在 OpenShift 中安装和部署 Apicurio Registry

流程

1. 为安装创建一个项目，如 service-registry ：

   NAMESPACE="service-registry"
   oc new-project "$NAMESPACE"

2. 应用位于 install/ 文件夹中的 文件：

   cat install/install.yaml | sed "s/apicurio-registry-operator-namespace/$NAMESPACE/g" | oc apply -f -

流程

1. 使用配置了数据库连接创建 ApicurioRegistry 自定义资源(CR)，例如：

   SQL 存储的 CR 示例

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-sql
   spec:
     configuration:
       persistence: "sql"
       sql:
         dataSource:
           url: "jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>"
           userName: "postgres"
           password: "<password>" # Optional

2. 在部署 Operator 的同一命名空间中创建一个 ApicurioRegistry CR

   oc project "$NAMESPACE"
   oc apply -f ./examples/apicurioregistry_sql_cr.yaml

流程

1. 在 OpenShift Container Platform web 控制台中，使用具有集群管理员特权的帐户登录。

2. 创建一个新的 OpenShift 项目：

   1. 在左侧导航菜单中，单击 Home、Project，然后 创建项目。
   2. 输入项目名称，如 my-project，然后单击 Create。
3. 在左侧导航栏中，点 Operators，然后点 OperatorHub。
4. 在 Filter by keyword 文本框中，输入 registry 来查找 Red Hat Integration - Apicurio Registry Operator。
5. 阅读 Operator 的信息，然后点 Install 以显示 Operator 订阅页面。

6. 选择您的订阅设置，例如：

   • 更新频道 ：选择以下之一：

     • 2.0.x ：仅包含补丁更新，如 2.0.1 和 2.0.2。例如，在 2.0.x 上安装时会自动忽略 2.1.x。
     • 2.x ：包括所有次要和补丁更新，如 2.1.0 和 2.0.1。例如，在 2.0.x 上安装时会自动升级到 2.1.x。

   • Installation Mode: 选择以下之一：

     • 集群中的所有命名空间（默认）
     • 集群中的特定命名空间， 然后 my-project
   • 批准策略 ：选择 Automatic 或 Manual
7. 点 Install，稍等片刻，直到 Operator 准备就绪可用。

流程

1. 在 OpenShift Container Platform web 控制台中，使用具有集群管理员特权的帐户登录。
2. 切换到您要在其中安装 AMQ Streams 的 OpenShift 项目。例如，从 Project 下拉菜单中选择 my-project。
3. 在左侧导航栏中，点 Operators，然后点 OperatorHub。
4. 在 Filter by keyword 文本框中，输入 AMQ Streams 来查找 Red Hat Integration - AMQ Streams Operator。
5. 阅读 Operator 的信息，然后点 Install 以显示 Operator 订阅页面。

6. 选择您的订阅设置，例如：

   • 更新频道，然后 amq-streams-1.8.x

   • Installation Mode: 选择以下之一：

     • 集群中的所有命名空间（默认）
     • 集群中的特定命名空间 > my-project
   • 批准策略 ：选择 Automatic 或 Manual
7. 点 Install，稍等片刻，直到 Operator 准备就绪可用。

流程

1. 在 OpenShift Container Platform web 控制台中，使用具有集群管理员特权的帐户登录。

2. 如果您还没有配置 Kafka 集群，请使用 AMQ Streams 创建新 Kafka 集群。例如，在 OpenShift OperatorHub 中：

   1. 点 Installed Operators，然后点 Red Hat Integration - AMQ Streams。
   2. 在 Provided APIs 下，然后点 Create Instance 来创建新的 Kafka 集群。

   3. 根据需要编辑自定义资源定义，然后点 Create。

      警告

      默认示例创建带有 3 Zookeeper 节点和 3 Kafka 节点具有 临时存储 的集群。这种临时存储仅适用于开发和测试，不适用于生产环境。如需了解更多详细信息，请参阅 在 OpenShift 中使用 AMQ Streams。

3. 集群就绪后，点 Provided APIs > Kafka > my-cluster > YAML。

4. 在 status 块中，复制 bootstrapServers 值，稍后您将使用它来部署 Apicurio Registry。例如：

   status:
     ...
     conditions:
     ...
     listeners:
       - addresses:
           - host: my-cluster-kafka-bootstrap.my-project.svc
             port: 9092
         bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092'
         type: plain
     ...

