关于 Quay IO

流程

1. 登录到您的 Red Hat Quay registry。
2. 在导航窗格中，单击 Organization。
3. 单击 Create Organization。
4. 输入 组织名称，如 testorg。
5. 输入 机构电子邮件。
6. 点 Create。

流程

1. 在 v2 UI 上，单击 Organizations。
2. 单击您要为其创建机器人帐户的组织名称，如 test-org。
3. 点 Settings 选项卡。
4. 可选。输入与机构关联的电子邮件地址。

5. 可选。将 Time Machine 功能的分配时间设置为以下之一：

   • 几秒钟
   • 一天
   • 7 天
   • 14 天
   • 一个月
6. 点击 Save。

流程

1. 单击导航窗格上的 Repositories。
2. 单击 Create Repository。

3. 选择一个命名空间，如 quayadmin，然后输入 Repository name，如 testrepo。

   重要

   不要在存储库名称中使用以下词语：* build * trigger * tag * notification

   当这些词语用于存储库名称时，用户无法访问存储库，且无法永久删除存储库。尝试删除这些仓库会返回以下错误： Failed to delete repository <repository_name>, HTTP404 - Not Found。

4. 点 Create。

   现在，您的 example 存储库应该在 Repositories 页面中填充。

5. 可选。点 Settings → Repository visibility → Make private 将存储库设置为私有。

流程

1. 从示例 registry 中拉取示例页面。例如：

   $ podman pull busybox

   Copy to Clipboard Toggle word wrap

   输出示例

   Trying to pull docker.io/library/busybox...
   Getting image source signatures
   Copying blob 4c892f00285e done
   Copying config 22667f5368 done
   Writing manifest to image destination
   Storing signatures
   22667f53682a2920948d19c7133ab1c9c3f745805c14125859d20cede07f11f9

   Copy to Clipboard Toggle word wrap

2. 使用新存储库和镜像名称标记本地系统上的镜像。例如：

   $ podman tag docker.io/library/busybox quay.io/quayadmin/busybox:test

   Copy to Clipboard Toggle word wrap

3. 将镜像推送到 registry。在这一步后，您可以使用浏览器在存储库中查看标记的镜像。

   $ podman push --tls-verify=false quay.io/quayadmin/busybox:test

   Copy to Clipboard Toggle word wrap

   输出示例

   Getting image source signatures
   Copying blob 6b245f040973 done
   Copying config 22667f5368 done
   Writing manifest to image destination
   Storing signatures

   Copy to Clipboard Toggle word wrap

流程

1. 在 v2 UI 的 Repositories 页面上，选中您要删除的存储库的复选框，如 quayadmin/busybox。
2. 点 Actions 下拉菜单。
3. 点击 Delete。

4. 在框中键入 confirm，然后单击 Delete。

   删除后，您将返回到 Repositories 页面。

流程

1. 在 v2 UI 上，单击 Organizations。
2. 单击您要为其创建机器人帐户的组织名称，如 test-org。
3. 点 Robot accounts 选项卡 → Create robot account。
4. 在 Provide a name for your robot account 框中，输入名称，如 robot1。您的 Robot 帐户的名称是您的用户名与机器人的名称的组合，如 quayadmin+robot1

5. 可选。如果需要，可以使用以下选项：

   1. 将机器人帐户添加到团队。
   2. 将机器人帐户添加到存储库。
   3. 调整机器人帐户的权限。

6. 在 Review and finish 页面中，检查您提供的信息，然后点 Review and finish。此时会出现以下警报： Successfully created robot account with robot name: <organization_name> + <robot_name>。

   或者，如果您尝试创建名称与另一个机器人帐户相同的机器人帐户，您可能会收到以下出错信息： Error create robot account。

7. 可选。您可以单击 Expand 或 Collapse 来显示有关机器人帐户的描述性信息。
8. 可选。您可以点击 kebab 菜单 → Set repository 权限来更改机器人帐户的权限。此时会出现以下信息： Successfully updated repository permission。

9. 可选。您可以点击机器人帐户的名称来获取以下信息：

   • 机器人帐户 ：选择此项获取机器人令牌。您可以点 Regenerate token 来重新 生成令牌。
   • Kubernetes Secret ：选择此项以 Kubernetes pull secret YAML 文件的形式下载凭证。
   • Podman: 选择它复制包含凭据的完整 podman login 命令行。
   • Docker Configuration ：选择此项复制包含凭据的完整 docker login 命令行。

