第 13 章 OCI 支持和 Red Hat Quay


Red Hat Quay 等容器注册表最初设计为支持 Docker 镜像格式的容器镜像。为了促进在 Docker 外使用额外的运行时,创建了开放容器项目(OCI)以提供与容器运行时和镜像格式相关的标准化。大多数容器 registry 支持 OCI 标准化,因为它基于 Docker 镜像清单 V2、Schema 2 格式。

除了容器镜像外,还出现各种工件,它的支持不仅限于独立应用程序,而是整个 Kubernetes 平台。这些范围包括 Open Policy Agent(OPA)策略,用于安全并监管到 Helm chart 和 Operator,以帮助应用程序部署。

Red Hat Quay 是一个私有容器 registry,它不仅存储容器镜像,而且支持整个工具生态系统,以帮助管理容器。在 3.6 中对基于 OCI 的工件的支持已从只有 Helm 扩展到默认包含 cosign 和 ztsd 压缩方案。因此,F EATURE_HELM_OCI_SUPPORT 已被弃用。

当使用 OpenShift Operator 部署 Red Hat Quay 3.6 时,在 FEATURE_GENERAL_OCI_SUPPORT 配置下默认启用对 Helm 和 OCI 工件的支持。如果您需要显式启用该功能,例如之前禁用了该功能,或者已经从未启用的版本升级时,请参考"启用 OCI 和 Helm 支持 "部分。

13.1. Helm 和 OCI 的先决条件

  • 可信证书: Helm 客户端和 Quay 间的通信可以通过 HTTPS 和 Helm 3.5 进行沟通,因此仅支持通过 HTTPS 与可信证书通信的 registry。另外,操作系统必须信任 registry 公开的证书。在以后的 Helm 版本中的支持将允许与远程 registry 进行安全通信。因此,请确保将您的操作系统配置为信任 Quay 使用的证书,例如:

    $ sudo cp rootCA.pem   /etc/pki/ca-trust/source/anchors/
    $ sudo update-ca-trust extract
  • 实验性功能: 许多用于与 Helm 和 OCI registry 交互的命令使用 helm chart 子命令。编写本文时,Helm 中的 OCI 支持仍标记为"实验性"功能,必须明确启用。这可以通过设置环境变量 HELM_EXPERIMENTAL_OCI=1 来完成。
  • 安装 Helm 客户端:https://github.com/helm/helm/releases 下载所需版本,例如 https://get.helm.sh/helm-v3.5.3-linux-amd64.tar.gz。解包它并将 helm 二进制文件移到所需的目的地:

    $ tar -zxvf helm-v3.5.3-linux-amd64.tar.gz
    $ mv linux-amd64/helm /usr/local/bin/helm
  • 在 Quay 中创建机构: 使用 Quay registry UI 创建一个用于存储 Helm chart 的新组织。例如,创建名为 helm 的组织。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.