5. 点 Installed Operators > Red Hat Integration - Apicurio Registry > ApicurioRegistry > Create ApicurioRegistry。

6. 粘贴到以下自定义资源定义中，但使用之前复制的 bootstrapServers 值：

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql
   spec:
     configuration:
       persistence: 'kafkasql'
       kafkasql:
         bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092'

7. 点 Create 并等待 OpenShift 上创建 Apicurio Registry 路由。

8. 点 Networking > Route 访问 Apicurio Registry web 控制台的新路由。例如：

   http://example-apicurioregistry-kafkasql.my-project.my-domain-name.com/

流程

1. 在 OpenShift Web 控制台中，点 Installed Operators，选择 AMQ Streams Operator 详情，然后选择 Kafka 选项卡。
2. 点 Create Kafka 为 Apicurio Registry 存储置备新的 Kafka 集群。

3. 将 authorization 和 tls 字段配置为对 Kafka 集群使用 TLS 身份验证，例如：

   apiVersion: kafka.strimzi.io/v1beta2
   kind: Kafka
   metadata:
     name: my-cluster
     namespace: registry-example-kafkasql-tls
     # Change or remove the explicit namespace
   spec:
     kafka:
       config:
         offsets.topic.replication.factor: 3
         transaction.state.log.replication.factor: 3
         transaction.state.log.min.isr: 2
         log.message.format.version: '2.7'
         inter.broker.protocol.version: '2.7'
       version: 2.7.0
       storage:
         type: ephemeral
       replicas: 3
       listeners:
         - name: tls
           port: 9093
           type: internal
           tls: true
           authentication:
             type: tls
       authorization:
         type: simple
     entityOperator:
       topicOperator: {}
       userOperator: {}
     zookeeper:
       storage:
         type: ephemeral
       replicas: 3

   Apicurio Registry 用来存储数据的默认 Kafka 主题名称为 kafkasql-journal。本主题由 Apicurio Registry 自动创建。您可以通过设置适当的环境变量（默认值）来覆盖此行为或默认主题名称：

   • REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true
   • REGISTRY_KAFKASQL_TOPIC=kafkasql-journal

   如果您决定不手动创建 Kafka 主题，请跳过下一步。

4. 点击 Kafka 主题 选项卡，然后创建 Kafka 主题 以创建 kafkasql-journal 主题：

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaTopic
   metadata:
     name: kafkasql-journal
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-tls
   spec:
     partitions: 2
     replicas: 1
     config:
       retention.ms: 604800000
       segment.bytes: 1073741824

5. 创建一个 Kafka User 资源，为 Apicurio Registry 用户配置身份验证和授权。您可以在 metadata 部分中指定用户名，或使用默认的 my-user。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaUser
   metadata:
     name: my-user
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-tls
   spec:
     authentication:
       type: tls
     authorization:
       acls:
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: topic
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: cluster
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: transactionalId
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: group
       type: simple

   注意

   您必须为 Apicurio Registry 所需的主题和资源配置授权。这是一个简单的许可示例。

6. 点 Workloads，然后点 AMQ Streams 为 Apicurio Registry 创建的两个 secret 来连接到 Kafka 集群：

   • my-cluster-cluster-ca-cert - 包含 Kafka 集群的 PKCS12 信任存储

   • my-user - 包含用户的密钥存储

     注意

     secret 的名称会根据集群或用户名而有所不同。

7. 如果手动创建 secret，它们必须包含以下键值对：

   • my-cluster-ca-cert

     • ca.p12 - PKCS12 格式的信任存储
     • ca.password - truststore password

   • my-user

     • user.p12 - PKCS12 格式的密钥存储
     • user.password - keystore password

8. 配置以下示例配置，以部署 Apicurio Registry。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql
   spec:
     configuration:
       persistence: "kafkasql"
       kafkasql:
         bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-tls.svc:9093"
         security:
           tls:
             keystoreSecretName: my-user
             truststoreSecretName: my-cluster-cluster-ca-cert

