Red Hat Quay の管理

1. 証明書ファイルとプライマリーキーファイルを設定ディレクトリーにコピーして、それぞれ ssl.cert と ssl.key という名前が付けられていることを確認します。

   $ cp ~/ssl.cert $QUAY/config
   $ cp ~/ssl.key $QUAY/config
   $ cd $QUAY/config

2. config.yaml ファイルを編集し、Quay で TLS を処理できるように指定します。

   config.yaml

   ...
   SERVER_HOSTNAME: quay-server.example.com
   ...
   PREFERRED_URL_SCHEME: https
   ...

3. Quay コンテナーを停止し、レジストリーを再起動します。

   $ sudo podman rm -f quay
   $ sudo podman run -d --rm -p 80:8080 -p 443:8443 \
     --name=quay \
     -v $QUAY/config:/conf/stack:Z \
     -v $QUAY/storage:/datastorage:Z \
     registry.redhat.io/quay/quay-rhel8:v3.7.13

1. Quay コンテナーを設定モードで起動します。

   $ sudo podman run --rm -it --name quay_config -p 80:8080 -p 443:8443 registry.redhat.io/quay/quay-rhel8:v3.7.13 config secret

2. Server Configuration セクションで、TLS に Red Hat Quay handle TLS を選択します。先に作成した証明書ファイルとプライベートキーファイルをアップロードし、証明書の作成時に Server Hostname が使用された値と一致することを確認します。更新された設定を検証およびダウンロードします。

3. Quay コンテナーを停止し、レジストリーを再起動します。

   $ sudo podman rm -f quay
   $ sudo podman run -d --rm -p 80:8080 -p 443:8443 \
   --name=quay \
   -v $QUAY/config:/conf/stack:Z \
   -v $QUAY/storage:/datastorage:Z \
   registry.redhat.io/quay/quay-rhel8:v3.7.13

1. ルート CA ファイルを統合されたシステム全体のトラストストアにコピーします。

   $ sudo cp rootCA.pem /etc/pki/ca-trust/source/anchors/

2. システム全体のトラストストア設定を更新します。

   $ sudo update-ca-trust extract

3. trust list コマンドを使用して、Quay サーバーが設定されていることを確認できます。

   $ trust list | grep quay
       label: quay-server.example.com

   https://quay-server.example.com でレジストリーを参照すると、接続が安全であることを示すロックアイコンが表示されます。

   

4. システム全体の信頼からルート CA を削除するには、ファイルを削除し、設定を更新します。

   $ sudo rm /etc/pki/ca-trust/source/anchors/rootCA.pem
   $ sudo update-ca-trust extract
   $ trust list | grep quay
   $

1. コンテナーに追加される証明書を表示します。

   $ cat storage.crt
   -----BEGIN CERTIFICATE-----
   MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV
   [...]
   -----END CERTIFICATE-----

2. certs ディレクトリーを作成し、そこに証明書をコピーします。

   $ mkdir -p quay/config/extra_ca_certs
   $ cp storage.crt quay/config/extra_ca_certs/
   $ tree quay/config/
   ├── config.yaml
   ├── extra_ca_certs
   │   ├── storage.crt

3. Quay コンテナーの CONTAINER ID を podman ps で取得します。

   $ sudo podman ps
   CONTAINER ID        IMAGE                                COMMAND                  CREATED             STATUS              PORTS
   5a3e82c4a75f        <registry>/<repo>/quay:v3.7.13 "/sbin/my_init"          24 hours ago        Up 18 hours         0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 443/tcp   grave_keller

4. その ID でコンテナーを再起動します。

   $ sudo podman restart 5a3e82c4a75f

5. コンテナーの名前空間にコピーされた証明書を調べます。

   $ sudo podman exec -it 5a3e82c4a75f cat /etc/ssl/certs/storage.pem
   -----BEGIN CERTIFICATE-----
   MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV

1. まず、証明書の内容を Base64 エンコードします。

   $ cat ca.crt
   -----BEGIN CERTIFICATE-----
   MIIDljCCAn6gAwIBAgIBATANBgkqhkiG9w0BAQsFADA5MRcwFQYDVQQKDA5MQUIu
   TElCQ09SRS5TTzEeMBwGA1UEAwwVQ2VydGlmaWNhdGUgQXV0aG9yaXR5MB4XDTE2
   MDExMjA2NTkxMFoXDTM2MDExMjA2NTkxMFowOTEXMBUGA1UECgwOTEFCLkxJQkNP
   UkUuU08xHjAcBgNVBAMMFUNlcnRpZmljYXRlIEF1dGhvcml0eTCCASIwDQYJKoZI
   [...]
   -----END CERTIFICATE-----
   