流程

1. 在 Red Hat Quay v2 UI 登录页面上，单击导航窗格中的 Organizations。
2. 在 Organizations 页面上，选择具有多个存储库的组织名称。单个机构下的存储库数量可在 Repo Count 列下找到。
3. 在您的组织页面中，单击 Robot accounts。
4. 对于将添加到多个软件仓库中的机器人帐户，点 kebab 图标 → Set repository 权限。

5. 在 Set repository permissions 页面上，选中机器人帐户要添加到的存储库的框。例如：

   

6. 设置机器人帐户的权限，例如 None、Read、Write、Admin。
7. 单击保存。警告显示 Success alert: Successfully updated repository permission appears on Set repository permissions 页，确认更改。
8. 返回到 Organizations → Robot 帐户 页面。现在，机器人帐户的 Repositories 列会显示机器人帐户已添加到的存储库数量。

流程

1. 更新 config.yaml 字段以添加 ROBOTS_DISALLOW 变量，例如：

   ROBOTS_DISALLOW: true

   Copy to Clipboard Toggle word wrap
2. 重启 Red Hat Quay 部署。

验证：创建新的机器人帐户

1. 导航到您的 Red Hat Quay 存储库。
2. 点存储库的名称。
3. 在导航窗格中，单击 Robot Accounts。
4. 单击 Create Robot Account。
5. 输入机器人帐户的名称，例如 < organization-name/username>+<robot-name >。
6. 单击 Create robot account 以确认创建。此时会出现以下信息：Cannot create robot account。机器人帐户已被禁用。请联系您的管理员。

验证：登录到机器人帐户

1. 在命令行界面(CLI)中，输入以下命令尝试作为机器人帐户登录：

   $ podman login -u="<organization-name/username>+<robot-name>" -p="KETJ6VN0WT8YLLNXUJJ4454ZI6TZJ98NV41OE02PC2IQXVXRFQ1EJ36V12345678" <quay-server.example.com>

   Copy to Clipboard Toggle word wrap

   返回以下出错信息：

   Error: logging into "<quay-server.example.com>": invalid username/password

   Copy to Clipboard Toggle word wrap

2. 您可以传递 log-level=debug 标志，以确认机器人帐户已被停用：

   $ podman login -u="<organization-name/username>+<robot-name>" -p="KETJ6VN0WT8YLLNXUJJ4454ZI6TZJ98NV41OE02PC2IQXVXRFQ1EJ36V12345678" --log-level=debug <quay-server.example.com>

   Copy to Clipboard Toggle word wrap

   ...
   DEBU[0000] error logging into "quay-server.example.com": unable to retrieve auth token: invalid username/password: unauthorized: Robot accounts have been disabled. Please contact your administrator.

   Copy to Clipboard Toggle word wrap

流程

1. 登录到您的 Red Hat Quay registry：
2. 单击具有机器人帐户的组织名称。
3. 单击 Robot accounts。
4. 选中要删除的机器人帐户的框。
5. 点 kebab 菜单。
6. 点击 Delete。
7. 在文本框中键入 confirm，然后单击 Delete。

流程

1. 点机构的名称。
2. 单击 Default permissions。
3. 单击 Create default permissions。此时会出现 toggle drawer。

4. 选择 Anyone 或 Specific 用户，以在创建存储库时创建默认权限。

   1. 如果选择 Anyone，则必须提供以下信息：

      • 应用到。搜索、邀请或添加用户/机器人/团队。
      • 权限.将权限设置为 Read、Write 或 Admin 之一。

   2. 如果选择特定用户，则必须提供以下信息：

      • 存储库创建者.提供用户或机器人帐户。
      • 应用到。提供用户名、机器人帐户或团队名称。
      • 权限.将权限设置为 Read、Write 或 Admin 之一。
5. 点 Create default permission。此时会出现确认框，返回以下警报： Successfully created default permissions for creator.