流程

1. 在 OpenShift Web 控制台中，点 Installed Operators，选择 AMQ Streams Operator 详情，然后选择 Kafka 选项卡。
2. 点 Create Kafka 为 Apicurio Registry 存储置备新的 Kafka 集群。

3. 将 authorization 和 tls 字段配置为对 Kafka 集群使用 SCRAM-SHA-512 身份验证，例如：

   apiVersion: kafka.strimzi.io/v1beta2
   kind: Kafka
   metadata:
     name: my-cluster
     namespace: registry-example-kafkasql-scram
     # Change or remove the explicit namespace
   spec:
     kafka:
       config:
         offsets.topic.replication.factor: 3
         transaction.state.log.replication.factor: 3
         transaction.state.log.min.isr: 2
         log.message.format.version: '2.7'
         inter.broker.protocol.version: '2.7'
       version: 2.7.0
       storage:
         type: ephemeral
       replicas: 3
       listeners:
         - name: tls
           port: 9093
           type: internal
           tls: true
           authentication:
             type: scram-sha-512
       authorization:
         type: simple
     entityOperator:
       topicOperator: {}
       userOperator: {}
     zookeeper:
       storage:
         type: ephemeral
       replicas: 3

   Apicurio Registry 用来存储数据的默认 Kafka 主题名称为 kafkasql-journal。本主题由 Apicurio Registry 自动创建。您可以通过设置适当的环境变量（默认值）来覆盖此行为或默认主题名称：

   • REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true
   • REGISTRY_KAFKASQL_TOPIC=kafkasql-journal

   如果您决定不手动创建 Kafka 主题，请跳过下一步。

4. 点击 Kafka 主题 选项卡，然后创建 Kafka 主题 以创建 kafkasql-journal 主题：

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaTopic
   metadata:
     name: kafkasql-journal
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-scram
   spec:
     partitions: 2
     replicas: 1
     config:
       retention.ms: 604800000
       segment.bytes: 1073741824

5. 创建一个 Kafka User 资源，为 Apicurio Registry 用户配置 SCRAM 身份验证和授权。您可以在 metadata 部分中指定用户名，或使用默认的 my-user。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaUser
   metadata:
     name: my-user
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-scram
   spec:
     authentication:
       type: scram-sha-512
     authorization:
       acls:
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: topic
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: cluster
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: transactionalId
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: group
       type: simple

   注意

   您必须为 Apicurio Registry 所需的主题和资源配置授权。这是一个简单的许可示例。

6. 点 Workloads，然后点 AMQ Streams 为 Apicurio Registry 创建的两个 secret 来连接到 Kafka 集群：

   • my-cluster-cluster-ca-cert - 包含 Kafka 集群的 PKCS12 信任存储

   • my-user - 包含用户的密钥存储

     注意

     secret 的名称会根据集群或用户名而有所不同。

7. 如果手动创建 secret，它们必须包含以下键值对：

   • my-cluster-ca-cert

     • ca.p12 - PKCS12 格式的信任存储
     • ca.password - truststore password

   • my-user

     • Password - 用户密码

8. 配置以下示例设置以部署 Apicurio Registry：

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql
   spec:
     configuration:
       persistence: "kafkasql"
       kafkasql:
         bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-scram.svc:9093"
         security:
           scram:
             truststoreSecretName: my-cluster-cluster-ca-cert
             user: my-user
             passwordSecretName: my-user

流程

1. 在 OpenShift Container Platform web 控制台中，使用具有集群管理员特权的帐户登录。
2. 更改到您要在其中安装 PostgreSQL Operator 的 OpenShift 项目。例如，从 Project 下拉菜单中选择 my-project。
3. 在左侧导航栏中，点 Operators，然后点 OperatorHub。
4. 在 Filter by keyword 文本框中，输入 PostgreSQL 来查找适合您环境的 Operator，例如： 为 OpenShift 或使用 Dev4Ddevs.com 的 Crunchy PostgreSQL 。
5. 阅读 Operator 的信息，然后点 Install 以显示 Operator 订阅页面。