   $ cat ca.crt | base64 -w 0
   [...]
   c1psWGpqeGlPQmNEWkJPMjJ5d0pDemVnR2QNCnRsbW9JdEF4YnFSdVd3PT0KLS0tLS1FTkQgQ0VSVElGSUNBVEUtLS0tLQo=

2. kubectl ツールを使用して、quay-enterprise-config-secret を編集します。

   $ kubectl --namespace quay-enterprise edit secret/quay-enterprise-config-secret

3. 証明書のエントリーを追加し、エントリーの下に base64 エンコードされた文字列を完全に貼り付けます。

     custom-cert.crt:
   c1psWGpqeGlPQmNEWkJPMjJ5d0pDemVnR2QNCnRsbW9JdEF4YnFSdVd3PT0KLS0tLS1FTkQgQ0VSVElGSUNBVEUtLS0tLQo=

4. 最後に、すべての Red Hat Quay Pod をリサイクルします。kubectl delete を使用して、すべての Red Hat Quay Pod を削除します。Red Hat Quay Deployment は、新しい証明書データを使用して交換用 Pod を自動的にスケジュールします。

1. (フォールトトレラントが望ましい) Postgres データベースサーバーを導入します。なお、Clair は Postgres データベースに uuid-ossp エクステンションを追加する必要があります。Clair の config.yaml で指定されたユーザーが、拡張機能を作成するのに必要な権限を持っている場合は、Clair 自身によって自動的に追加されます。そうでない場合は、Clair を起動する前に拡張機能を追加する必要があります。この拡張子がない場合は、Clair を起動しようとすると以下のエラーが表示されます。

   ERROR: Please load the "uuid-ossp" extension. (SQLSTATE 42501)

2. 特定のフォルダーで Clair 設定ファイルを作成します (例: /etc/clairv4/config/config.yaml)。

   config.yaml

   introspection_addr: :8089
   http_listen_addr: :8080
   log_level: debug
   indexer:
     connstring: host=clairv4-postgres port=5432 dbname=clair user=postgres password=postgres sslmode=disable
     scanlock_retry: 10
     layer_scan_concurrency: 5
     migrations: true
   matcher:
     connstring: host=clairv4-postgres port=5432 dbname=clair user=postgres password=postgres sslmode=disable
     max_conn_pool: 100
     run: ""
     migrations: true
     indexer_addr: clair-indexer
   notifier:
     connstring: host=clairv4-postgres port=5432 dbname=clair user=postgres password=postgres sslmode=disable
     delivery_interval: 1m
     poll_interval: 5m
     migrations: true
   
   # tracing and metrics
   trace:
     name: "jaeger"
     probability: 1
     jaeger:
       agent_endpoint: "localhost:6831"
       service_name: "clair"
   metrics:
     name: "prometheus"

1. コンテナーイメージ経由で Clair を実行し、作成したファイルから設定をマウントします。

   $ podman run -p 8080:8080 -p 8089:8089 -e CLAIR_CONF=/clair/config.yaml -e CLAIR_MODE=combo -v /etc/clair4/config:/clair -d registry.redhat.io/quay/clair-rhel8:v3.7.13

2. 新しい Clair V4 エンドポイントを使用するために Red Hat Quay を設定するには、前のセクションの残りの指示に従ってください。

1. Red Hat Quay クラスターにログインし、Clair スキャンを設定した組織を選択します。

2. その組織からいくつかのイメージを保持するリポジトリーを選択し、左のナビゲーションからタグを選択します。次の図は、2 枚のイメージがスキャンされたリポジトリーの例です。

   

3. 脆弱性が発見された場合は、イメージのセキュリティースキャン欄を選択すると、すべての脆弱性または修正可能な脆弱性が表示されます。次の図は、見つかったすべての脆弱性の情報を示しています。

   

1. まず、Clair の設定で、自動化されたアップデータの実行が無効になっていることを確認してください。

   config.yaml

   matcher:
     disable_updaters: true

2. 最新のアップデータをローカルのアーカイブに書き出します。このためには、バイナリーとして直接実行するか、Clair コンテナーイメージを介して実行できる clairctl ツールが必要です。Clair の設定が /etc/clairv4/config/config.yaml にあり、コンテナーイメージ経由で実行できるとします。

   $ podman run -it --rm -v /etc/clairv4/config:/cfg:Z -v /path/to/output/directory:/updaters:Z --entrypoint /bin/clairctl registry.redhat.io/quay/clair-rhel8:v3.7.13 --config /cfg/config.yaml export-updaters  /updaters/updaters.gz