流程

1. 登录到 Quay.io。
2. 在 v2 UI 上，单击 Repositories。
3. 单击存储库的名称，如 quayadmin/busybox。
4. 点 Settings 选项卡。

5. 可选。单击 User and robot permissions。您可以通过单击 权限 下的下拉菜单选项来调整用户或机器人帐户的设置。您可以将设置更改为 Read、Write 或 Admin。

   • 读取.用户或 Robot 帐户可以从存储库查看和拉取。
   • 写入。用户或 Robot 帐户可以从中读取（提取）并将其写入（推送）到存储库。
   • 管理.用户或 Robot 帐户有权访问从存储库拉取并推送到存储库，以及执行与存储库关联的管理任务。

流程

1. 在 v2 UI 上，单击 Repositories。
2. 点存储库的名称。

3. 点标签的名称。您会进入该标签的 Details 页面。该页面显示以下信息：

   • Name
   • 软件仓库
   • 摘要
   • 安全漏洞
   • 创建
   • 修改
   • Size
   • 标签
   • 如何获取镜像标签
4. 点 Security Report 查看标签的漏洞。您可以扩展公告列来打开 CVE 数据。
5. 点 Packages 查看标签的软件包。
6. 单击存储库的名称，以返回到 Tags 页面。

流程

1. 在 Red Hat Quay v2 UI 仪表板上，单击导航窗格中的 Repositories。
2. 单击具有镜像标签的存储库的名称。
3. 单击菜单 kebab，然后单击 Add new tag。

4. 输入标签的名称，然后单击 Create tag。

   新标签现在列在 Repository Tags 页面上。

流程

1. 在 v2 UI 控制面板上，单击导航窗格中的 Repositories。
2. 单击具有镜像标签的存储库的名称。
3. 点镜像菜单 kebab，然后选择 Edit labels。
4. 在 Edit labels 窗口中，单击 Add new label。

5. 使用 key=value 格式输入镜像标签的标签，例如 com.example.release-date=2023-11-14。

   注意

   当无法使用 key=value 格式时返回以下错误： Invalid label format, must be key value by =.

6. 单击框的空格以添加标签。
7. 可选。添加第二个标签。
8. 点 Save labels 将标签保存到镜像标签。返回以下通知： 成功创建标签。
9. 可选。点击标签上的同一镜像标签菜单 kebab → Edit labels → X 将其删除；或者，您可以编辑文本。点 Save labels。现在，标签已被删除或编辑。

流程

1. 导航到存储库的 Tags 页面。
2. 在 清单 下，单击 Fetch Tag 图标。

3. 当弹出框出现时，用户会看到以下选项：

   • Podman Pull （通过标签）
   • Docker Pull （通过标签）
   • Podman Pull （按摘要）

   • Docker Pull （按摘要）

     选择任何四个选项可返回相应客户端的命令，供用户拉取(pull)镜像。

4. 点 Copy Command 复制命令，该命令可用于命令行界面(CLI)。例如：

   $ podman pull quay.io/quayadmin/busybox:test2

   Copy to Clipboard Toggle word wrap

流程

1. 在 Red Hat Quay v2 UI 仪表板上，单击导航窗格中的 Repositories。
2. 单击具有镜像标签的存储库的名称。

3. 单击 Tag History。在这个页面中，您可以执行以下操作：

   • 按标签名称搜索
   • 选择一个日期范围
   • 查看标签更改
   • 查看标签修改日期以及更改的时间

流程

1. 在 v2 UI 的 Repositories 页面上，单击您要删除的镜像的名称，如 quay/admin/busybox。
2. 点 More Actions 下拉菜单。

3. 点 Delete。

   注意

   如果需要，您可以单击 Make Public 或 Make Private。

4. 在框中键入 confirm，然后单击 Delete。

5. 删除后，您将返回到 Repositories 页面。

   注意

   根据分配给 时间机器 功能分配的时间，可以恢复删除镜像标签。如需更多信息，请参阅"恢复标签更改"。

流程

1. 在 v2 UI 的 Repositories 页面上，单击您要恢复的镜像的名称。
2. 单击 Tag History 选项卡。
3. 在镜像标签被更改或删除的时间表中找到点。接下来，单击 Revert 下的选项，将标签恢复到其镜像。

流程

1. 登录到您的 Red Hat Quay registry。
2. 导航到您作为管理员的机构、存储库或命名空间。

3. 点 Logs。

   