6. 选择您的订阅设置，例如：

   • 更新频道 ：stable
   • Installation Mode:A specific namespace on the cluster, my-project
   • 批准策略 ：选择 Automatic 或 Manual

7. 点 Install，稍等片刻，直到 Operator 准备就绪可用。

   重要

   您必须从所选 PostgreSQL Operator 中读取文档，以了解有关如何创建和管理数据库的详细信息。

流程

1. 在 OpenShift Container Platform web 控制台中，使用具有集群管理员特权的帐户登录。
2. 更改到安装 Apicurio Registry 和 PostgreSQL Operator 的 OpenShift 项目。例如，从 Project 下拉菜单中选择 my-project。
3. 为您的 Apicurio Registry 存储创建 PostgreSQL 数据库。例如，单击 Installed Operators，即PostgreSQL Operator by Dev4Ddevs.com，然后创建 数据库。

4. 点击 YAML 并按如下所示编辑数据库设置：

   • Name ：将值改为 registry
   • Image: 将值改为 centos/postgresql-12-centos7

5. 根据您的环境根据需要编辑任何其他数据库设置，例如：

   apiVersion: postgresql.dev4devs.com/v1alpha1
   kind: Database
   metadata:
     name: registry
     namespace: my-project
   spec:
     databaseCpu: 30m
     databaseCpuLimit: 60m
     databaseMemoryLimit: 512Mi
     databaseMemoryRequest: 128Mi
     databaseName: example
     databaseNameKeyEnvVar: POSTGRESQL_DATABASE
     databasePassword: postgres
     databasePasswordKeyEnvVar: POSTGRESQL_PASSWORD
     databaseStorageRequest: 1Gi
     databaseUser: postgres
     databaseUserKeyEnvVar: POSTGRESQL_USER
     image: centos/postgresql-12-centos7
     size: 1

6. 单击 Create，然后等待数据库创建完毕。
7. 点 Installed Operators > Red Hat Integration - Apicurio Registry > ApicurioRegistry > Create ApicurioRegistry。

8. 粘贴到以下自定义资源定义中，并编辑数据库 url 和凭证的值以匹配您的环境：

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-sql
   spec:
     configuration:
       persistence: 'sql'
       sql:
         dataSource:
           url: 'jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>'
           # e.g. url: 'jdbc:postgresql://acid-minimal-cluster.my-project.svc:5432/registry'
           userName: 'postgres'
           password: '<password>' # Optional

9. 点 Create 并等待 OpenShift 上创建 Apicurio Registry 路由。

10. 点 Networking > Route 访问 Apicurio Registry web 控制台的新路由。例如：

    http://example-apicurioregistry-sql.my-project.my-domain-name.com/

流程

1. 运行以下命令来创建数据库：

    $ createdb -T template0 dbname

2. 输入以下命令恢复 SQL 转储

    $ psql dbname < dumpfile

3. 在每个数据库上运行 ANALYZE，以便查询优化器具有有用的统计数据。

流程

1. 在 OpenShift Web 控制台中，点 Installed Operators 和 Red Hat Single Sign-On Operator，然后选择 Keycloak 选项卡。

2. 点 Create Keycloak 置备一个新的 Red Hat Single Sign-On 实例来保护 Apicurio Registry 部署。您可以使用默认值，例如：

   apiVersion: keycloak.org/v1alpha1
   kind: Keycloak
   metadata:
     name: example-keycloak
     labels:
       app: sso
   spec:
     instances: 1
     externalAccess:
       enabled: True
     podDisruptionBudget:
       enabled: True

3. 等待实例创建好，然后单击 Networking，然后单击 Routes 以访问 keycloak 实例的新路由。
4. 点 Location URL，复制显示的 ./auth URL 值，以便稍后在部署 Apicurio Registry 时使用。