   なお、Clair の設定を細かく参照する必要があります。これにより、/etc/clairv4/updaters/updaters.gz にアップデーターのアーカイブが作成されます。ソースデータベースからエラーなしにアーカイブが作成されたことを確認する場合は、--strict フラグを clairctl に指定できます。アーカイブファイルは、Clair を起動している切断されたホストからアクセス可能なボリュームにコピーしてください。切断されたホストから、今度は同じ手順で Clair にアーカイブをインポートします。

   $ podman run -it --rm -v /etc/clairv4/config:/cfg:Z -v /path/to/output/directory:/updaters:Z --entrypoint /bin/clairctl registry.redhat.io/quay/clair-rhel8:v3.7.13 --config /cfg/config.yaml import-updaters /updaters/updaters.gz

1. Operators → OperatorHub (Security を選択) で、利用可能な Container Security Operator が表示されます。
2. Container Security Operator を選択し、Install を選択して Create Operator Subscription ページに移動します。
3. 設定 (デフォルトでは、全ネームスペースと自動承認戦略) を確認し、Subscribe を選択します。しばらくすると、Installed Operators 画面に Container Security が表示されます。

4. 必要に応じて、カスタム証明書を CSO に追加できます。以下の例では、現在のディレクトリーに quay.crt という名前の証明書を作成します。その後、次のコマンドを実行して、CSO に証明書を追加します (新しい証明書を有効にするために、Operator Pod を再起動します)。

   $ oc create secret generic container-security-operator-extra-certs --from-file=quay.crt -n openshift-operators

5. OpenShift Dashboard を開きます (Home → Dashboards)。Image Security へのリンクが status セクションに表示され、これまでに見つかった脆弱性の数の一覧が表示されます。リンクを選択すると、次の図のようにセキュリティーの内訳が表示されます。

   

6. この時点で、検出された脆弱性をフォローするために以下の 2 つのいずれかの操作を実行できます。

   • 脆弱性へのリンクを選択します。コンテナーのレジストリー、Red Hat Quay、またはコンテナーを取得したその他のレジストリーに移動し、脆弱性に関する情報が表示されます。以下の図は、Quay.io レジストリーから検出された脆弱性の例を示しています。

     

   • namespaces のリンクを選択すると、ImageManifestVuln 画面が表示され、選択したイメージの名前と、そのイメージが実行されているすべてのネームスペースが表示されます。以下の図は、特定の脆弱なイメージが 2 つの namespace で実行されていることを示しています。

     

手順

1. WebUI を介して Red Hat Quay にログインします。
2. 外部アプリケーションを設定する組織を選択します。
3. ナビゲーションペインで、Applications を選択します。
4. Create New Application を選択し、新規アプリケーションの名前を入力します (例: openshift)。
5. OAuth Applications ページで、アプリケーション (openshift など) を選択します。
6. ナビゲーションペインで、Generate Token を選択します。

7. 次のフィールドを選択します。

   • Administer Organization
   • Administer Repositories
   • Create Repositories
   • View all visible repositories
   • Read/Write to any accessible repositories
   • Administer User
   • Read User Information
8. 割り当てられた権限を確認します。
9. Authorize Application を選択し、Authorize Application を選択して認証を確認します。

10. 生成されたアクセストークンを保存します。

    重要

    Red Hat Quay はトークン管理を提供しません。トークンを一覧表示したり、トークンを削除したり、トークンを変更したりすることはできません。生成されたアクセストークンは 1 回だけ表示され、ページを閉じた後に再取得することはできません。

手順

1. Web コンソールの Administrator パースペクティブを開き、ナビゲーションペインで Operator → OperatorHub に移動します。
2. Quay Bridge Operator を検索し、Quay Bridge Operator のタイトルをクリックして、Install をクリックします。
3. インストールするバージョン (たとえば、stable-3.7) を選択し、Install をクリックします。
4. インストールが完了したら、View Operator をクリックして、Quay Bridge Operator の Details ページに移動します。または、Installed Operators → Red Hat Quay Bridge Operator をクリックして、Details ページに移動することもできます。

1. 設定モードで Quay コンテナーを起動し、Enable Repository Mirroring チェックボックスを選択します。HTTPS 通信を必要とし、ミラーリング時に証明書を検証する必要がある場合は、HTTPS を選択し、証明書の検証のチェックボックスを選択します。

   