4. 可选。通过向 From 和 To box 添加日期来设置查看日志条目的日期范围。
5. 可选。单击导出，以导出日志。您必须输入一个电子邮件地址或以 http:// 或 https:// 开头的有效回调 URL。这个过程可能需要一小时，具体取决于存在的日志数量。

流程

1. 选择具有管理员特权的存储库。
2. 点 Logs 选项卡。
3. 可选。如果要指定特定的日期，请在 From 和 to 框中输入范围。

4. 点 Export Logs 按钮。此时会出现 Export Usage Logs 弹出窗口，如下所示

   

5. 输入电子邮件地址或回调 URL 以接收导出的日志。对于回调 URL，您可以使用一个指定域的 URL，例如 <webhook.site>。
6. 选择 Confirm 以开始收集所选日志条目的流程。根据要收集的日志记录数据量，这可能需要任何几分钟到几分钟才能完成。

7. 日志导出完成后，会出现以下两个事件之一：

   • 会收到一封电子邮件，提醒您请求的导出日志条目可用。
   • 从 Webhook URL 返回日志导出请求的成功状态。另外，还会提供一个到导出的数据的链接，供您删除以下载日志。

流程

1. 导航到存储库，再单击导航窗格中的 Tags。此页面显示安全扫描的结果。
2. 要显示有关多架构镜像的更多信息，请点 See Child Manifests 查看扩展视图中的清单列表。
3. 点 See Child Manifests 下的相关链接，例如，1 Unknown 被重定向到 Security Scanner 页面。
4. Security Scanner 页面提供了标签的信息，如镜像易受哪些 CVE，以及您可能可用的补救选项。

流程

1. 在 Builds 页面上，单击 Start New Build。
2. 出现提示时，单击 Upload Dockerfile 以上传 Dockerfile 或包含根目录中的 Dockerfile 的存档。

3. 单击 Start Build。

   注意
   • 目前，在手动启动构建时，用户无法指定 Docker 构建上下文。
   • 目前，Red Hat Quay v2 UI 不支持 BitBucket。
4. 您将被重定向到 构建，可实时查看。等待 Dockerfile 构建完成 并推送。
5. 可选。您可以点 Download Logs 下载日志，或 Copy Logs 来复制日志。

6. 单击 back 按钮，以返回到 Repository Builds 页面，您可以在其中查看 构建历史记录。

   

1. 您必须提供创建触发器时生成的 SSH 公钥的读访问权限。
2. 您必须设置一个 webhook，它将 POST 到 Quay.io 端点来触发构建。

流程

1. 导航到 Quay.io 上的存储库。
2. 在导航窗格中，单击 Settings。
3. 在 Events and Notifications 类别中，点 Create Notification 为存储库事件添加新通知。此时会出现 Create notification 弹出框。

4. 在 Create repository 弹出窗口中，点 When this event occurs select a event。您可以为以下类型的事件选择通知：

   • 推送到存储库
   • 镜像构建失败
   • 镜像构建已排队
   • 镜像构建已启动
   • 镜像构建成功
   • 镜像构建已取消
   • 镜像到期触发器

5. 选择了事件类型后，选择 notification 方法。支持以下方法：

   • Quay 通知
   • 电子邮件通知
   • Webhook POST
   • Flowdock 团队通知
   • HipChat Room 通知

   • Slack 通知

     根据您选择的方法，您必须包含其他信息。例如，如果您选择 E-mail，则需要包含电子邮件地址和可选通知标题。

6. 选择事件和通知方法后，单击 Create Notification。

流程

1. 输入以下 POST /api/v1/repository/{repository}/notification 命令在存储库上创建通知：

   $ curl -X POST \
     -H "Authorization: Bearer <bearer_token>" \
     -H "Content-Type: application/json" \
     --data '{
       "event": "<event>",
       "method": "<method>",
       "config": {
         "<config_key>": "<config_value>"
       },
       "eventConfig": {
         "<eventConfig_key>": "<eventConfig_value>"
       }
     }' \
     https://<quay-server.example.com>/api/v1/repository/<namespace>/<repository_name>/notification/