5. 点 Installed Operators 和 Red Hat Single Sign-On Operator，然后点击 Keycloak Realm 选项卡，然后 Create Keycloak Realm 创建 registry 示例域：

   apiVersion: keycloak.org/v1alpha1
   kind: KeycloakRealm
   metadata:
     name: registry-keycloakrealm
   spec:
     instanceSelector:
       matchLabels:
         app: sso
     realm:
       displayName: Registry
       enabled: true
       id: registry
       realm: registry
       sslRequired: none
       roles:
         realm:
           - name: sr-admin
           - name: sr-developer
           - name: sr-readonly
       clients:
         - clientId: registry-client-ui
           implicitFlowEnabled: true
           redirectUris:
             - '*'
           standardFlowEnabled: true
           webOrigins:
             - '*'
           publicClient: true
         - clientId: registry-client-api
           implicitFlowEnabled: true
           redirectUris:
             - '*'
           standardFlowEnabled: true
           webOrigins:
             - '*'
           publicClient: true
       users:
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-admin
           username: registry-admin
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-developer
           username: registry-developer
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-readonly
           username: registry-user

   重要

   如果要部署到生产环境，则必须使用适合您的环境的值自定义此 KeycloakRealm 资源。您还可以使用 Red Hat Single Sign-On Web 控制台创建和管理域。

6. 如果您的集群没有配置有效的 HTTPS 证书，您可以创建以下 HTTP 服务和 Ingress 资源作为临时临时解决方案：

   1. 点击 Networking and then Services，然后使用以下示例点击 Create Service ：

      apiVersion: v1
      kind: Service
      metadata:
        name: keycloak-http
        labels:
          app: keycloak
      spec:
        ports:
          - name: keycloak-http
            protocol: TCP
            port: 8080
            targetPort: 8080
        selector:
          app: keycloak
          component: keycloak
        type: ClusterIP
        sessionAffinity: None
      status:
        loadBalancer: {}

   2. 点 Networking，然后点 Ingresses，然后使用以下示例点击 Create Ingress ：

      apiVersion: networking.k8s.io/v1beta1
      kind: Ingress
      metadata:
        name: keycloak-http
        labels:
          app: keycloak
      spec:
        rules:
          - host: keycloak-http.local
            http:
              paths:
                - path: /
                  pathType: ImplementationSpecific
                  backend:
                    serviceName: keycloak-http
                    servicePort: 8080

      修改 主机 值，以创建 Apicurio Registry 用户可访问的路由，并使用它而不是由 Red Hat Single Sign-On Operator 创建的 HTTPS 路由。

7. 点 Apicurio Registry Operator，在 ApicurioRegistry 选项卡中，点击 Create ApicurioRegistry，使用以下示例替换 keycloak 部分中的值。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql-keycloak
   spec:
     configuration:
       security:
         keycloak:
           url: "http://keycloak-http-<namespace>.apps.<cluster host>/auth"
           # ^ Required
           # Keycloak server URL, must end with `/auth`.
           # Use an HTTP URL in development.
           realm: "registry"
           # apiClientId: "registry-client-api"
           # ^ Optional (default value)
           # uiClientId: "registry-client-ui"
           # ^ Optional (default value)
       persistence: 'kafkasql'
       kafkasql:
         bootstrapServers: '<my-cluster>-kafka-bootstrap.<my-namespace>.svc:9092'

流程

1. 在 Red Hat Single Sign-On Admin Console 中，为 Apicurio Registry 创建 Red Hat Single Sign-On 域。默认情况下，Apicurio Registry 需要 registry 的域名。有关创建域的详情，请查看 Red Hat Single Sign-On 用户文档。

2. 为 Apicurio Registry API 创建 Red Hat Single Sign-On 客户端。默认情况下，Apicurio Registry 需要以下设置：

   • 客户端 ID ：registry-api
   • 客户端协议 ：openid-connect

   • 访问类型 ：仅bearer-only

     您可以将默认值用于其他客户端设置。

     注意

     如果您使用 Red Hat Single Sign-On 服务帐户，则客户端 Access Type 必须是 secret，而不是 仅限 bearer-On。

3. 为 Apicurio Registry Web 控制台创建 Red Hat Single Sign-On 客户端。默认情况下，Apicurio Registry 需要以下设置：

   • Client ID:apicurio-registry
   • 客户端协议 ：openid-connect
   • 访问类型 ：public
   • 有效的 Redirect URL:http://my-registry-url:8080/*