2. configuration を検証し、ダウンロードしてから、更新された設定ファイルを使用してレジストリーモードで Quay を再起動します。

手順

1. 新しい組織を作成するか、既存の組織を選択します。Organization Settings タブに表示されているように、最初はクォータが設定されていません。

   

2. スーパーユーザーとしてレジストリーにログインし、Super User Admin Panel の Manage Organizations タブに移動します。ストレージクォータ制限を作成する組織の Options アイコンをクリックします。

   

3. Configure Quota をクリックして、初期クォータ (たとえば 10 MB) を入力します。次に、Apply をクリックしてから Close をクリックします。

   

4. スーパーユーザーパネルの Manage Organizations タブで、消費されたクォータが 10MB のうち 0 を示していることを確認します。

   

   消費されたクォータ情報は、組織ページから直接入手することもできます。

   最初に消費されたクォータ

   

5. クォータを 100MB に増やすには、スーパーユーザーパネルの Manage Organizations タブに移動します。Options アイコンをクリックし、Configure Quota を選択して、クォータを 100 MB に設定します。Apply をクリックしてから Close をクリックします。

   

6. コマンドラインからサンプルイメージを組織にプッシュします。

   サンプルコマンド

   $ podman pull ubuntu:18.04
   
   $ podman tag docker.io/library/ubuntu:18.04 example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:18.04
   
   $ podman push --tls-verify=false example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:18.04

7. スーパーユーザーパネルには、組織ごとに消費されたクォータが表示されます。

   

8. 組織ページには、イメージで使用されているクォータの合計比率が表示されます。

   最初のイメージで消費された合計クォータ

   

9. 2 番目のイメージをプル、タグ付け、プッシュします。たとえば、nginx です。

   サンプルコマンド

   $ podman pull nginx
   
   $ podman tag docker.io/library/nginx example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/nginx
   
   $ podman push --tls-verify=false example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/nginx

10. 組織ページには、その組織の各リポジトリーで使用されているクォータの合計比率が表示されます。

    各リポジトリーで消費された合計クォータ

    

11. 拒否 と 警告 の制限を作成します。

    スーパーユーザーパネルから、Manage Organizations タブに移動します。組織の Options アイコンをクリックし、Configure Quota を選択します。Quota Policy セクションで、Action タイプを Reject に設定し、Quota Threshold を 80 に設定して、Add Limit をクリックします。

    

12. 警告 制限を作成するには、Action タイプに Warning を選択し、Quota Threshold を 70 に設定して、Add Limit をクリックします。

    

13. クォータポップアップで Close をクリックします。制限は、Organization ページの Settings タブで表示できますが、編集することはできません。

    

14. 拒否制限を超えたイメージをプッシュします。

    拒否制限 (80%) が現在のリポジトリーサイズ (~83%) 未満に設定されているため、次のプッシュは自動的に拒否されます。

    サンプルイメージプッシュ

    $ podman pull ubuntu:20.04
    
    $ podman tag docker.io/library/ubuntu:20.04 example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:20.04
    
    $ podman push --tls-verify=false example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:20.04

    クォータを超えたときのサンプル出力

    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    WARN[0002] failed, retrying in 1s ... (1/3). Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace
    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    WARN[0005] failed, retrying in 1s ... (2/3). Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace
    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    WARN[0009] failed, retrying in 1s ... (3/3). Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace
    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace

15. 制限を超えると、UI に通知が表示されます。

    クォータ通知

    

手順

1. スタンドアロンデプロイメントの Quay config.yaml をバックアップします。

   $ mkdir /tmp/quay-backup
   $ cp /path/to/Quay/config/directory/config.yaml /tmp/quay-backup

2. スタンドアロン Quay デプロイメントが使用しているデータベースのバックアップを作成します。

   $ pg_dump -h DB_HOST -p 5432 -d QUAY_DATABASE_NAME -U QUAY_DATABASE_USER -W -O > /tmp/quay-backup/quay-database-backup.sql

3. AWS CLI がない場合はインストールします。

4. ~/.aws/ ディレクトリーを作成します。

   $ mkdir ~/.aws/

5. スタンドアロンデプロイメントの Quay config.yaml から access_key および secret_key を取得します。

   $ grep -i DISTRIBUTED_STORAGE_CONFIG -A10 /tmp/quay-backup/config.yaml

   出力例:

   DISTRIBUTED_STORAGE_CONFIG:
       minio-1:
           - RadosGWStorage
           - access_key: ##########
             bucket_name: quay
             hostname: 172.24.10.50
             is_secure: false
             port: "9000"
             secret_key: ##########
             storage_path: /datastorage/registry