   Copy to Clipboard Toggle word wrap

   此命令不会在 CLI 中返回输出。相反，您可以输入以下 GET /api/v1/repository/{repository}/notification/{uuid} 命令来获取有关存储库通知的信息：

   {"uuid": "240662ea-597b-499d-98bb-2b57e73408d6", "title": null, "event": "repo_push", "method": "quay_notification", "config": {"target": {"name": "quayadmin", "kind": "user", "is_robot": false, "avatar": {"name": "quayadmin", "hash": "b28d563a6dc76b4431fc7b0524bbff6b810387dac86d9303874871839859c7cc", "color": "#17becf", "kind": "user"}}}, "event_config": {}, "number_of_failures": 0}

   Copy to Clipboard Toggle word wrap

2. 您可以通过输入以下 POST /api/v1/repository/{repository}/notification/{uuid}/test 命令来测试存储库通知：

   $ curl -X POST \
     -H "Authorization: Bearer <bearer_token>" \
     https://<quay-server.example.com>/api/v1/repository/<repository>/notification/<uuid>/test

   Copy to Clipboard Toggle word wrap

   输出示例

   {}

   Copy to Clipboard Toggle word wrap

3. 您可以通过输入以下 POST /api/v1/repository/{repository}/notification/{uuid} 命令重置存储库通知失败：

   $ curl -X POST \
     -H "Authorization: Bearer <bearer_token>" \
     https://<quay-server.example.com>/api/v1/repository/<repository>/notification/<uuid>

   Copy to Clipboard Toggle word wrap

4. 输入以下 DELETE /api/v1/repository/{repository}/notification/{uuid} 命令来删除存储库通知：

   $ curl -X DELETE \
     -H "Authorization: Bearer <bearer_token>" \
     https://<quay-server.example.com>/api/v1/repository/<namespace>/<repository_name>/notification/<uuid>

   Copy to Clipboard Toggle word wrap

   此命令不会在 CLI 中返回输出。相反，您可以输入以下 GET /api/v1/repository/{repository}/notification/ 命令来检索所有通知的列表：

   $ curl -X GET  -H "Authorization: Bearer <bearer_token>"   -H "Accept: application/json"  https://<quay-server.example.com>/api/v1/repository/<namespace>/<repository_name>/notification

   Copy to Clipboard Toggle word wrap

   输出示例

   {"notifications": []}

   Copy to Clipboard Toggle word wrap

流程

1. 输入以下命令添加 chart 存储库：

   $ helm repo add redhat-cop https://redhat-cop.github.io/helm-charts

   Copy to Clipboard Toggle word wrap

2. 输入以下命令在 Chart 仓库中本地更新可用 chart 的信息：

   $ helm repo update

   Copy to Clipboard Toggle word wrap

3. 输入以下命令从存储库拉取 chart：

   $ helm pull redhat-cop/etherpad --version=0.0.4 --untar

   Copy to Clipboard Toggle word wrap

4. 输入以下命令将 chart 打包到 chart 归档中：

   $ helm package ./etherpad

   Copy to Clipboard Toggle word wrap

   输出示例

   Successfully packaged chart and saved it to: /home/user/linux-amd64/etherpad-0.0.4.tgz

   Copy to Clipboard Toggle word wrap

5. 使用 helm registry 登录 Quay.io：

   $ helm registry login quay.io

   Copy to Clipboard Toggle word wrap

6. 使用 helm push 命令将 chart 推送到您的存储库：

   helm push etherpad-0.0.4.tgz oci://quay.io/<organization_name>/helm

   Copy to Clipboard Toggle word wrap

   输出示例：

   Pushed: quay370.apps.quayperf370.perfscale.devcluster.openshift.com/etherpad:0.0.4
   Digest: sha256:a6667ff2a0e2bd7aa4813db9ac854b5124ff1c458d170b70c2d2375325f2451b

   Copy to Clipboard Toggle word wrap

7. 通过删除本地副本来确保推送正常工作，然后从存储库拉取 chart：

   $ rm -rf etherpad-0.0.4.tgz

   Copy to Clipboard Toggle word wrap

   $ helm pull oci://quay.io/<organization_name>/helm/etherpad --version 0.0.4

   Copy to Clipboard Toggle word wrap

   输出示例：

   Pulled: quay370.apps.quayperf370.perfscale.devcluster.openshift.com/etherpad:0.0.4
   Digest: sha256:4f627399685880daf30cf77b6026dc129034d68c7676c7e07020b70cf7130902