   • Web Origins:+

     您可以将默认值用于其他客户端设置。

4. 在 OpenShift 上的 Apicurio Registry 部署中，使用 Red Hat Single Sign-On 设置以下 Apicurio Registry 环境变量来配置身份验证：

   表 5.2. 配置 Apicurio Registry 身份验证

   环境变量	描述	类型	默认
   AUTH_ENABLED	如果设置为 true，则需要遵循的环境变量。	字符串	false
   KEYCLOAK_URL	要使用的红帽单点登录身份验证服务器的 URL。必须以 /auth 结尾。	字符串	无
   KEYCLOAK_REALM	用于身份验证的红帽单点登录域。	字符串	registry
   KEYCLOAK_API_CLIENT_ID	Apicurio Registry REST API 的客户端 ID。	字符串	registry-api
   KEYCLOAK_UI_CLIENT_ID	Apicurio Registry Web 控制台的客户端 ID。	字符串	apicurio-registry

   提示

   有关在 OpenShift 中设置环境变量的示例，请参考 第 6.1 节 “在 OpenShift 上配置 Apicurio Registry 健康检查”。

5. 将以下选项设置为 true，在 Red Hat Single Sign-On 中启用 Apicurio Registry 用户角色：

   表 5.3. 配置 Apicurio Registry 用户角色

   环境变量	Java 系统属性	类型	默认值
   ROLES_ENABLED	registry.auth.roles.enabled	布尔值	false

6. 启用 Apicurio Registry 用户角色时，您必须将 Apicurio Registry 用户分配给 Red Hat Single Sign-On 域中的以下默认用户角色之一：

   表 5.4. registry 身份验证和授权的默认用户角色

   角色	读取工件	编写工件	全局规则	概述
   sr-admin	是	是	是	对所有创建、读取、更新和删除操作的完整访问权限。
   sr-developer	是	是	否	除配置全局规则外，创建、读取、更新和删除操作的访问权限。此角色可以配置工件规则。
   sr-readonly	是	否	否	仅读和搜索操作的访问权限。此角色无法配置任何规则。

7. 将以下内容设置为 true，为 Apicurio Registry 中的 schema 和 API 工件启用仅限所有者的授权：

   表 5.5. 配置仅限所有者的授权

   环境变量	Java 系统属性	类型	默认值
   REGISTRY_AUTH_OWNER_ONLY_AUTHORIZATION	registry.auth.owner-only-authorization	布尔值	false

流程

1. 生成带有自签名证书的 密钥存储。如果您使用自己的证书，您可以跳过这一步。

   keytool -genkey -trustcacerts -keyalg RSA -keystore registry-keystore.jks -storepass password

2. 创建新机密，以存放密钥存储和密钥存储的密码。

   1. 在 OpenShift Web 控制台的左侧导航菜单中，点 Workloads > Secrets > Create Key/Value Secret。

   2. 使用以下值：
      Name: registry-keystore
      Key 1: keystore.jks
      Value 1: registry-keystore.jks （上传的文件）
      Key 2: password
      Value 2: password

      注意

      如果您遇到 java.io.IOException: Invalid keystore format，二进制文件的上传无法正常工作。作为替代方案，使用 cat registry-keystore.jks | base64 -w0 > data.txt 将文件编码为 base64 字符串，并以 yaml 用户身份手动编辑 Secret 资源以手动添加编码的文件。

3. 编辑 Apicurio Registry 实例的 Deployment 资源。您可以在 Apicurio Registry Operator 的 status 字段中找到正确的名称。

   1. 将密钥存储 secret 添加为卷：

      template:
        spec:
          volumes:
          - name: registry-keystore-secret-volume
            secret:
            secretName: registry-keystore

   2. 添加卷挂载：

      volumeMounts:
        - name: registry-keystore-secret-volume
          mountPath: /etc/registry-keystore
          readOnly: true

   3. 添加 JAVA_OPTIONS 和 KEYSTORE_PASSWORD 环境变量：

      - name: KEYSTORE_PASSWORD
        valueFrom:
          secretKeyRef:
            name: registry-keystore
            key: password
      - name: JAVA_OPTIONS
          value: >-
           -Dquarkus.http.ssl.certificate.key-store-file=/etc/registry-keystore/keystore.jks
           -Dquarkus.http.ssl.certificate.key-store-file-type=jks
           -Dquarkus.http.ssl.certificate.key-store-password=$(KEYSTORE_PASSWORD)

      注意

      在使用字符串插入时顺序非常重要。

   4. 启用 HTTPS 端口：

      ports:
        - containerPort: 8080
          protocol: TCP
        - containerPort: 8443
          protocol: TCP

4. 编辑 Apicurio Registry 实例的 Service 资源。您可以在 Apicurio Registry Operator 的 status 字段中找到正确的名称。

   ports:
     - name: http
       protocol: TCP
       port: 8080
       targetPort: 8080
     - name: https
       protocol: TCP
       port: 8443
       targetPort: 8443

5. 验证连接是否正常工作：

   1. 使用 SSH 连接到集群中的 pod （您可以使用 Apicurio Registry pod）：

      oc rsh -n default example-apicurioregistry-deployment-vx28s-4-lmtqb

   2. 从 Service 资源查找 Apicurio Registry pod 的集群 IP （请参阅 web 控制台中的 Location 列）。之后，执行测试请求（我们使用自签名证书，因此需要不安全标记）：

      curl -k https://172.30.209.198:8443/health
      [...]

流程

1. 除了 Apicurio Registry Operator 创建的 HTTP 路由外，还要添加第二个路由。请参见以下示例：

   kind: Route
   apiVersion: route.openshift.io/v1
   metadata:
     [...]
     labels:
       app: example-apicurioregistry
       [...]
   spec:
     host: example-apicurioregistry-default.apps.example.com
     to:
       kind: Service
       name: example-apicurioregistry-service-9whd7
       weight: 100
     port:
       targetPort: 8080
     tls:
       termination: edge
       insecureEdgeTerminationPolicy: Redirect
     wildcardPolicy: None

   注意

   确保设置了 insecureEdgeTerminationPolicy: Redirect configuration 属性。

   如果没有指定证书，OpenShift 将使用默认值。您可以使用以下命令生成自定义自签名证书：

   openssl genrsa 2048 > host.key &&
   openssl req -new -x509 -nodes -sha256 -days 365 -key host.key -out host.cert

   然后，使用 OpenShift CLI 创建路由：

   oc create route edge \
     --service=example-apicurioregistry-service-9whd7 \
     --cert=host.cert --key=host.key \
     --hostname=example-apicurioregistry-default.apps.example.com \
     --insecure-policy=Redirect \
     -n default

流程

1. 使用此 curl 命令获取日志记录器 io.apicurio.registry.storage 的当前日志级别：

   $ curl -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"INFO"}

2. 使用此 curl 命令将日志记录器 io.apicurio.registry.storage 的日志级别更改为 DEBUG ：

   $ curl -X PUT -i -H "Content-Type: application/json" --data '{"level":"DEBUG"}' localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"DEBUG"}

3. 使用此 curl 命令将日志记录器 io.apicurio.registry.storage 的日志级别恢复为默认值：

   $ curl -X DELETE -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"INFO"}

流程

1. 使用 HTTP 协议时，将 Apicurio Registry 配置设置为将事件发送到应用程序，如下所示：

   • registry.events.sink.my-custom-consumer=http://my-app-host:8888/events

2. 如果需要，您可以按照如下所示配置多个事件消费者：

   • registry.events.sink.my-custom-consumer=http://my-app-host:8888/events
   • registry.events.sink.other-consumer=http://my-consumer.com/events

流程

1. 使用 Kafka 协议时，按如下所示设置 Kafka 主题：

   • registry.events.kafka.topic=my-registry-events

2. 您可以使用 KAFKA_BOOTSTRAP_SERVERS 环境变量设置 Kafka producer 的配置：

   • KAFKA_BOOTSTRAP_SERVERS=my-kafka-host:9092

     另外，您可以使用 registry.events.kafka.config 前缀来设置 kafka producer 的属性，例如： registry.events.kafka.config.bootstrap.servers=my-kafka-host:9092

3. 如果需要，您还可以将 Kafka 主题分区设置为用于生成事件：

   • registry.events.kafka.topic-partition=1