポイント。 |
| .port | Integer | Splunk 管理クラスターのエンドポイントポート。 |
| .hec_token | 文字列 | Splunk での認証に使用される HEC トークン。 |
| .url_scheme | 文字列 |
Splunk サービスにアクセスするための URL スキーム。Splunk が SSL/TLS の背後にある場合は |
| .verify_ssl | Boolean |
HTTPS 接続の SSL/TLS 検証を有効 ( |
| .index | 文字列 | ログの保存に使用する Splunk インデックス。 |
| .splunk_host | 文字列 | ログに記録されたイベントに割り当てるホスト名。 |
| .splunk_sourcetype | 文字列 |
イベントに関連付ける Splunk の |
Splunk HEC の YAML サンプル
# ...
LOGS_MODEL: splunk
LOGS_MODEL_CONFIG:
producer: splunk_hec
splunk_hec_config:
host: prd-p-aaaaaq.splunkcloud.com
port: 8088
hec_token: 12345678-1234-1234-1234-1234567890ab
url_scheme: https
verify_ssl: False
index: quay
splunk_host: quay-dev
splunk_sourcetype: quay_logs
# ...
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}