   Copy to Clipboard Toggle word wrap

流程

1. 输入以下 go 命令直接安装 Cosign：

   $ go install github.com/sigstore/cosign/cmd/cosign@v1.0.0

   Copy to Clipboard Toggle word wrap

   输出示例

   go: downloading github.com/sigstore/cosign v1.0.0
   go: downloading github.com/peterbourgon/ff/v3 v3.1.0

   Copy to Clipboard Toggle word wrap

2. 输入以下命令为 Cosign 生成键值对：

   $ cosign generate-key-pair

   Copy to Clipboard Toggle word wrap

   输出示例

   Enter password for private key:
   Enter again:
   Private key written to cosign.key
   Public key written to cosign.pub

   Copy to Clipboard Toggle word wrap

3. 输入以下命令为键值对签名：

   $ cosign sign -key cosign.key quay.io/user1/busybox:test

   Copy to Clipboard Toggle word wrap

   输出示例

   Enter password for private key:
   Pushing signature to: quay-server.example.com/user1/busybox:sha256-ff13b8f6f289b92ec2913fa57c5dd0a874c3a7f8f149aabee50e3d01546473e3.sig

   Copy to Clipboard Toggle word wrap

   如果您遇到 错误： signing quay-server.example.com/user1/busybox:test: getting remote image: GET https://quay-server.example.com/v2/user1/busybox/manifests/test: UNAUTHORIZED: access to the requested resource is not authorized; map[] error，因为 Cosign 依赖于 ~./docker/config.json 用于授权，您可能需要执行以下命令：

   $ podman login --authfile ~/.docker/config.json quay.io

   Copy to Clipboard Toggle word wrap

   输出示例

   Username:
   Password:
   Login Succeeded!

   Copy to Clipboard Toggle word wrap

4. 输入以下命令查看更新的授权配置：

   $ cat ~/.docker/config.json
   {
   	"auths": {
   		"quay-server.example.com": {
   			"auth": "cXVheWFkbWluOnBhc3N3b3Jk"
   		}
   	}

   Copy to Clipboard Toggle word wrap

流程

1. 输入以下 go 命令直接安装 Cosign：

   $ go install github.com/sigstore/cosign/cmd/cosign@v1.0.0

   Copy to Clipboard Toggle word wrap

   输出示例

   go: downloading github.com/sigstore/cosign v1.0.0
   go: downloading github.com/peterbourgon/ff/v3 v3.1.0

   Copy to Clipboard Toggle word wrap

2. 输入以下命令为 Cosign 生成键值对：

   $ cosign generate-key-pair

   Copy to Clipboard Toggle word wrap

   输出示例

   Enter password for private key:
   Enter again:
   Private key written to cosign.key
   Public key written to cosign.pub

   Copy to Clipboard Toggle word wrap

3. 输入以下命令为键值对签名：

   $ cosign sign -key cosign.key quay.io/user1/busybox:test

   Copy to Clipboard Toggle word wrap

   输出示例

   Enter password for private key:
   Pushing signature to: quay-server.example.com/user1/busybox:sha256-ff13b8f6f289b92ec2913fa57c5dd0a874c3a7f8f149aabee50e3d01546473e3.sig

   Copy to Clipboard Toggle word wrap

   如果您遇到 错误： signing quay-server.example.com/user1/busybox:test: getting remote image: GET https://quay-server.example.com/v2/user1/busybox/manifests/test: UNAUTHORIZED: access to the requested resource is not authorized; map[] error，因为 Cosign 依赖于 ~./docker/config.json 用于授权，您可能需要执行以下命令：

   $ podman login --authfile ~/.docker/config.json quay.io

   Copy to Clipboard Toggle word wrap

   输出示例

   Username:
   Password:
   Login Succeeded!

   Copy to Clipboard Toggle word wrap

4. 输入以下命令查看更新的授权配置：

   $ cat ~/.docker/config.json
   {
   	"auths": {
   		"quay-server.example.com": {
   			"auth": "cXVheWFkbWluOnBhc3N3b3Jk"
   		}
   	}

   Copy to Clipboard Toggle word wrap