6. Quay config.yaml ファイルからの access_key および secret_key を ~/.aws ディレクトリーに保存します。

   $ touch ~/.aws/credentials

7. オプション: access_key および secret_key が保存されていることを確認します。

   $ cat > ~/.aws/credentials << EOF
   [default]
   aws_access_key_id = ACCESS_KEY_FROM_QUAY_CONFIG
   aws_secret_access_key = SECRET_KEY_FROM_QUAY_CONFIG
   EOF

   出力例:

   aws_access_key_id = ACCESS_KEY_FROM_QUAY_CONFIG
   aws_secret_access_key = SECRET_KEY_FROM_QUAY_CONFIG

   注記

   aws cli が `~/.aws/credentials file ファイルから access_key および secret_key を自動的に収集しない場合、aws configure を実行して手動でクレデンシャルを入力することで、それを設定できます。

8. quay-backup ディレクトリーで、bucket_backup ディレクトリーを作成します。

   $ mkdir /tmp/quay-backup/bucket-backup

9. S3 ストレージからすべての Blob をバックアップします。

   $ aws s3 sync --no-verify-ssl --endpoint-url https://PUBLIC_S3_ENDPOINT:PORT s3://QUAY_BUCKET/ /tmp/quay-backup/bucket-backup/

   注記

   PUBLIC_S3_ENDPOINT は、DISTRIBUTED_STORAGE_CONFIG の hostname の下にある Quay config.yaml ファイルから読み取ることができます。エンドポイントがセキュアでない場合、エンドポイント URL の https ではなく http を使用します。

1. Red Hat Quay Operator をスケールダウンします。

   $ oc scale --replicas=0 deployment quay-operator.v3.6.2 -n openshift-operators

2. アプリケーションをスケールダウンし、デプロイメントをミラーリングします。

   $ oc scale --replicas=0 deployment QUAY_MAIN_APP_DEPLOYMENT QUAY_MIRROR_DEPLOYMENT

3. データベース SQL バックアップを Quay PostgreSQL データベースインスタンスにコピーします。

   $ oc cp /tmp/user/quay-backup/quay-database-backup.sql quay-enterprise/quayregistry-quay-database-54956cdd54-p7b2w:/var/lib/pgsql/data/userdata

4. オペレーターが作成した config.yaml ファイルからデータベースパスワードを取得します。

   $ oc get deployment quay-quay-app -o json | jq '.spec.template.spec.volumes[].projected.sources' | grep -i config-secret

   出力例:

         "name": "QUAY_CONFIG_SECRET_NAME"

   $ oc get secret quay-quay-config-secret-9t77hb84tb -o json | jq '.data."config.yaml"' | cut -d '"' -f2 | base64 -d -w0 > /tmp/quay-backup/operator-quay-config-yaml-backup.yaml

   cat /tmp/quay-backup/operator-quay-config-yaml-backup.yaml | grep -i DB_URI

   出力例:

   postgresql://QUAY_DATABASE_OWNER:PASSWORD@DATABASE_HOST/QUAY_DATABASE_NAME

5. データベース Pod 内でシェルを実行します。

   # oc exec -it quay-postgresql-database-pod -- /bin/bash

6. psql を入力します。

   bash-4.4$ psql

7. データベースを削除します。

   postgres=# DROP DATABASE "example-restore-registry-quay-database";

   出力例:

   DROP DATABASE

8. 新しいデータベースを作成し、所有者を同じ名前に設定します。

   postgres=# CREATE DATABASE "example-restore-registry-quay-database" OWNER "example-restore-registry-quay-database";

   出力例:

   CREATE DATABASE

9. データベースに接続します。

   postgres=# \c "example-restore-registry-quay-database";

   出力例:

   You are now connected to database "example-restore-registry-quay-database" as user "postgres".

10. Quay データベースの pg_trmg エクステンションを作成します。

    example-restore-registry-quay-database=# create extension pg_trgm ;

    出力例:

    CREATE EXTENSION

11. postgres CLI を終了して bash-4.4 を再入力します。

    \q

12. PostgreSQL デプロイメントのパスワードを設定します。

    bash-4.4$ psql -h localhost -d "QUAY_DATABASE_NAME" -U QUAY_DATABASE_OWNER -W < /var/lib/pgsql/data/userdata/quay-database-backup.sql

    出力例:

    SET
    SET
    SET
    SET
    SET

13. bash モードを終了します。

    bash-4.4$ exit

14. Red Hat Quay Operator の新規設定バンドルを作成します。

    $ touch config-bundle.yaml

15. 新規の config-bundle.yaml で、LDAP 設定、キー、古いレジストリーのその他の変更など、レジストリーに必要なすべての情報を含めます。以下のコマンドを実行して secret_key を config-bundle.yaml に移動します。

