第 3 章 Red Hat Quay Robot 帐户概述
机器人帐户用于自动访问 Red Hat Quay. registry 中的存储库。它们与 OpenShift Container Platform 服务帐户类似。
设置 Robot 帐户如下所示:
- 生成与 Robot 帐户关联的凭据。
- Robot 帐户可从中推送和拉取镜像的存储库和镜像将被识别。
- 生成的凭据可以复制和粘贴以与不同的容器客户端一起使用,如 Docker、Podman、Kubernetes、Masos 等,以访问每个定义的存储库。
机器人帐户可以通过提供各种安全优势来帮助保护 Red Hat Quay registry,例如:
- 指定存储库访问。
-
粒度权限,如
Read(pull)或Write(push)访问。如果保证,它们也可以获得Admin权限。 - 为 CI/CD 管道、系统集成和其他自动化任务而设计,帮助避免在脚本、管道或其他环境变量中暴露凭证。
- 机器人帐户使用令牌而不是密码,这为管理员提供了在令牌被泄露时撤销令牌的功能。
每个 Robot 帐户都仅限于单个用户命名空间或组织。例如,Robot 帐户可以提供用户 quayadmin 的所有存储库的访问权限。但是,它无法提供对不在用户存储库列表中的存储库的访问权限。
可以使用 Red Hat Quay UI 创建机器人帐户,也可以使用 Red Hat Quay API 通过 CLI 创建。
3.1. 使用 UI 创建机器人帐户
使用以下步骤使用 v2 UI 创建机器人帐户。
流程
- 在 v2 UI 上,单击 Organizations。
-
单击您要为其创建机器人帐户的组织名称,如
test-org。 -
点 Robot accounts 选项卡
Create robot account。 -
在 Provide a name for your robot account 框中,输入名称,如
robot1。您的 Robot 帐户的名称是您的用户名与机器人的名称的组合,如quayadmin+robot1 可选。如果需要,可以使用以下选项:
- 将机器人帐户添加到团队。
- 将机器人帐户添加到存储库。
- 调整机器人帐户的权限。
在 Review and finish 页面中,检查您提供的信息,然后点 Review and finish。此时会出现以下警报: Successfully created robot account with robot name: <organization_name> + <robot_name>。
或者,如果您尝试创建名称与另一个机器人帐户相同的机器人帐户,您可能会收到以下出错信息: Error create robot account。
- 可选。您可以单击 Expand 或 Collapse 来显示有关机器人帐户的描述性信息。
-
可选。您可以点击 kebab 菜单
Set repository 权限来更改机器人帐户的权限。此时会出现以下信息: Successfully updated repository permission。 可选。您可以点击机器人帐户的名称来获取以下信息:
- 机器人帐户 :选择此项获取机器人令牌。您可以点 Regenerate token 来重新 生成令牌。
- Kubernetes Secret :选择此项以 Kubernetes pull secret YAML 文件的形式下载凭证。
-
Podman: 选择它复制包含凭据的完整
podman login命令行。 -
Docker Configuration :选择此项复制包含凭据的完整
docker login命令行。