    $ cat /tmp/quay-backup/config.yaml | grep SECRET_KEY > /tmp/quay-backup/config-bundle.yaml

    注記

    すべての LDAP、OIDC、およびその他の情報を手動でコピーし、それを /tmp/quay-backup/config-bundle.yaml ファイルに追加する必要があります。

16. OpenShift クラスター内に設定バンドルシークレットを作成します。

    $ oc create secret generic new-custom-config-bundle --from-file=config.yaml=/tmp/quay-backup/config-bundle.yaml

17. Quay Pod をスケールアップします。

    $ oc scale --replicas=1 deployment quayregistry-quay-app
    deployment.apps/quayregistry-quay-app scaled

18. ミラー Pod をスケールアップします。

    $ oc scale --replicas=1  deployment quayregistry-quay-mirror
    deployment.apps/quayregistry-quay-mirror scaled

19. QuayRegistry CRD にパッチを適用し、新規カスタム設定バンドルへの参照が含まれるようにします。

    $ oc patch quayregistry QUAY_REGISTRY_NAME --type=merge -p '{"spec":{"configBundleSecret":"new-custom-config-bundle"}}'

    注記

    Quay が 500 の内部サーバーエラーを返した場合、DISTRIBUTED_STORAGE_CONFIG の location を default に更新する必要がある場合があります。

20. /.aws/ ディレクトリーに新しい AWScredentials.yaml を作成し、Operator が作成した config.yaml ファイルから access_key と secret_key を含めます。

    $ touch credentials.yaml

    $ grep -i DISTRIBUTED_STORAGE_CONFIG -A10 /tmp/quay-backup/operator-quay-config-yaml-backup.yaml

    $ cat > ~/.aws/credentials << EOF
    [default]
    aws_access_key_id = ACCESS_KEY_FROM_QUAY_CONFIG
    aws_secret_access_key = SECRET_KEY_FROM_QUAY_CONFIG
    EOF

    注記

    aws cli が `~/.aws/credentials file ファイルから access_key および secret_key を自動的に収集しない場合、aws configure を実行して手動でクレデンシャルを入力することで、それを設定できます。

21. NooBaa の公開されているエンドポイントを記録します。

    $ oc get route s3 -n openshift-storage -o yaml -o jsonpath="{.spec.host}{'\n'}"

22. バックアップデータを NooBaa バックエンドストレージに同期します。

    $ aws s3 sync --no-verify-ssl --endpoint-url https://NOOBAA_PUBLIC_S3_ROUTE /tmp/quay-backup/bucket-backup/* s3://QUAY_DATASTORE_BUCKET_NAME

23. Operator のバックアップを最大 1 Pod にスケールアップします。

    $ oc scale –replicas=1 deployment quay-operator.v3.6.4 -n openshift-operators

手順

1. 一時バックアップディレクトリーを作成します (例: quay-backup)。

   $ mkdir /tmp/quay-backup

2. 以下のコマンド例は、Red Hat Quay が開始されたローカルディレクトリー (/opt/quay-install など) を示しています。

   $ podman run --name quay-app \
      -v /opt/quay-install/config:/conf/stack:Z \
      -v /opt/quay-install/storage:/datastorage:Z \
      {productrepo}/{quayimage}:{productminv}

   次のコマンドを実行して、コンテナー内の /conf/stack にバインドマウントするディレクトリー (/opt/quay-install など) に移動します。

   $ cd /opt/quay-install

3. 以下のコマンドを入力して、Red Hat Quay デプロイメントの内容を quay-backup ディレクトリーのアーカイブに圧縮します。

   $ tar cvf /tmp/quay-backup/quay-backup.tar.gz *

   出力例:

   config.yaml
   config.yaml.bak
   extra_ca_certs/
   extra_ca_certs/ca.crt
   ssl.cert
   ssl.key

4. 次のコマンドを入力して、Quay コンテナーサービスをバックアップします。

   $ podman inspect quay-app | jq -r '.[0].Config.CreateCommand | .[]' | paste -s -d ' ' -
   
     /usr/bin/podman run --name quay-app \
     -v /opt/quay-install/config:/conf/stack:Z \
     -v /opt/quay-install/storage:/datastorage:Z \
     {productrepo}/{quayimage}:{productminv}

5. 次のコマンドを入力して、conf/stack/config.yaml ファイルの内容を一時的に作成した quay-config.yaml ファイルにリダイレクトします。

   $ podman exec -it quay cat /conf/stack/config.yaml > /tmp/quay-backup/quay-config.yaml

6. 以下のコマンドを入力して、一時的に作成した quay-config.yaml にある DB_URI を取得します。

   $ grep DB_URI /tmp/quay-backup/quay-config.yaml

   出力例:

   $ postgresql://<username>:test123@172.24.10.50/quay

7. 次のコマンドを入力して、PostgreSQL の内容をバックアップ .sql ファイルの一時バックアップディレクトリーに抽出します。

   $ pg_dump -h 172.24.10.50  -p 5432 -d quay  -U  <username>   -W -O > /tmp/quay-backup/quay-backup.sql

8. 次のコマンドを入力して、DISTRIBUTED_STORAGE_CONFIG の内容を出力します。

   DISTRIBUTED_STORAGE_CONFIG:
      default:
       - S3Storage
       - s3_bucket: <bucket_name>
         storage_path: /registry
         s3_access_key: <s3_access_key>
         s3_secret_key: <s3_secret_key>
         host: <host_name>

9. ステップ 7 で取得した access_key 認証情報を使用して、AWS_ACCESS_KEY_ID をエクスポートします。

   $ export AWS_ACCESS_KEY_ID=<access_key>

10. ステップ 7 で取得した secret_key を使用して、AWS_SECRET_ACCESS_KEY をエクスポートします。

    $ export AWS_SECRET_ACCESS_KEY=<secret_key>

11. DISTRIBUTED_STORAGE_CONFIG の hostname から quay バケットを /tmp/quay-backup/blob-backup/ ディレクトリーに同期します。

    $ aws s3 sync s3://<bucket_name>  /tmp/quay-backup/blob-backup/ --source-region us-east-2

    出力例:

    download: s3://<user_name>/registry/sha256/9c/9c3181779a868e09698b567a3c42f3744584ddb1398efe2c4ba569a99b823f7a to registry/sha256/9c/9c3181779a868e09698b567a3c42f3744584ddb1398efe2c4ba569a99b823f7a
    download: s3://<user_name>/registry/sha256/e9/e9c5463f15f0fd62df3898b36ace8d15386a6813ffb470f332698ecb34af5b0d to registry/sha256/e9/e9c5463f15f0fd62df3898b36ace8d15386a6813ffb470f332698ecb34af5b0d

手順

1. Red Hat Quay コンテナー内の /conf/stack にバインドマウントする新しいディレクトリーを作成します。

   $ mkdir /opt/new-quay-install

2. 「スタンドアロンデプロイメントでの Red Hat Quay のバックアップ」 で作成した一時バックアップディレクトリーの内容を、ステップ 1 で作成した new-quay-install1 ディレクトリーにコピーします。

   $ cp /tmp/quay-backup/quay-backup.tar.gz /opt/new-quay-install/

3. 次のコマンドを入力して、new-quay-install ディレクトリーに移動します。

   $ cd /opt/new-quay-install/

4. Red Hat Quay ディレクトリーの内容を抽出します。

   $ tar xvf /tmp/quay-backup/quay-backup.tar.gz *

   出力例:

   config.yaml
   config.yaml.bak
   extra_ca_certs/
   extra_ca_certs/ca.crt
   ssl.cert
   ssl.key

5. 次のコマンドを入力して、バックアップした config.yaml ファイルから DB_URI を呼び出します。

   $ grep DB_URI config.yaml

   出力例:

   postgresql://<username>:test123@172.24.10.50/quay

6. 次のコマンドを実行して、PostgreSQL データベースサーバーに入ります。

   $ sudo postgres

7. 次のコマンドを入力して、psql と入力し、172.24.10.50 に新しいデータベースを作成して、quay データベースを復元します (例: example_restore_registry_quay_database)。

   $ psql "host=172.24.10.50  port=5432 dbname=postgres user=<username>  password=test123"
   postgres=> CREATE DATABASE example_restore_registry_quay_database;

   出力例:

   CREATE DATABASE

8. 次のコマンドを実行して、データベースに接続します。

   postgres=# \c "example-restore-registry-quay-database";

   出力例:

   You are now connected to database "example-restore-registry-quay-database" as user "postgres".

9. 次のコマンドを実行して、Quay データベースの pg_trmg エクステンションを作成します。

   example_restore_registry_quay_database=> CREATE EXTENSION IF NOT EXISTS pg_trgm;

   出力例:

   CREATE EXTENSION

10. 次のコマンドを入力して、postgres CLI を終了します。

    \q

11. 次のコマンドを実行して、データベースのバックアップを新しいデータベースにインポートします。

    $ psql "host=172.24.10.50 port=5432 dbname=example_restore_registry_quay_database user=<username> password=test123"  -W <  /tmp/quay-backup/quay-backup.sql

    出力例:

    SET
    SET
    SET
    SET
    SET

    Red Hat Quay のデプロイメントを再起動する前に config.yaml の DB_URI の値を postgresql://<username>:test123@172.24.10.50/quay から postgresql://<username>:test123@172.24.10.50/example-restore-registry-quay-database に更新してください。

    注記

    DB_URI の形式は DB_URI postgresql://<login_user_name>:<login_user_password>@<postgresql_host>/<quay_database> です。ある PostgreSQL サーバーから別の PostgreSQL サーバーに移動する場合は、<login_user_name>、<login_user_password>、および <postgresql_host> の値を同時に更新します。

12. /opt/new-quay-install ディレクトリーで、DISTRIBUTED_STORAGE_CONFIG バンドルの内容を出力します。

    $ cat config.yaml | grep DISTRIBUTED_STORAGE_CONFIG -A10

    出力例:

    DISTRIBUTED_STORAGE_CONFIG:
       default:
    DISTRIBUTED_STORAGE_CONFIG:
       default:
        - S3Storage
        - s3_bucket: <bucket_name>
          storage_path: /registry
          s3_access_key: <s3_access_key>
          s3_secret_key: <s3_secret_key>
          host: <host_name>

    注記

    Red Hat Quay のデプロイメントを再起動する前に /opt/new-quay-install にある DISTRIBUTED_STORAGE_CONFIG を更新する必要があります。

13. ステップ 13 で取得した access_key 認証情報を使用して、AWS_ACCESS_KEY_ID をエクスポートします。

    $ export AWS_ACCESS_KEY_ID=<access_key>

14. ステップ 13 で取得した secret_key を使用して、AWS_SECRET_ACCESS_KEY をエクスポートします。

    $ export AWS_SECRET_ACCESS_KEY=<secret_key>

15. 次のコマンドを入力して、新しい s3 バケットを作成します。

    $ aws s3 mb s3://<new_bucket_name>  --region us-east-2

    出力例:

    $ make_bucket: quay

16. 次のコマンドを入力して、すべての Blob を新しい s3 バケットにアップロードします。

    $ aws s3 sync --no-verify-ssl \
    --endpoint-url <example_endpoint_url> 1
    /tmp/quay-backup/blob-backup/. s3://quay/

    1

    Red Hat Quay レジストリーのエンドポイントは、バックアップ前と復元後に同じである必要があります。

    出力例:

    upload: ../../tmp/quay-backup/blob-backup/datastorage/registry/sha256/50/505edb46ea5d32b5cbe275eb766d960842a52ee77ac225e4dc8abb12f409a30d to s3://quay/datastorage/registry/sha256/50/505edb46ea5d32b5cbe275eb766d960842a52ee77ac225e4dc8abb12f409a30d
    upload: ../../tmp/quay-backup/blob-backup/datastorage/registry/sha256/27/27930dc06c2ee27ac6f543ba0e93640dd21eea458eac47355e8e5989dea087d0 to s3://quay/datastorage/registry/sha256/27/27930dc06c2ee27ac6f543ba0e93640dd21eea458eac47355e8e5989dea087d0
    upload: ../../tmp/quay-backup/blob-backup/datastorage/registry/sha256/8c/8c7daf5e20eee45ffe4b36761c4bb6729fb3ee60d4f588f712989939323110ec to s3://quay/datastorage/registry/sha256/8c/8c7daf5e20eee45ffe4b36761c4bb6729fb3ee60d4f588f712989939323110ec
    ...

17. Red Hat Quay デプロイメントを再起動する前に、config.yaml でストレージ設定を更新します。

    DISTRIBUTED_STORAGE_CONFIG:
       default:
    DISTRIBUTED_STORAGE_CONFIG:
       default:
        - S3Storage
        - s3_bucket: <new_bucket_name>
          storage_path: /registry
          s3_access_key: <s3_access_key>
          s3_secret_key: <s3_secret_key>
          host: <host_name>

手順

1. 次のコマンドを入力して、ガベージコレクションが正しく機能していることを確認します。

   $ sudo podman logs <container_id>

   出力例:

1. イメージタグを削除します。

2. 次のコマンドを入力して、タグが削除されたことを確認します。

   $ podman logs quay-app

   出力例: