Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

Red Hat Software Certification Workflow Guide

Red Hat Software Certification 8.64

用于 Red Hat Enterprise Linux 和 Red Hat OpenShift

Red Hat Customer Content Services

摘要

Red Hat Software Certification Workflow 指南概述了希望在一个共同支持的客户环境中使用 Operator 在 Red Hat OpenShift Platform 上部署自己的应用程序、管理应用程序或软件的红帽合作伙伴认证流程。
2023 年 6 月 27 日更新 8.64 版本。

使开源包含更多
复制链接

红帽承诺替换我们的代码和文档中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于这一努力的精力,这些更改将在即将发布的版本中逐渐实施。有关让我们的语言更加包含的更多详情,请参阅我们的CTO Chris Wright 信息

第 1 章 红帽软件认证简介
复制链接

使用本指南在 Red Hat Enterprise Linux 和 Red Hat OpenShift 平台上认证和分发您的软件应用程序产品。

1.1. 了解 Red Hat 软件认证
复制链接

红帽软件认证计划确保了以 Red Hat Enterprise Linux 和 Red Hat OpenShift 作为部署平台为目标的软件应用程序产品的兼容性。

程序有四个主要元素:

  • 项目:跟踪和报告认证请求进度和状态的在线工作流。
  • 测试套件:测试作为软件应用程序产品的集成管道实施。

  • publication:

    • 非容器化产品 :经过认证的传统、非容器化产品在红帽生态系统目录中发布。
    • 容器 :认证容器在红帽生态系统目录中发布。
    • Operator :认证的 Operator 在红帽生态系统目录中发布,并在嵌入式 OperatorHub 中发布,可选择由 IBM 提供支持的 Red Hat Marketplace。
    • Helm Charts :认证的 Helm Charts 在红帽生态系统目录中发布。
    • 云原生网络功能(CNF) :供应商验证和认证 CNF 项目已附加到产品列表中,并在红帽生态系统目录中发布。
  • 支持:与您与红帽之间的共同支持关系,在部署认证软件应用程序产品时确保客户成功。

1.2. 红帽软件认证的好处
复制链接

红帽软件认证计划使客户和合作伙伴受益。

程序的主要优点包括:

  • 为红帽合作伙伴提供验证和监控其产品是否继续满足客户依赖的互操作性、安全性和生命周期管理标准的方法。
  • 使 OpenShift Container Platform 用户能够通过 OperatorHub 和 Red Hat Marketplace 更轻松地在其 OpenShift 集群上安装经过认证的软件。
  • 允许客户和潜在的客户搜索和发现在红帽生态系统目录中发布的软件。
  • 通过 OpenShift 嵌入式 OperatorHub 以及 IBM 支持的 Red Hat Marketplace 为 Operator 提供分发频道。

通过此项认证,您可以创建相关认证,以支持在与其他 ISV 合作伙伴合作进行大量产品扩展,专注于客户及其开放混合云之旅。

1.3. 获取帮助并提供反馈
复制链接

如果您在使用红帽产品的认证流程、红帽认证工具集或本文档中描述的流程时遇到问题,请访问红帽客户门户,您可以在其中访问红帽产品文档以及有关红帽产品的解决方案和技术文章。

1.3.1. 提供反馈
复制链接

您还可以为以下实例创建一个支持问题单:

  • 报告问题并获得认证过程的帮助。
  • 在认证工具集和文档中提交反馈和请求增强功能。
  • 如需获得认证您的产品/应用的红帽产品的帮助。
注意

要接收红帽产品协助,需要具有所需的产品授权或订阅,这些权利或订阅可能与合作伙伴和认证计划成员资格分开。

1.3.2. 创建支持问题单
复制链接

要创建一个支持问题单,请参阅如何提交和管理支持问题单

要为任何认证问题创建一个支持问题单,请特别注意以下字段,为合作伙伴加速 Desk 完成支持问题单:

  • 在 Issue Category 中,选择 Product Certification
  • 在 Product 字段中,选择所需的产品。
  • Product Version 字段中,选择您的产品或应用程序认证的版本。
  • Problem Statement 字段中,使用以下格式输入 issue 语句或问题或反馈:

{partner Certification}(问题/咨询或反馈)

  • 用认证流程 或红帽产品或文档的反馈替换(问题/ 反馈或反馈)。 

    For example: {Partner Certification} Error occurred while submitting certification test results using the Red Hat Certification application.
    Copy to Clipboard Toggle word wrap
注意

红帽建议您在开始认证过程前具有红帽认证工程师或具有同等经验。

第 2 章 加入认证合作伙伴
复制链接

如果您是新合作伙伴,请使用 Red Hat Partner Connect 门户创建新帐户,或者如果您是一个当前合作伙伴用来认证您的产品,请使用您现有的红帽帐户。

2.1. 加入现有认证合作伙伴
复制链接

作为现有合作伙伴,您可以:

  • 对 EPM 团队具有一定程度的一对多 EPM 计划的成员,但认证流程没有任何帮助。

    或者

  • 使用分配了管理合作伙伴的专用 EPM 团队成员,以传统方式由 EPM 团队完全管理,包括有关认证请求的问题。
注意

如果您认为您的公司已有红帽帐户,但不确定谁是贵公司的机构管理员,请发送电子邮件 connect@redhat.com 以将您添加到您公司的现有帐户中。

先决条件

您有一个现有的红帽帐户。

流程

  1. 访问 Red Hat Partner Connect 并点 登录
  2. 认证技术门户 部分,点 Log in for 技术合作伙伴

  3. 输入您的 Red Hat 登录或电子邮件地址,然后点 Next

    然后,使用以下选项之一:

    1. 使用公司单点登录登录
    2. 使用红帽帐户登录

  4. 在标头的菜单栏中,点您的 avatar 查看帐户详情。

    1. 如果帐户号与您的账户相关联,请登录 Red Hat Partner Connect,以继续认证过程。

    2. 如果帐户号没有与您的帐户关联,则首先 联系红帽全局客户服务团队,以引发创建新帐户号码的请求。

      之后,登录到 Red Hat Partner Connect 以完成认证过程。

2.2. 加入新的认证合作伙伴
复制链接

创建新红帽帐户是加入新认证合作伙伴的第一步。

  1. 访问 Red Hat Partner Connect 并点 登录
  2. 认证技术门户 部分,点 Log in for 技术合作伙伴
  3. Register for a Red Hat account

  4. 输入以下详情来创建新红帽帐户:

    1. Account Type 字段中选择 Corporate。

      如果您创建了公司类型帐户并需要帐户号,请联系红帽全球客户服务团队

注意

确保您创建公司帐户而不是个人帐户。此步骤中创建的帐户也用于在处理认证请求时登录到红帽生态系统目录。

  1. 选择红帽登录和密码。
重要

如果您的登录 ID 与多个帐户关联,则不要使用您的联系电子邮件作为登录 ID,因为这会导致登录期间出现问题。另外,您在创建后无法更改登录 ID。

  1. 输入 您的个人信息公司信息

  2. 单击 Create My Account

    创建了一个新的红帽帐户。登录到 Red Hat Partner Connect,以继续认证过程。

部分 I. 非容器认证
复制链接

第 3 章 非容器化产品认证简介
复制链接

用于传统、非容器化产品的红帽软件认证计划帮助独立软件供应商(ISV)在共同支持的客户环境中运行、认证和服务器环境中构建、认证并分发其应用程序软件。需要非常了解 RHEL。

第 4 章 非容器化应用的认证工作流
复制链接

注意

红帽建议您在开始认证过程前具有红帽认证工程师或具有同等经验。

下图显示了非容器化应用程序的认证工作流概述:

图 4.1. 非容器化应用的认证工作流

以下流程描述了非容器化应用程序认证工作流的可视化流程图。
View larger image
以下流程描述了非容器化应用程序认证工作流的可视化流程图。

任务摘要

认证工作流包括以下三个主要阶段:

  1. 第 4.1 节 “认证加入并打开您的第一个项目”
  2. 第 4.2 节 “认证和测试”
  3. 第 4.3 节 “发布认证应用程序”

4.1. 认证加入并打开您的第一个项目
复制链接

先决条件

除了特定认证测试要求外,还验证您的产品在红帽平台上的功能。如果在目标红帽平台上运行您的产品会产生一个子标准体验,则必须在认证前解决问题。

红帽合作伙伴加速服务(PAD)是一个产品和技术级别合作伙伴帮助台服务,允许我们的(无论如何)技术合作伙伴成为与红帽产品、合作伙伴认证、服务流程等相关的非技术问题。

请参阅 PAD - 如何打开和管理 PAD 问题单,以创建一个 PAD ticket。

通过合作伙伴订阅计划,红帽提供免费的、不用于销售的软件订阅,您可用来在目标红帽平台上验证您的产品。要请求访问此计划,请按照 合作伙伴订阅 网站上的说明进行操作。

流程

执行认证加入概述的步骤:

  1. 加入 Red Hat Connect for Technology Program ( Red Hat Connect for Technology Program (Red Hat Connect for Technology Program)
  2. 添加非容器化软件产品以进行认证。
  3. 填写您的公司简介。
  4. 完成预认证清单。
  5. 为您的产品创建一个非容器化应用程序项目。

4.2. 认证和测试
复制链接

按照以下高级别步骤运行认证测试:

  • 登录到 红帽认证门户
  • 下载测试计划。
  • 配置系统,在 test (SUT)下运行测试。
  • 将测试计划下载到我们的 SUT。
  • 在您的系统中运行认证测试。
  • 查看并上传测试结果到认证门户。

4.3. 发布认证应用程序
复制链接

完成所有认证检查后,您可以向红帽提交测试结果。验证成功后,您可以在 红帽生态系统目录 上发布您的产品。

第 5 章 创建非容器化应用程序项目
复制链接

流程

按照以下步骤创建非容器化应用程序项目:

  1. 登录到 Red Hat Partner Connect 门户

    这时将显示 Access the partner portal 网页。

  2. 导航到 认证技术门户 标题,再单击 Log in for 技术合作伙伴

  3. 输入登录凭据并点 Login

    此时会显示 Red Hat Partner Connect 网页。

  4. 在页面标头中,选择 Product Certification,再单击 Manage Certification projects

    My Work 网页会显示 Product Listings and Certification Projects (如果可用)。

  5. 点击 Create Project
  6. 在您要认证的平台中, 选择您需要的平台并点 Next。例如,选择 Red Hat Enterprise Linux 单选按钮来创建非容器化项目。
  7. 在您要认证? 对话框中,选择 Non-containerized application 单选按钮,然后单击 Next

  8. Create Non-containerized Red Hat Enterprise Linux 项目 网页上,提供以下详细信息以创建您的项目。

    重要

    您无法在创建项目后更改 RHEL 版本。

    1. Project Name - 输入项目名称。此名称没有发布,仅用于内部使用。
    2. Red Hat Enterprise Linux (RHEL) 版本 - 选择您要在其上认证非容器化应用程序的特定 RHEL 版本。
  9. Create project

第 6 章 配置非容器化应用程序项目
复制链接

在创建了非容器化项目后,新创建的应用项目网页会显示。

新的应用程序项目网页由以下标签页组成:

  • 概述 - 包含预认证清单。
  • Settings - 允许您查看配置的项目详情。

另外,要在应用程序项目中执行以下操作,请点击非容器化应用程序项目网页上的 Actions 菜单:

6.1. 完成先决条件清单
复制链接

要认证非容器化应用程序,您必须完成预认证清单,然后发布您的应用程序项目。项目的 Overview 选项卡包含预认证清单。预认证清单由一系列完成的任务组成,您必须完成这些任务才能认证并发布您的应用程序项目。

在发布应用程序项目前,在清单中执行以下任务:

  1. 提供有关您的认证的详细信息
  2. 完成您的公司简介
  3. 在 Red Hat Enterprise Linux 中验证您的产品的功能
  4. 附加一个已完成的产品列表

6.1.1. 提供有关您的认证的详细信息
复制链接

  1. 导航到 关于您的认证标题的详细信息,以配置目录中显示的项目详情。这将允许用户拉取应用程序镜像。
  2. Review。您可以导航到 xref:[Settings] 选项卡。
  3. 编辑所需的项目详情。
  4. 点击 Save

6.1.2. 完成您的公司简介
复制链接

确保您的公司简介为最新版本。此信息会随您认证的非容器化应用程序产品一起发布。

验证信息,

  1. 导航到 Complete your company profile 标题。
  2. 点清单中的 Review
  3. 若要进行任何更改,请单击 Edit
  4. 更新详情后,点 Save

此功能允许您执行以下功能:

  • 在本地运行红帽认证工具
  • 下载测试计划
  • 与红帽认证团队共享测试结果,
  • 如果需要,与认证团队进行交互。

在 Red Hat Enterprise Linux 中验证您的产品的功能:

  1. 导航到 在 Red Hat Enterprise Linux 上验证您的产品的功能,然后点 Start。在 红帽认证 门户中创建了一个新项目,您会被重定向到适当的项目门户页面。

6.1.4. 附加一个已完成的产品列表
复制链接

此功能允许您创建新产品列表,或将项目附加到新项目的现有 RHEL 产品列表中。

  1. 导航到 Attach a completed product list 标题。
  2. Select method 下拉菜单中选择 Attach or edit。此时会显示 Attach product list 页面。

  3. 决定是否要将项目附加到现有产品列表中,还是要创建新产品列表:

    1. 将项目附加到现有产品列表中:

      1. 相关产品列表 部分中,单击 Select a product list 下拉列表,以选择所需的产品列表。
      2. 点击 Save

    2. 要创建新产品列表,请执行以下操作:

      1. 单击 Create new product list
      2. Product Name 文本框中,输入所需的产品名称。
      3. 点击 Save
  4. Select method 下拉菜单中选择 View product list 以导航到新产品列表并填写所有所需的产品列表详情。
  5. 点击 Save
注意

在提交认证应用程序前,请确保完成先决条件清单 ,除非验证您的 Red Hat Enterprise Linux 步骤中的产品功能。

完成所有步骤后,标题旁边会出现一个绿色勾号,表示配置已完成。

6.2. 管理项目设置
复制链接

您可以通过 Settings 选项卡查看和编辑项目详情。

在以下字段中输入所需的项目详情:

  • 项目名称 - 输入项目名称。此名称没有发布,仅用于内部使用。
  • Red Hat Enterprise Linux (RHEL) 版本 - 指定您要在其上认证非容器化应用程序的 RHEL 版本。
重要

您无法在创建项目后更改 RHEL 版本。

  • 技术联系电子邮件地址 - 输入您的项目维护人员电子邮件地址,用逗号分隔。
  • 点击 Save
注意

所有标记为星号 * 的字段都是必需的,您必须先完成,然后才能继续认证。

认证您的产品的第一步是设置可运行测试的环境。

测试环境由运行所有认证测试的系统组成。

7.1. 设置在测试下充当系统的系统
复制链接

安装或配置需要认证的产品的系统称为测试(SUT)下的系统。

先决条件

  • SUT 已安装 RHEL 版本 8 或 9。为方便起见,红帽提供了 kickstart 文件来安装 SUT 的操作系统。在启动安装过程前,请按照适合您的系统文件中的说明进行操作。

流程

  1. 配置 红帽认证 存储库:

    1. 使用您的 RHN 凭证,使用 Red Hat Subscription Management 注册您的系统: 

      $ subscription-manager register
      Copy to Clipboard Toggle word wrap

    2. 显示您的系统可用订阅列表: 

      $ subscription-manager list --available*
      Copy to Clipboard Toggle word wrap
    3. 搜索提供红帽认证(适用于 RHEL 服务器)存储库的订阅,并记录订阅及其池 ID。

    4. 将订阅附加到您的系统: 

      $ subscription-manager attach --pool=<pool_ID>
      Copy to Clipboard Toggle word wrap

      将 pool_ID 替换为订阅的池 ID。

    5. 订阅红帽认证频道:

      1. 对于 RHEL 8: 

        $ subscription-manager repos --enable=cert-1-for-rhel-8-<HOSTTYPE>-rpms
        Copy to Clipboard Toggle word wrap

        将 HOSTTYPE 替换为系统架构。要查找系统架构,请运行 

        $ uname -m
        Copy to Clipboard Toggle word wrap

        Example: 

        $ subscription-manager repos --enable=cert-1-for-rhel-8-x86_64-rpms
        Copy to Clipboard Toggle word wrap

      2. 在 RHEL 9 中: 

        $ subscription-manager repos --enable=cert-1-for-rhel-9-<HOSTTYPE>-rpms
        Copy to Clipboard Toggle word wrap

        将 HOSTTYPE 替换为系统架构。要查找系统架构,请运行 

        $ uname -m
        Copy to Clipboard Toggle word wrap

        例如: 

        $ subscription-manager repos --enable=cert-1-for-rhel-9-x86_64-rpms
        Copy to Clipboard Toggle word wrap

    6. 安装软件测试套件软件包: 

      $ dnf install redhat-certification-software
      Copy to Clipboard Toggle word wrap

第 8 章 从红帽客户门户网站下载测试计划
复制链接

流程

  1. 登录到 红帽认证门户
  2. 搜索与您的产品认证相关的问题单号,并复制它。
  3. Cases → 输入产品问题单号。

  4. 可选:点 Test Plans

    测试计划显示测试运行期间将测试的组件列表。

  5. Download Test Plan

要使用 CLI 运行认证测试,您必须将测试计划下载到 SUT。运行测试后,下载结果并查看它们。

9.1. 使用 CLI 运行认证测试
复制链接

流程

  1. 将测试计划下载到 SUT。

  2. 运行以下命令,将认证软件包指示为使用测试计划: 

    # rhcert-provision <test-plan-doc>
    Copy to Clipboard Toggle word wrap

  3. 运行以下命令: 

    # rhcert-run
    Copy to Clipboard Toggle word wrap

  4. 出现提示时,选择是否通过键入 yesno 运行每个测试。

    您还可以通过键入 select,从列表中选择特定的测试。

9.2. 检查并下载已执行测试计划的结果文件
复制链接

流程

  1. 运行以下命令: 

    # rhcert-cli save
    Copy to Clipboard Toggle word wrap
  2. 使用 rhcert-cli save 命令将结果文件下载到您的本地系统。

其他资源

有关设置和使用 cockpit 运行认证测试的详情,请查看 附录

先决条件

  • 您已从 SUT 或 Cockpit 下载了测试结果文件。

流程

  1. 登录到 红帽认证门户

  2. 在主页上,在搜索栏中输入产品问题单号。

    从显示的列表中选择问题单号。

  3. Summary 选项卡中,在 Files 部分下点 Upload

红帽将审核提交的测试结果文件并建议后续步骤。

其他资源

如需更多信息,请访问 红帽认证门户

第 11 章 重新认证
复制链接

作为现有合作伙伴,您必须重新认证您的应用程序:

  • 在 Red Hat Enterprise Linux 的每个主发行版本中
  • 在应用程序的每个主版本和次版本中
注意

要重新认证您的应用程序,必须创建新的认证请求以进行重新认证。

要重新认证您的申请,请通过 红帽认证工具提交新的认证 请求,或在红帽合作伙伴连接中创建新项目。https://connect.redhat.com/在 SUT 上运行认证测试,并继续执行常规认证工作流,如新的认证。

第 12 章 发布认证应用程序
复制链接

通过红帽认证门户 提交测试结果后,会针对项目中的漏洞扫描您的应用程序。扫描完成后,产品列表页中将为您的应用程序启用发布按钮。https://connect.redhat.com/manage/products填写完所有必要的信息后,单击发布按钮,您的应用程序将在 红帽生态系统目录 上提供。

重要

Red Hat 软件认证不会在其功能或所选平台上执行对合作伙伴的产品进行测试。认证候选产品质量保证的所有方面均保留合作伙伴的职责。

附录 A. 使用 cockpit 运行认证测试
复制链接

注意

使用 cockpit 运行认证测试 是可选的

使用以下步骤使用 cockpit 设置并运行认证测试。

A.1. 使用 Cockpit 配置系统并运行测试
复制链接

要使用 Cockpit 运行认证测试,您需要首先将测试计划上传到 SUT。运行测试后,下载结果并查看它们。

注意

虽然这不是强制要求,但红帽建议您配置和使用 Cockpit 进行认证过程。配置 cockpit 有助于您管理和监控 SUT 上的认证流程。

A.1.1. 设置 Cockpit 服务器
复制链接

Cockpit 是一个 RHEL 工具,可让您更改系统配置,并从用户友好的 Web 界面监控其资源。

注意
  • 您必须在 SUT 或新系统上设置 Cockpit。
  • 确保 Cockpit 能够访问 SUT。

先决条件

  • Cockpit 服务器安装了 RHEL 版本 8 或 9。
  • 您已在系统上安装了 Cockpit 插件。
  • 您已启用了 Cockpit 服务。

流程

  1. 登录到安装 Cockpit 的系统。

  2. 安装由红帽认证团队提供的 Cockpit RPM。 

    # dnf install redhat-certification-cockpit
    Copy to Clipboard Toggle word wrap

默认情况下,Cockpit 在端口 9090 上运行。

其他资源

有关安装和配置 Cockpit 的更多信息,请参阅开始使用 Cockpit 和 Introduc ing Cockpit

A.1.2. 将系统添加到 Cockpit 下
复制链接

将系统添加到 Cockpit 可让它们使用免密码 SSH 进行通信。

先决条件

  • 您有 SUT 的 IP 地址或主机名。

流程

  1. 在浏览器中输入 http://<Cockpit_system_IP > :9090/ 来启动 Cockpit Web 应用程序。
  2. 输入用户名和密码,然后点 Login

  3. 点 logged-in cockpit 用户名上的下箭头→Add new host

    此时将显示对话框。

  4. Host 字段中,输入系统的 IP 地址或主机名。
  5. User name 字段中输入您要分配给此系统的名称。
  6. 可选:选择预定义的颜色,或为添加的主机选择一个新颜色。
  7. 点击 Add
  8. Accept key 并连接,让 Cockpit 通过免密码 SSH 与 SUT 通信。
  9. 输入密码
  10. 选中 Authorize SSH Key 复选框。
  11. 登录

验证

在左侧面板中,点 ToolsRed Hat Certification
验证您刚刚添加的 SUT 显示在右侧的 Hosts 部分下。

A.1.3. 使用测试计划准备系统进行测试
复制链接

在测试下置备系统(SUT)包括以下操作:

  • 设置与 cockpit 的免密码 SSH 通信
  • 根据认证类型在您的系统上安装所需的软件包
  • 创建运行的最终测试计划,这是从红帽提供的测试计划在发现系统要求时生成的常用测试列表。

例如,如果测试计划旨在认证软件产品,将安装所需的软件包。

先决条件

  • 您已下载红帽提供的测试计划。

流程

  1. 在浏览器地址栏中输入 http:// <Cockpit_system_IP > :9090/ 来启动 Cockpit Web 应用。
  2. 输入用户名和密码,然后点 Login
  3. 在左侧面板中选择 ToolsRed Hat Certification
  4. 单击 Hosts 选项卡,然后单击测试下要在其上运行测试的主机。

  5. 单击 Provision

    此时会出现一个对话框。

    1. Upload, 然后选择新的 test plan .xml 文件。然后,单击 Next。此时会显示成功上传信息。

      另外,如果要重复使用之前上传的测试计划,请再次选择它来重新上传。

      注意

      在认证过程中,如果您收到持续产品认证的重新设计测试计划,您可以在上一步中上传它。但是,您必须在 Terminal 选项卡中运行 rhcert-cli clean all,然后才能继续。

    2. Role 字段中,选择 test 下的系统,再单击 Submit。默认情况下,该文件上传到路径:/var/rhcert/plans/<testplanfile.xml>

A.1.4. 使用 Cockpit 运行认证测试
复制链接

先决条件

  • 您已在测试下准备了系统。

流程

  1. 在浏览器地址栏中输入 http:// <Cockpit_system_IP > :9090/ 来启动 Cockpit Web 应用。
  2. 输入用户名和密码,然后点 Login
  3. 在左侧面板中选择 ToolsRed Hat Certification
  4. 单击 Hosts 选项卡,再单击要在其上运行测试的主机。

  5. Terminal 选项卡,然后选择 Run。

    此时会显示基于测试计划上传的推荐测试列表。运行的最终测试计划是从红帽提供的测试计划中的常见测试列表,并在发现系统要求时生成的测试。

  6. 出现提示时,选择是否通过键入 yesno 运行每个测试。

    您还可以通过键入 select,从列表中选择特定的测试。

A.1.5. 检查并下载已执行测试计划的结果文件
复制链接

流程

  1. 在浏览器地址栏中输入 http:// <Cockpit_system_IP > :9090/ 来启动 Cockpit Web 应用。
  2. 输入用户名和密码,然后点 Login
  3. 在左侧面板中选择 ToolsRed Hat Certification

  4. Result Files 选项卡查看生成的测试结果。

    1. 可选:点 Preview 查看每个测试结果。
    2. 点结果文件旁的 Download。默认情况下,结果文件保存为 /var/rhcert/save/hostname-date-time.xml

部分 II. 容器认证
复制链接

第 13 章 操作容器
复制链接

13.1. 容器简介
复制链接

容器包括库、框架等所有必要组件,这些组件在其自己的可执行文件中 隔离和自我隔离的 其他依赖项。红帽容器认证可确保操作系统和应用程序层的可支持性。它通过对红帽组件进行漏洞扫描和健康评分提供增强的安全性,以及更新红帽或合作伙伴组件时的生命周期承诺。

但是,以 特权模式 运行或特权容器的容器扩展其边界并与其主机交互,以运行命令或访问主机的资源。例如,对在主机上挂载的文件系统进行读取或写入的容器必须以特权模式运行。

特权容器可能会带来安全风险。被入侵的特权容器也可能破坏其主机以及整个环境的完整性。

此外,特权容器与操作系统接口(如命令、库、ABI 和 API)可能会随时间推移而变化或弃用主机。这可使特权容器以不支持的方式与主机交互的风险。

容器必须在非特权模式下运行,除非红帽在认证过程中批准,如策略指南中所述。

您必须确保容器可以在客户环境中的任何支持主机上运行。红帽建议您采用持续集成模型,可让您测试使用公共 beta 版或较早版本的红帽产品的容器,以最大化兼容性。

13.2. 容器认证工作流
复制链接

注意

红帽建议您在开始认证过程前具有红帽认证工程师或具有同等经验。

下图显示了容器认证工作流概述:

图 13.1. 容器认证工作流

一个流图,它是以下流程中描述的容器认证工作流的可视化表示。
View larger image
一个流图,它是以下流程中描述的容器认证工作流的可视化表示。

任务摘要

认证工作流包括以下三个主要阶段:

  1. 第 13.2.1 节 “认证在线并打开您的第一个项目”
  2. 第 4.2 节 “认证和测试”
  3. 第 13.2.3 节 “在红帽生态系统目录中发布认证容器”

13.2.1. 认证在线并打开您的第一个项目
复制链接

先决条件

除了特定认证测试要求外,在您的目标红帽平台上验证产品的功能。如果在目标红帽平台上运行您的产品,则在认证前您必须解决问题。

红帽合作伙伴加速服务(PAD)是一个产品和技术级别合作伙伴帮助台服务,允许我们的(无论如何)技术合作伙伴成为与红帽产品、合作伙伴认证、服务流程等相关的非技术问题。

请参阅 PAD - 如何打开和管理 PAD 问题单,以创建一个 PAD ticket。

通过合作伙伴订阅计划,红帽提供免费的、不用于销售的软件订阅,您可用来在目标红帽平台上验证您的产品。要请求访问此计划,请按照 合作伙伴订阅 网站上的说明进行操作。

您必须构建容器镜像,以便它们符合认证标准和策略。如需了解更多详细信息,请参阅 镜像内容要求

流程

按照以下步骤认证容器化软件:

  1. 加入 Red Hat Partner Connect for Technology Partner Program。
  2. 同意计划条款和条件。
  3. 填写您的公司简介。
  4. 通过选择所需平台来创建认证项目,例如 - Red Hat OpenShift,然后选择 容器镜像
  5. 完成预认证清单,包括您的容器镜像的导出合规性问题(如果适用)。

13.2.2. 认证和测试
复制链接

按照以下高级别步骤运行认证测试:

  1. 构建容器镜像。
  2. 将容器镜像上传到所选 registry。您可以选择任何您选择的 registry。
  3. 下载 Preflight 认证实用程序
  4. 使用您的容器镜像运行 Preflight。
  5. 提交 Red Hat Partner Connect 的结果。

13.2.3. 在红帽生态系统目录中发布认证容器
复制链接

认证的容器镜像通过 Red Hat Connect Image Registry 提供给客户,您可以在受支持的红帽容器平台上运行。您的产品及其镜像使用您提供的列表信息在 Red Hat Container Catalog 上列出。

第 14 章 创建容器应用程序项目
复制链接

先决条件

  • 使用 UBI 或 RHEL 作为基础镜像构建容器。
  • 将容器上传到您选择的公共或私有 registry。

流程

按照以下步骤创建容器应用程序项目:

  1. 登录到 Red Hat Partner Connect 门户

    这时将显示 Access the partner portal 网页。

  2. 导航到 认证技术门户 标题,再单击 Log in for 技术合作伙伴

  3. 输入登录凭据并点 Login

    此时会显示 Red Hat Partner Connect 网页。

  4. 在页面标头中,选择 Product Certification,再单击 Manage Certification projects

    My Work 网页会显示 Product Listings and Certification Projects (如果可用)。

  5. 点击 Create Project
  6. 在您要认证? 对话框中,选择所需平台并点 Next。例如,选择 Red Hat OpenShift 单选按钮来创建容器项目。
  7. 在您要认证? 对话框中,选择 Container image 单选按钮,然后点 Next

  8. Create container image Certification 项目 网页上,提供以下详细信息以创建您的项目。

    重要

    您无法在创建项目后更改项目名称或其分发方法。

    1. Project Name - 输入项目名称。此名称没有发布,仅用于内部使用。

    2. OS Content Type - 选择您要用于容器项目的镜像类型:

      1. Red Hat Universal Base Image - 您可以通过 Red Hat Container registry 或其他第三方 registry 分发基于 UBI 的容器镜像。另外,它有资格发布由 IBM 支持的 Red Hat Marketplace。
      2. Red Hat Enterprise Linux - 您只能通过 Red Hat Container registry 分发基于 RHEL 的容器镜像。

    3. distribution Method - 选择用于分发容器镜像的容器 registry。客户将从此位置拉取您的容器镜像,并在您的容器镜像仍托管在您管理的 registry 中的所有方法中。红帽建议 Quay.io 托管您的镜像,但您可以使用任何与 Kubernetes 兼容的 registry。

      1. Red Hat Container Registry - 如果您希望红帽通过红帽的容器 registry 分发容器,请选择这个选项。使用这个发布方法的镜像托管在您自己的容器 registry 上,但通过 Red Hat registry 代理地址向客户分发。当您选择此选项时,客户可以在不向其配置中添加 registry 的情况下访问容器,但不会对特定于客户的下载指标或其他代理使用数据可见。

      2. Red Hat Marketplace only - 选择这个选项,在由 IBM 支持的 Red Hat Marketplace 中发布您的认证容器。您的认证容器通过特定的红帽市场认证索引独家提供。客户必须具有拉取容器的权限。只有在您已与 IBM Red Hat Marketplace 团队联系并理解其影响时,才选择这个选项。如果有任何问题,请创建一个支持问题单。有关使用这个 registry 的说明,请参阅 Entitled Registry

        注意

        只有在镜像是 Operator 部署的应用程序的一部分时,才选择此选项,计划在 Red Hat Marketplace 上列出。选择这个选项时,您无法使用 托管的管道 进行 operator 元数据捆绑包认证,您必须使用本地 CI-pipeline 设置。

      3. 您自己的容器注册表 - 选择这个选项,在您自己的 registry 上发布您的认证容器。在使用您自己的第三方 registry 时,客户需要向 registry 进行身份验证,以拉取您的认证容器,并使用您的产品。在断开连接的环境中,客户需要将 registry 添加到红帽平台中,以安装您的认证容器。

        重要

        红帽建议自行托管 registry,因为您可以访问整个容器指标并完全控制您的产品访问权限。红帽建议将 Quay.io 用于此目的,但您可以使用任何 Kubernetes 兼容 registry。

    4. Create project

第 15 章 配置容器项目
复制链接

创建容器项目后,新创建的容器项目网页会显示。

容器项目网页由以下标签页组成:

  • 概述 - 包含预认证清单。
  • 镜像 - 显示您从 preflight 工具提交的镜像测试结果。
  • Settings - 允许您配置 registry 和存储库详情。

另外,要对容器项目执行以下操作,请点击容器项目网页上的 Actions 菜单:

15.1. 完成先决条件清单
复制链接

认证的容器是满足红帽最佳实践的打包、分发和维护的应用程序。认证的容器意味着合作伙伴的承诺,以保持其镜像最新状态,并代表红帽客户支持容器平台(包括 OpenShift)的最高级别的信任和可支持性。

要认证容器,您必须完成预认证清单,然后发布您的容器镜像。容器项目的 Overview 选项卡包含预认证清单。预认证清单由一系列您必须完成的任务组成,才能认证和发布您的容器镜像。

在发布容器镜像前,在清单中执行以下任务:

  1. 接受 Red Hat Container 附录
  2. 提供有关容器的存储库详情
  3. 完成您的公司简介
  4. 完整的出口控制问题
  5. 提交容器进行验证
  6. 附加一个已完成的产品列表

15.1.1. 接受 Red Hat Container 附录
复制链接

  1. 要发布任何镜像,请同意有关合作伙伴容器镜像分发的条款。
  2. 导航到 Accept the Red Hat Container 附录 标题,然后单击 Review Accepted terms。此时会显示 Red Hat Partner Connect Container 附录 文档。阅读文档,了解与容器镜像分发相关的术语。

15.1.2. 提供有关容器的详情
复制链接

  1. 导航到 关于容器标题的详细信息,以进入目录中显示的存储库详情。这将允许用户拉取容器镜像。
  2. Add details。您可以导航到 Settings 选项卡。
  3. 输入所有所需的存储库信息。
  4. 填写完所有字段后,单击 Save
注意

所有标记为星号 * 的字段都是必需的,您必须先完成,然后才能继续容器认证。

15.1.3. 完成您的公司简介
复制链接

保持您公司的最新资料。此信息会在目录中发布,以及您的认证产品。

验证:

  1. 导航到 Complete your company profile 标题。
  2. 点清单中的 Review
  3. 若要进行任何更改,请单击 Edit
  4. 点击 Save
注意

在提交 Operator Bundle image 前,请确保完成预认证清单的所有项目,但 测试您的 operator 捆绑包 数据除外。

完成所有步骤后,标题旁边会出现一个绿色勾号,表示配置已完成。

15.1.4. 完整的出口控制问题
复制链接

出口控制问卷 包含一系列问题,红帽法律团队会评估第三方供应商的导出合规性。

合作伙伴的法律代表必须审查并回答问题。红帽需要大约五个工作日来评估响应,并根据红帽批准合作伙伴或延迟决策或请求更多信息。

注意 - 如果您使用 UBI 版本(Universal Base Image)来构建容器镜像,您可以在私有存储库中托管您的镜像。这可让您跳过 Export Compliance。只有在 Red Hat Container Catalog 上托管您的镜像时,才需要此导出合规表单。

15.1.5. 提交容器进行验证
复制链接

在本地设置 preflight 并进入 Submit your container 进行验证 标题,以提交软件认证测试结果。

15.1.6. 附加一个已完成的产品列表
复制链接

您可以创建新产品列表,或将项目附加到现有产品列表中。

15.1.6.1. 创建新产品列表
复制链接

流程

  1. 导航到 Attach a completed product list 标题
  2. Select method 下拉菜单中选择 Attach or edit。这时将显示 Attach product list 弹出窗口。
  3. 单击 Create new product list
  4. Product Name 文本框中,输入所需的产品名称。
  5. 产品列表类型 中,选择所需的产品类型。
  6. 点击 Save
  7. Select method 下拉菜单中选择 View product list 以导航到新产品列表,并输入所有必需的产品列表详情。
  8. 点击 Save

验证

进入 Partner Connect 门户上的项目页面,并导航到 Certification Projects > Attached Listings 列。您可以查看新的附加的产品列表。

15.1.6.2. 将容器项目附加到现有产品列表中
复制链接

流程

  1. 导航到 Attach a completed product list 标题
  2. Select method 下拉菜单中选择 Attach or edit。这时将显示 Attach product list 弹出窗口。
  3. Related product 列表中,点 Select 下拉菜单选择一个或多个产品列表
  4. 点击 Save

验证

进入 Partner Connect 门户上的项目页面,并导航到 Certification Projects > Attached Listings 列。您可以看到所有附加的产品列表。

如果您的产品由多个容器项目组成,您可以将所有必需的容器项目附加到 Listing Details 中的单个产品列表中。

流程

  1. My Work 页面上,选择所需的产品列表。
  2. 在产品页面的 Listing Details 边栏菜单中,单击 Certification Projects 选项。
  3. 单击 Attach Project
  4. Attach Certification projects 弹出窗口中,选择一个或多个容器项目。
  5. 单击 Attach

验证

进入 Partner Connect 门户上的项目页面,并导航到 Certification Projects > Attached Listings 列。您可以查看附加的产品列表。

如果您的产品不再使用附加到产品列表的容器项目,您可以将其删除。

流程

  1. My Work 页面上,单击所需的产品列表。
  2. 在产品页面的 Listing Details 边栏菜单中,单击 Certification Projects 选项。
  3. 选择您要删除的所有附加容器项目,然后单击 Remove

15.2. 查看镜像测试结果
复制链接

images 选项卡显示您从 preflight 工具提交的镜像测试结果。

它显示以下容器镜像详情:

  • 特定镜像 ID
  • 认证测试 - pass/fail - 单击它以了解更多详细信息。
  • Health Index - Container Health Index 是容器镜像可用的最旧、最严重安全更新的测量结果。'a' 比 'F 更最新。如需更多详情,请参阅 Red Hat Container Catalog 内部使用的 Container Health Index grades。
  • 架构 - 镜像的特定架构(如果适用)。
  • created - 处理提交的日期。

  • 操作菜单允许您执行以下任务:

    • Delete Image - 在镜像未发布时点此选项删除您的容器镜像。
    • 同步标签 - 当您更改镜像标签时,请使用此选项同步 Red Hat Partner ConnectRed Hat Container Catalog 上可用的容器镜像信息。
    • Catalog 中的查看 - 当您的容器镜像发布后,点此选项查看 红帽生态系统 容器目录上发布的容器镜像。

15.3. 管理容器项目设置
复制链接

您可以使用 Settings 选项卡配置 registry 和存储库详情。

在以下字段中输入所需详情:

Expand
字段名称描述

容器 registry 命名空间

此字段不可编辑,并从您的公司配置文件中自动填充。例如,mycompany

出站存储库名称

已选择的存储库名称,或者从托管您的镜像的专用 registry 获取的名称。例如,ubi-minimal

仓库概述

生态系统目录列表中显示摘要信息,请参阅 Technical InformationGeneral informationSummary

仓库描述

生态系统目录列表中显示的存储库描述,请访问 Overview 和 Technical InformationGeneral informationDescription

应用程序类别

选择您的软件产品相应的应用程序类型。

支持的平台

选择您的软件产品支持的平台。

主机级别访问

在两个选项之间进行选择:

  • unprivileged - 如果您的容器与主机分离。

    或者

  • privileged - 如果您的容器需要特殊的主机级别特权。

    注意

    如果您的产品功能需要 root 访问权限,则必须在运行 preflight 工具前选择 privileged 选项。这个设置可能由红帽审核。

发行版本类别

在两个选项之间进行选择:

  • 正式发布 - 当您选择这个选项时,应用程序已正式发布并被支持。

    或者

  • beta - 当您选择这个选项时,应用程序会作为预发布候选版本提供。

项目名称

用于内部目的的项目名称。

自动发布

当您启用此选项时,在传递所有认证测试后,容器镜像会在 Red Hat Container Catalog 上自动发布。

技术联系电子邮件地址

您产品的主要技术联系人详细信息。

注意

注:所有标记为星号 * 的字段都是必需的,您必须先完成,然后才能继续容器认证。

第 16 章 运行认证测试套件
复制链接

按照说明运行认证测试套件:

先决条件

  • 您有一个 Red Hat Enterprise Linux (RHEL)系统。

  • 您可以使用 Podman 登录您的镜像 registry。例如: 

    $ podman login --username <your_username> --password <your_password> --authfile ./temp-authfile.json <registry>
    Copy to Clipboard Toggle word wrap
  • 您已在 红帽合作伙伴连接门户 上设置了容器项目。预认证清单必须至少正在进行中。
  • 您有一个 pyxis API 密钥

流程

  1. 使用 Podman 构建容器镜像。

    注意

    使用 Podman 构建容器镜像是可选的。

  2. 将容器上传到您选择的任何私有或公共 registry。
  3. 下载最新的 Preflight 认证实用程序

  4. 执行以下步骤验证正在认证的容器的功能:

    1. 运行 Preflight 认证工具: 

      $ preflight check container \
registry.example.org/<namespace>/<image_name>:<image_tag>
      Copy to Clipboard Toggle word wrap

    2. 检查日志信息并根据需要更改容器。如需更多信息,请参阅故障排除信息页面

      如果发现任何问题,可以 提交支持问题单 或运行以下命令: 

      $ preflight support
      Copy to Clipboard Toggle word wrap

      红帽欢迎社区贡献。如果您遇到与 Preflight 或 Red Hat Partner Connect Portal 相关的错误,或者对功能改进或贡献有建议,请报告问题。在报告问题前,请确保查看打开的问题以避免重复。

    3. 运行容器认证实用程序并进行更改,直到所有测试都通过。

  5. 运行以下命令来提交认证测试结果: 

    $ preflight check container \
registry.example.org/<namespace>/<image_name>:<image_tag> \
--submit \
--pyxis-api-token=<api_token> \
--certification-project-id=<project_id> \
--docker-config=./temp-authfile.json
    Copy to Clipboard Toggle word wrap

    将测试结果提交至红帽合作伙伴连接门户后,红帽将扫描容器的层以了解软件包漏洞。

  6. 通过进入到 Red Hat Partner Connect 门户中的 Images 选项卡,查看认证项目 UI 中的认证和漏洞测试结果。如需更多信息 ,请参阅查看镜像测试结果

其他资源

如果您要认证 RHEL 应用程序,请按照 非容器认证工作流 验证产品的功能。

您还可以使用红帽认证的工具(具有内置 pre-flight 工具)认证 RHEL 应用程序容器,从而可让您验证容器。

流程

按照以下步骤使用内置的 preflight 工具:

  1. 安装 preflight 软件包:

    # dnf install redhat-certification-preflight

  2. 运行 rhcert 并按照说明进行操作:

    # rhcert-run

  3. 查看并保存测试结果:

    # rhcert-cli save

第 17 章 发布认证容器
复制链接

合作伙伴 Connect 项目 上的 preflight 工具提交测试结果后,会针对项目中的漏洞扫描您的容器镜像。扫描成功完成后,将为您的镜像启用发布按钮。点击发布按钮后,您的镜像将在 红帽生态系统目录 上提供。

重要

Red Hat 软件认证不会在其功能或所选平台上执行对合作伙伴的产品进行测试。认证候选产品质量保证的所有方面均保留合作伙伴的职责。

17.1. 授权 Registry
复制链接

  1. 如果要使用授权 registry for Red Hat Marketplace,请在 registry.connect.redhat.com 上托管您的镜像。
  2. 要在 http://registry.connect.redhat.com 上托管您的镜像,请使用 registry.marketplace.redhat.com/rhm 替换所有镜像引用来使用此 docker registry 来扫描您的 Operator 元数据捆绑包。
  3. 从那里应用 ImageContentSourcePolicy 以指向 registry.marketplace.redhat.com/rhmregistry.connect.redhat.com

部分 III. Operator 认证
复制链接

第 18 章 使用 Operator
复制链接

注意

在进行 Red Hat Operator 认证前,将您的 Operator 镜像或必要的容器镜像作为容器应用程序项目认证。在开始认证 Operator 捆绑包前,Operator Bundle 中引用的所有容器都必须经过红帽生态系统目录中认证并发布。

18.1. Operator 简介
复制链接

Kubernetes 操作器是打包、部署和管理 Kubernetes 应用程序的方法。我们的 Operator 认证计划确保合作伙伴的 Operator 由 OpenShift 平台上的 Operator Lifecycle Manager 可部署,并使用红帽认证的容器镜像正确格式化。

18.2. Operator 的认证工作流
复制链接

注意

红帽建议您在开始认证过程前具有红帽认证工程师或具有同等经验。

任务摘要

认证工作流包括三个主要步骤:

  1. 第 18.2.1 节 “认证在线”
  2. 第 4.2 节 “认证和测试”
  3. 第 18.2.3 节 “在红帽生态系统目录中发布经过认证的 Operator”

18.2.1. 认证在线
复制链接

执行在板上认证概述的步骤:

  1. 加入 Red Hat Connect for Technology Program ( Red Hat Connect for Technology Program (Red Hat Connect for Technology Program)
  2. 添加软件产品以认证。
  3. 填写您的公司简介。
  4. 完成预认证清单。
  5. 为您的产品创建一个 OpenShift Operator 项目捆绑包。

18.2.2. 认证和测试
复制链接

要运行认证测试:

  1. 派生红帽上游存储库。
  2. 在测试环境中安装并运行红帽认证管道。
  3. 检查测试结果并进行故障排除(若有问题)。
  4. 通过拉取请求向红帽提交认证结果。
  5. 如果您希望红帽运行所有测试,请创建一个拉取请求。这会触发认证托管管道,以便在红帽基础架构上运行所有认证检查。

完成所有认证检查后,您可以向红帽提交测试结果。您可以根据您的个人目标打开或关闭此结果提交步骤。提交测试结果后,它会触发红帽基础架构来自动合并拉取请求并发布您的 Operator。

下图显示了在本地测试 Operator:

图 18.1. 本地测试 Operator 概述

一个流图表,它是本节中描述的 OpenShift Operator 工作流的可视化表示。
View larger image
一个流图表,它是本节中描述的 OpenShift Operator 工作流的可视化表示。
注意

红帽建议您选择此路径来测试 Operator。

第 19 章 创建 Operator 捆绑包项目
复制链接

先决条件

在创建 operator 捆绑包前,将您的 Operator 镜像或必要的容器镜像作为容器应用程序项目认证。

流程

  1. 登录到 Red Hat Partner Connect 门户

    这时将显示 Access the partner portal 网页。

  2. 导航到 认证技术门户 标题,再单击 Log in for 技术合作伙伴

  3. 输入登录凭据并点 Login

    此时会显示 Red Hat Partner Connect 网页。

  4. 在页面标头中,选择 Product Certification,再单击 Manage Certification projects

    My Work 网页会显示 Product Listings and Certification Projects (如果可用)。

  5. 点击 Create Project
  6. 您要在对话框中认证的平台,选择 Red Hat OpenShift 单选按钮并点 Next。
  7. 在您要认证? 对话框中,选择 Operator Bundle Image 单选按钮,然后点 Next

  8. Create operator bundle image Certification 项目 网页上,提供以下详细信息以创建您的项目。

    重要

    您无法在创建项目后更改项目名称及其分发方法。

    1. 项目名称 :输入项目名称。此名称没有发布,仅用于内部使用。

    2. 专业认证 - 此功能允许您认证专门的 operator。

      1. 如果要认证专用操作器,选择 My operator 是一个 CNI 或 CSI 复选框。

      2. 选择所需的 Operator:

        1. Container Network Interface (CNI)
        2. 云存储接口(CSI)

    3. 发行选项 - 为发布 Operator 选择以下选项之一:

      1. 仅限 Web 目录(catalog.redhat.com) - Operator 已发布到 Red Hat Container Catalog,在 Red Hat OpenShift OperatorHub 或 Red Hat Marketplace 中不可见。当您创建新项目时,这个选项适用于不希望其 Operator 在 OpenShift 中可公开安装但需要验证认证的合作伙伴。只有在您有一个未满足 OpenShift In-product Catalog (认证)选项中的发布、权利或其他业务要求时,才选择此选项。
      2. OpenShift In-product Catalog (Certified) - Operator 在 Red Hat Container Catalog 上列出,并发布到 OpenShift OperatorHub 中的认证 operator 索引。
      3. OpenShift In-product Catalog (Red Hat Marketplace) - Operator 已发布到 Red Hat Container Catalog,并嵌入在 OpenShift 中的 OperatorHub 中,带有一个特殊的 Marketplace 标签。要启用此嵌入式列表来定向到 Red Hat Marketplace 上的产品页面,您必须在完成 Red Hat Marketplace 之前,使用 Red Hat Marketplace 完成额外的 板载 步骤,然后再完成认证。
    4. Create project

第 20 章 配置 Operator 捆绑包
复制链接

创建项目后,新创建的 Operator Bundle project 网页会显示。

Operator 捆绑包网页包含以下标签页:

  • 概述 - 包含预认证清单。
  • 测试结果 - 在运行认证后显示测试结果。
  • Update Graph - 显示 OpenShift 版本、频道状态、更新路径和其他可用频道详情。
  • Settings - 允许您配置 registry 和存储库详情。

另外,要在 Operator 捆绑包上执行以下操作,请点击 Operator 捆绑包网页上的 Actions 菜单:

20.1. 完成先决条件清单
复制链接

Operator 捆绑包项目的 Overview 选项卡包含预认证清单。预认证清单由您必须完成的一系列任务组成,才能认证和发布 Operator 捆绑包。

在发布 Operator Bundle 镜像前,在清单中执行以下任务:

  1. 接受 Red Hat Container 附录
  2. 提供用于拉取容器的存储库详情
  3. 完成您的公司简介
  4. 测试 Operator 捆绑包数据并提交拉取请求
  5. 附加一个已完成的产品列表
  6. 验证 Red Hat OpenShift 中 CNI 或 CSI 的功能

20.1.1. 接受 Red Hat Container 附录
复制链接

在发布任何镜像之前,用户必须同意合作伙伴容器镜像的发行版。

导航到 Accept the Red Hat Container 附录 标题,然后单击 Review Accepted terms。阅读 Red Hat Partner Connect Container 附录文档,该文档显示了与容器镜像分发相关的术语。

20.1.2. 提供用于拉取容器的存储库详情
复制链接

  1. 导航到 用于拉取容器标题的 Provide 存储库详情,以进入 Catalog 中显示的存储库详情,以便客户可以拉取容器镜像,然后点 Add details
  2. Settings 选项卡中,输入所有必需的存储库信息,然后单击 Save
注意

所有标记为星号 * 的字段都必须完成,然后才能继续 Operator 捆绑包认证。

20.1.3. 完成您的公司简介
复制链接

保持您公司的最新资料。此信息会在目录中发布,以及您的认证产品。

验证:

  1. 导航到 Complete your company profile 标题。
  2. 点清单中的 Review
  3. 若要进行任何更改,请单击 Edit
  4. 点击 Save
注意

在提交 Operator Bundle image 前,请确保完成预认证清单的所有项目,但 测试您的 operator 捆绑包 数据除外。

完成所有步骤后,标题旁边会出现一个绿色勾号,表示配置已完成。

20.1.4. 将 Operator 捆绑包发布到 Red Hat Marketplace
复制链接

如果您计划将 Operator 捆绑包发布到 Red Hat Marketplace,进入 Complete Red Hat Marketplace publication tasks 标题并点 Become a seller

Red Hat Marketplace join 团队将与您联系,并与您合作批准此清单项目。如果遇到任何延迟,请创建一个支持问题单

完成先决条件清单后,您现在可以继续并提交 Operator Bundle 镜像。这是完成 Operator Bundle 镜像认证的最后一步。

要运行 Operator 认证套件,请导航到 Test your operator 捆绑包数据,并提交拉取请求 标题并点 View Options。它显示两个标签页,以确定如何测试和验证您的 Operator。

20.1.5.1. 使用 OpenShift 进行本地测试
复制链接

使用您选择的 OpenShift 集群进行测试和认证。这个选项允许您将提供的管道集成到您自己的工作流中,以便持续验证和访问全面的日志,以加快反馈循环。这是推荐的方法。如需更多信息 ,请参阅 在本地运行认证测试套件

20.1.5.2. 使用红帽托管的管道进行测试
复制链接

这种方法与您的 OpenShift 软件测试与认证分开。在您要认证的 OpenShift 版本中测试了 Operator 后,如果您不希望全面日志,或者没有准备好将其包含在您自己的工作流中,您可以使用这个方法。如需更多信息,请参阅使用红帽托管管道运行认证套件

比较认证测试选项

长期以来,红帽建议使用"本地测试"选项(也称为 CI Pipeline)来测试您的 Operator。此方法允许您将测试合并到 CI/CD 工作流和开发过程中,从而确保您的产品在 OpenShift 平台上正常工作,并简化 Operator 的未来更新和重新认证。

虽然最初,了解方法和调试错误可能需要一些时间,但它是一个高级的方法,并提供最佳和最快速的反馈。

另一方面,红帽建议使用托管管道,在很多事件上运行红帽基础架构选项,比如在紧急期限工作时,或者在没有足够的资源和时间使用工具时。

您可以将托管管道与 CI/local 管道同时使用,因为您学习了长期本地工具。

20.1.6. 附加一个已完成的产品列表
复制链接

此功能允许您创建新产品列表,或将项目附加到新项目的现有 OpenShift 产品列表中。

  1. 导航到 Attach a completed product list 标题。
  2. Select method 下拉菜单中选择 Attach or edit。此时会显示 Attach product list 页面。

  3. 决定是否将项目附加到现有产品列表中,还是要创建新产品列表:

    1. 将项目附加到现有产品列表中:

      1. Related product 列表中,点 Select 下拉菜单选择产品列表。
      2. 点击 Save

    2. 要创建新产品列表,请执行以下操作:

      1. 单击 Create new product list
      2. Product Name 文本框中,输入所需的产品名称。
      3. 产品列表类型 中,选择所需的产品类型,例如 - OpenShift Operator。
      4. 点击 Save
  4. Select method 下拉菜单中选择 View product list 以导航到新产品列表并填写所有所需的产品列表详情。
  5. 点击 Save

20.1.7. 验证 Red Hat OpenShift 中 CNI 或 CSI 的功能
复制链接

注意

此功能仅适用于 CNI 和 CSI operator。

此功能允许您在本地运行认证测试,并使用红帽认证团队共享测试结果。

验证专用 CNI 或 CSI Operator 的功能:

  1. 选择这个选项并点 Start。在 红帽认证 门户中会创建一个新项目,您会被重定向到适当的项目门户页面。
  2. 在 Summary 选项卡中,进入到 Files 部分并点击 Upload,以上传您的测试结果。
  3. Discussions 部分添加所有相关注释,然后点 Add Comment。

红帽将检查您提交的结果文件并验证您的专用 CNI 或 CSI operator。验证成功后,您的 Operator 将被批准并发布。

20.2. 查看测试结果
复制链接

运行测试认证套件后,进入 Project 标头上的 Test Results 选项卡,以查看您的测试结果。

它有两个标签页:

  • 结果 - 显示所有认证测试摘要及其结果。
  • 工件 - 显示日志文件。

20.3. 使用 Update Graph
复制链接

您可以通过 Update Graph 功能查看和更新 OpenShift 版本、频道状态、更新路径和其他可用频道详情。

导航到项目标头中的 Update Graph 选项卡,以查看和更新 Operator 项目所需的详情。如需有关升级的更多信息,请参阅 Operator 更新文档 标题。

20.4. 管理项目设置
复制链接

您可以通过 Settings 选项卡配置 registry 和存储库详情。

在以下字段中输入所需详情:

  • 容器 registry 命名空间
  • 出站存储库名称
  • 授权 GitHub 用户帐户
  • OpenShift Object YAML - 如果使用私有容器 registry,则使用此选项添加 docker config.json secret。
  • 红帽生态系统目录详情 - 包括存储库摘要、存储库描述、应用程序类别和支持的平台。
  • 项目详情 - 它包括项目名称、技术联系人和电子邮件地址。
重要

此信息适用于内部使用,未发布。

注意

所有标记为星号 * 的字段都必须完成,然后才能继续 Operator 捆绑包认证。

第 21 章 本地运行认证测试套件
复制链接

通过选择此选项,您可以在您自己的 OpenShift 集群上运行认证工具。

注意

红帽建议您遵循此方法认证您的 Operator。

这个选项是合作伙伴的高级方法:

  • 有兴趣将工具集成到自己的开发人员工作流中,以进行持续验证。
  • 想要访问全面的日志以获得更快速的反馈循环,
  • 或具有在默认 OpenShift 安装中没有的依赖项。

以下是该过程的概述:

图 21.1. 本地运行认证测试套件的概述

一个流图,它是在本地运行认证测试套件的可视化表示
View larger image
一个流图,它是在本地运行认证测试套件的可视化表示

您可以使用基于 Tekton 的 OpenShift 管道来运行认证测试,从而实时查看全面的日志和调试信息。当您准备好认证并发布 Operator 捆绑包后,管道会代表您向 GitHub 提交拉取请求(PR)。如果一切都成功通过,您的 Operator 会自动合并并发布在 Red Hat Container Catalog 和 OpenShift 中的嵌入式 operatorHub 中。

按照说明在本地运行认证测试套件:

先决条件

要在 Red Hat OpenShift 测试环境中认证您的软件产品,请确保:

  • 已安装 OpenShift 集群版本 4.8 或更高版本。
注意

OpenShift Operator Pipeline 为 5GB 卷创建一个持久性卷声明。如果您 在裸机上运行 OpenShift 集群,请确保配置了 动态卷置备。如果您没有配置动态卷置备,请考虑设置 本地卷。要防止 Permission Denied 错误,请使用以下命令修改本地卷存储路径以使用 container_file_t SELinux 标签: 

chcon -Rv -t container_file_t "storage_path(/.*)?"
Copy to Clipboard Toggle word wrap
  • 您有具有集群管理员特权的 admin 用户的 kubeconfig 文件。
  • 您有一个有效的 operator 捆绑包。
  • 已安装 OpenShift CLI 工具(oc)版本 4.7.13 或更高版本。
  • 已安装 Git CLI 工具(git)版本 2.32.0 或更高版本。
  • 已安装 Tekton CLI 工具(tkn)版本 0.19.1 或更高版本。

21.1. 添加 Operator 捆绑包
复制链接

在 fork 的 operators 目录中,有一系列子目录。

21.1.1. 如果您在之前已认证了这个 operator -
复制链接

在 operators 目录中为您的 Operator 找到对应的文件夹。将 Operator Bundle 的内容放在这个目录中。

注意

确保您的软件包名称与 Operator 的现有文件夹名称一致。对于 Red Hat Marketplace 捆绑包,您必须手动在软件包名称中添加后缀 "-rhmp"。在以前的版本中,这会自动完成,因此在手动更改时不会影响客户升级。

21.1.2. 如果您新认证这个 operator -
复制链接

如果新认证 Operator 没有 Operator 的父目录下的子目录,则必须创建一个子目录。

在 operators 下创建新目录。这个目录的名称应与 Operator 的软件包名称匹配。例如,my-operator

  • 在这个 operator 目录中,使用 Operator 名称创建一个新子目录,如 < my-operator&gt;,并为 < V1.0 > 创建一个版本目录,并放置您的捆绑包。这些目录对于之前已通过认证的 operator 预加载。 

    ├── operators
    └── my-operator
        └── v1.0
    Copy to Clipboard Toggle word wrap
  • 在 version 目录下,添加一个 manifests 文件夹,其中包含所有 OpenShift 清单,包括 clusterserviceversion.yaml 文件。

推荐的目录结构

以下示例演示了推荐的目录结构。 

├── config.yaml
├── operators
    └── my-operator
        ├── v1.4.8
        │   ├── manifests
        │   │   ├── cache.example.com_my-operators.yaml
        │   │   ├── my-operator-controller-manager-metrics-service_v1_service.yaml
        │   │   ├── my-operator-manager-config_v1_configmap.yaml
        │   │   ├── my-operator-metrics-reader_rbac.authorization.k8s.io_v1_clusterrole.yaml
        │   │   └── my-operator.clusterserviceversion.yaml
        │   └── metadata
        │       └── annotations.yaml
        └── ci.yaml
Copy to Clipboard Toggle word wrap
Expand
配置文件描述

config.yaml

在这个文件中,包含 Operator 的组织。它可以是 certified-operatorsredhat-marketplace。例如,机构: certified-operators

注意

如果您要将 Operator for Red Hat Marketplace 发行版本作为目标,则必须在 clusterserviceversion.yaml 中包含以下注解:

marketplace.openshift.io/remote-workflow: https://marketplace.redhat.com/en-us/operators/ {package_name}/pricing?utm_source=openshift_console

marketplace.openshift.io/support-workflow:https://marketplace.redhat.com/en-us/operators/{package_name}/support?utm_source=openshift_console

ci.yaml

在此文件中,包括您的 Red Hat 技术合作伙伴项目 ID 和此 operator 的组织目标。

例如,cert_project_id: <your partner project id>。此文件存储成功认证流程所需的所有元数据。

annotations.yaml

在此文件中,包含 OpenShift 版本的注解,它引用 OpenShift 版本的范围。例如,v4.8-v4.10 表示 4.8 到 4.10 版本。将其添加到任何现有内容。

例如,NTT : OpenShift 注解 com.redhat.openshift.versions: v4.8-v4.10com.redhat.openshift.versions 字段(作为 operator 捆绑包中的元数据的一部分)用于确定 Operator 是否包含在给定 OpenShift 版本的认证目录中。您必须使用它来指定 Operator 支持的一个或多个 OpenShift 版本。

请注意,在版本之前必须使用字母 'v',且不允许使用空格。语法如下:

  • 单一版本表示该 Operator 在 OpenShift 或更高版本上被支持。Operator 会自动添加到后续 OpenShift 版本的已认证目录中。
  • 前面带有 '=' 的单个版本表示 Operator 只在该特定版本的 OpenShift 上被支持。例如,使用 =v4.8 会将 Operator 添加到 OpenShift 4.8 认证的目录中,但不用于后续 OpenShift 版本。
  • 范围可用于指示仅支持该范围内的 OpenShift 版本。例如,使用 v4.8-v4.10 会将 Operator 添加到 OpenShift 4.8 到 4.10 的认证目录中,但不适用于 OpenShift 4.11 或 4.12。

21.2. 分叉软件仓库
复制链接

  1. 登录 GitHub,再分叉红帽OpenShift 操作器上游存储库。
  2. 根据您要分发的 Catalogs,从下表派生适当的软件仓库:
Expand
目录上游存储库

认证目录

https://github.com/redhat-openshift-ecosystem/certified-operators

Red Hat Marketplace

https://github.com/redhat-openshift-ecosystem/redhat-marketplace-operators

  1. 克隆 fork 的 certified-operators 存储库。
  2. 将 Operator 捆绑包的内容添加到已分叉仓库中的 operators 目录中。

如果要在多个目录中发布 Operator 捆绑包,您可以分叉每个目录并为每个分叉完成一次认证。

21.3. 安装 OpenShift Operator Pipeline
复制链接

先决条件

OpenShift 集群上的管理员特权。

流程

您可以通过两种方法安装 OpenShift Operator Pipeline:

21.3.1. 自动化过程
复制链接

红帽建议使用自动过程来安装 OpenShift Operator Pipeline。自动化过程可确保在执行 CI Pipeline 前正确配置了集群。此流程将 Operator 安装到集群中,可帮助您自动更新所有 CI Pipeline 任务,而无需手动干预。这个过程还支持多租户场景,您可以在其中在同一集群中迭代测试多个 operator。

按照以下步骤通过 Operator 安装 OpenShift Operator Pipeline:

注意

在安装 Operator Pipeline 前,保留 Operator 捆绑包的源文件。

21.3.1.1. 先决条件
复制链接

在安装 OpenShift Operator Pipeline 之前,在终端窗口中运行以下命令配置所有先决条件:

注意

Operator 会监视所有命名空间。因此,如果其他命名空间中已存在 secret/configs/etc,您可以使用现有命名空间来安装 Operator Pipeline。

  1. 新建命名空间: 

    oc new-project oco
    Copy to Clipboard Toggle word wrap

  2. 设置 kubeconfig 环境变量: 

    export KUBECONFIG=/path/to/your/cluster/kubeconfig
    Copy to Clipboard Toggle word wrap
    注意

    kubeconfig 变量用于在测试并运行认证检查下部署 Operator。 

    oc create secret generic kubeconfig --from-file=kubeconfig=$KUBECONFIG
    Copy to Clipboard Toggle word wrap

  3. 执行以下命令提交认证结果:

    • 将 github API 令牌添加到创建拉取请求的存储库: 

      oc create secret generic github-api-token --from-literal GITHUB_TOKEN=<github token>
      Copy to Clipboard Toggle word wrap

    • 添加红帽容器 API 访问密钥: 

      oc create secret generic pyxis-api-secret --from-literal pyxis_api_key=< API KEY >
      Copy to Clipboard Toggle word wrap

      此 API 访问密钥与您的 Red Hat Partner Connect 门户上的唯一合作伙伴帐户特别相关。

  4. 在裸机上运行 OpenShift 集群的先决条件:

    1. 如果您在裸机上运行 OpenShift 集群,Operator 管道需要运行 5Gi 的持久性卷。以下 yaml 模板可帮助您使用本地存储创建 5Gi 的持久性卷。

      例如: 

      apiVersion: v1
kind: PersistentVolume
metadata:
  name: my-local-pv
spec:
  capacity:
    storage: 5Gi
  volumeMode: Filesystem
  accessModes:
    - ReadWriteOnce
  persistentVoumeReclaimPolicy: Delete
  local:
    path: /dev/vda4  ← use a path from your cluster
  nodeAffinity:
    required:
      nodeSelectorTerms:
        - matchExpressions:
          - key: kubernetes.io/hostname
            operator: In
            values:
              - crc-8k6jw-master-0  ← use the name of one of your cluster’s node
      Copy to Clipboard Toggle word wrap

    2. CI 管道自动构建 Operator 捆绑包镜像和捆绑包镜像索引,以进行测试和验证。默认情况下,管道在集群的 OpenShift 容器注册表中创建镜像。

      要在裸机上使用此 registry,请在运行管道前设置内部镜像 registry。有关设置内部镜像 registry 的详细信息,请参阅镜像 registry 存储配置

      如果要使用外部私有 registry,请通过添加 secret 来提供集群的访问凭证。具体步骤请参阅 使用私有容器 registry

21.3.1.2. 通过 Operator 安装管道
复制链接

按照以下步骤将 Operator 添加到集群中:

  1. 安装 Operator 认证 Operator。

    • 登录您的 OpenShift 集群控制台。
    • 在主菜单中导航到 OperatorsOperatorHub
    • All Items - Filter by keyword filter/search 框中键入 Operator Certification Operator
    • 当显示时,选择 Operator Certification Operator 标题。此时会显示 Operator Certification Operator 页面。
    • Install。此时会显示 Install Operator 网页。
    • 向下滚动并单击 Install
    • View Operator 来验证安装。

  2. 为新安装的 Operator Pipeline 应用自定义资源。

    • 登录您的 OpenShift 集群控制台。
    • Projects 下拉菜单中选择您要应用自定义资源的项目。

    • 展开 Operator Pipeline,然后点 Create instance

      Create Operator Pipeline 屏幕会使用默认值自动填充。

      注意

      如果您根据 先决条件 创建了所有资源名称,则不需要更改任何默认值。

    • Create

    自定义资源已创建,Operator 开始协调。

验证步骤

  1. 检查自定义资源的条件。

    • 登录您的 OpenShift 集群控制台。
    • 进入到您新创建的 Operator Pipeline 自定义资源的项目,并点击 Custom Resource。
    • 向下滚动到 Conditions 部分,再检查所有 Status 值是否都设为 True
注意

如果资源无法协调,请检查 Message 部分以识别后续步骤来修复错误。

  1. 检查 Operator 日志。

    • 在终端窗口中运行以下命令: 

      oc get pods -n openshift-marketplace
      Copy to Clipboard Toggle word wrap

    • 记录 certification-operator-controller-manager pod 的完整 podman 名称并运行以下命令: 

      oc get logs -f -n openshift-marketplace <pod name> manager
      Copy to Clipboard Toggle word wrap
    • 检查 Operator 的协调是否发生。
21.3.1.3. 执行管道
复制链接

要执行管道,请确保在目录中的 templates 文件夹中有 workspace-template.yml 文件,从中要运行 tkn 命令。

要创建 workspace-template.yml 文件,在终端窗口中运行以下命令: 

cat <<EOF> workspace-template.yml
spec:
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 5Gi
EOF
Copy to Clipboard Toggle word wrap

您可以通过 不同的方法 运行管道。

21.3.2. 手动过程
复制链接

按照以下步骤手动安装 OpenShift Operator Pipeline:

21.3.2.1. 安装 OpenShift Pipeline Operator
复制链接
  1. 登录您的 OpenShift 集群控制台。
  2. 在主菜单中导航到 Operators > OperatorHub
  3. All Items - Filter by keyword filter/search 框中键入 OpenShift Pipelines
  4. 显示 Red Hat OpenShift Pipelines 标题时选择它。显示 Red Hat OpenShift Pipelines 页面。
  5. Install。此时会显示 Install Operator 网页。
  6. 向下滚动并单击 Install
21.3.2.2. 配置 OpenShift (oc) CLI 工具
复制链接

用于配置对集群的访问的文件称为 kubeconfig 文件。这是引用配置文件的通用方法。使用 kubeconfig 文件组织集群、用户、命名空间和身份验证机制的信息。

kubectl 命令行工具使用 kubeconfig 文件来查找它选择集群所需的信息,并与集群的 API 服务器通信。

  1. 在终端窗口中设置 KUBECONFIG 环境变量: 
export KUBECONFIG=/path/to/your/cluster/kubeconfig
Copy to Clipboard Toggle word wrap

kubeconfig 文件将 Operator 部署到测试并运行认证检查。

21.3.2.3. 创建 OpenShift 项目
复制链接

创建一个新命名空间,以在管道中启动工作。

要创建命名空间,在终端窗口中运行以下命令: 

oc adm new-project <my-project-name> # create the project
oc project <my-project-name> # switch into the project
Copy to Clipboard Toggle word wrap
重要

不要在 default 项目或命名空间中运行管道。红帽建议为管道创建一个新项目。

21.3.2.4. 添加 kubeconfig secret
复制链接

创建包含 kubeconfig 的 kubernetes secret,以便向运行认证管道的集群进行身份验证。认证管道需要在 OpenShift 集群上执行 Operator 测试部署。

要添加 kubeconfig secret,在终端窗口中运行以下命令: 

oc create secret generic kubeconfig --from-file=kubeconfig=$KUBECONFIG
Copy to Clipboard Toggle word wrap
21.3.2.5. 从 Red Hat Catalog 导入 Operator
复制链接

从红帽目录 导入 Operator

在终端窗口中运行以下命令: 

oc import-image certified-operator-index \
  --from=registry.redhat.io/redhat/certified-operator-index \
  --reference-policy local \
  --scheduled \
  --confirm \
  --all
oc import-image redhat-marketplace-index \
  --from=registry.redhat.io/redhat/redhat-marketplace-index \
  --reference-policy local \
  --scheduled \
  --confirm \
  --all
Copy to Clipboard Toggle word wrap
注意

如果您在 IBM Power 集群中将 OpenShift 用于 ppc64le 架构,请运行以下命令以避免权限问题:

oc adm policy add-scc-to-user anyuid -z pipeline

此命令将 anyuid 安全性上下文约束(SCC)赋予默认的管道服务帐户。

21.3.2.6. 安装认证管道依赖项
复制链接

在终端窗口中,使用以下命令在集群中安装认证管道依赖项: 

$git clone https://github.com/redhat-openshift-ecosystem/operator-pipelines
$cd operator-pipelines
$oc apply -R -f ansible/roles/operator-pipeline/templates/openshift/pipelines
$oc apply -R -f ansible/roles/operator-pipeline/templates/openshift/tasks
Copy to Clipboard Toggle word wrap
21.3.2.7. 配置提交认证结果的存储库
复制链接

在终端窗口中,运行以下命令来配置存储库以提交认证结果:

21.3.2.7.1. 添加 GitHub API 令牌
复制链接

执行所有配置后,管道可以自动打开拉取请求,以将 Operator 提交到红帽。

要启用此功能,请添加 GitHub API Token,在运行管道时使用 --param submit=true

oc create secret generic github-api-token --from-literal GITHUB_TOKEN=<github token>
Copy to Clipboard Toggle word wrap
21.3.2.7.2. 添加 Red Hat Container API 访问密钥
复制链接

添加您从红帽接收的特定容器 API 访问密钥: 

oc create secret generic pyxis-api-secret --from-literal pyxis_api_key=< API KEY >
Copy to Clipboard Toggle word wrap
21.3.2.7.3. 启用摘要固定
复制链接
注意

此步骤对于向红帽提交认证结果是必需的。

OpenShift Operator 管道可以自动将捆绑包中的所有镜像标签替换为镜像 Digest SHA。这允许管道确保是否使用所有镜像的固定版本。管道将捆绑包的固定版本作为新分支提交到 GitHub 存储库。

要启用此功能,请添加一个能够作为 secret 访问 GitHub 的私钥。

  1. 使用 Base64 对可访问包含捆绑包的 GitHub 存储库的私钥进行编码。 

    base64 /path/to/private/key
    Copy to Clipboard Toggle word wrap

  2. 创建包含 base64 编码的私钥的 secret。 

    cat << EOF > ssh-secret.yml
kind: Secret
apiVersion: v1
metadata:
  name: github-ssh-credentials
data:
  id_rsa: |
    <base64 encoded private key>
EOF
    Copy to Clipboard Toggle word wrap

  3. 在集群中添加 secret。 

    oc create -f ssh-secret.yml
    Copy to Clipboard Toggle word wrap
21.3.2.7.4. 使用私有容器 registry
复制链接

管道会自动构建 Operator 捆绑包镜像和捆绑包镜像索引,以进行测试和验证。默认情况下,管道在集群的 OpenShift Container Registry 中创建镜像。如果要使用外部私有 registry,则必须通过在集群中添加 secret 来提供凭证。 

oc create secret docker-registry registry-dockerconfig-secret \
    --docker-server=quay.io \
    --docker-username=<registry username> \
    --docker-password=<registry password> \
    --docker-email=<registry email>
Copy to Clipboard Toggle word wrap

21.4. 执行 OpenShift Operator 管道
复制链接

您可以使用以下方法运行 OpenShift Operator 管道。

提示

在以下示例中,根据您的要求删除或添加参数和工作区。

如果您使用 Red Hat OpenShift Local,以前称为 Red Hat CodeReady Containers (CRC)或 Red Hat OpenShift on IBM Power for ppc64le 架构,请将以下 tekton CLI 参数传递给每个 ci pipeline 命令以避免权限问题:

--pod-template templates/crc-pod-template.yml

故障排除

如果您的 OpenShift Pipelines operator 1.9 或更高版本无法正常工作,请按照以下步骤修复它:

先决条件

在创建自定义安全性上下文约束(SCC)前,请确保您具有集群的管理员特权。

流程

要使 OpenShift Pipelines operator 1.9 或更高版本正常工作,并在需要特权升级的 ci-pipeline 中执行一部分任务,创建一个自定义安全性上下文约束(SCC),并使用下列命令将它链接到 pipeline 服务帐户:

  1. 创建新 SCC: 

    oc apply -f ansible/roles/operator-pipeline/templates/openshift/openshift-pipelines-custom-scc.yml
    Copy to Clipboard Toggle word wrap

  2. 将新 SCC 添加到 ci-pipeline 服务帐户: 

    oc adm policy add-scc-to-user pipelines-custom-scc -z pipeline
    Copy to Clipboard Toggle word wrap

其他资源

如需有关 SCC 的更多信息,请参阅关于安全性上下文约束

21.4.1. 运行 Minimal 管道
复制链接

流程

在终端窗口中运行以下命令: 

GIT_REPO_URL=<Git URL to your certified-operators fork >
BUNDLE_PATH=<path to the bundle in the Git Repo> (For example - operators/my-operator/1.2.8)

tkn pipeline start operator-ci-pipeline \
  --param git_repo_url=$GIT_REPO_URL \
  --param git_branch=main \
  --param bundle_path=$BUNDLE_PATH \
  --param env=prod \
  --workspace name=pipeline,volumeClaimTemplateFile=templates/workspace-template.yml \
  --showlog
Copy to Clipboard Toggle word wrap

运行命令后,管道会提示您提供额外的参数。接受所有默认值以完成管道执行。

以下被设置为 default,不需要显式包含,但如果 kubeconfig secret 在不同名称下创建,则可以被覆盖。 

--param kubeconfig_secret_name=kubeconfig \
--param kubeconfig_secret_key=kubeconfig
Copy to Clipboard Toggle word wrap

如果您在 ppc64le 和 s390x 架构上运行 ci 管道,请从默认值 quay.io/redhat-isv/operator-pipelines-images:released 改为 quay.io/redhat-isv/operator-pipelines-images:multi-arch

故障排除

如果您在使用 SSH URL 时收到 Permission Denied 错误,请尝试 GITHUB HTTPS URL。

21.4.2. 使用镜像摘要固定运行管道
复制链接

先决条件

执行 启用摘要固定的指令

流程

在终端窗口中运行以下命令: 

GIT_REPO_URL=<Git URL to your certified-operators fork >
BUNDLE_PATH=<path to the bundle in the Git Repo> (ie: operators/my-operator/1.2.8)
GIT_USERNAME=<your github username>
GIT_EMAIL=<your github email address>

tkn pipeline start operator-ci-pipeline \
  --param git_repo_url=$GIT_REPO_URL \
  --param git_branch=main \
  --param bundle_path=$BUNDLE_PATH \
  --param env=prod \
  --param pin_digests=true \
  --param git_username=$GIT_USERNAME \
  --param git_email=$GIT_EMAIL \
  --workspace name=pipeline,volumeClaimTemplateFile=templates/workspace-template.yml \
  --workspace name=ssh-dir,secret=github-ssh-credentials \
  --showlog
Copy to Clipboard Toggle word wrap

故障排除

当您收到错误 - 无法读取 https://github.com的 Username 时,请提供 --param git_repo_url 的 SSH github URL。

21.4.3. 使用私有容器 registry 运行管道
复制链接

先决条件

使用私有容器 registry 执行包含在 下的指令。

流程

在终端窗口中运行以下命令: 

GIT_REPO_URL=<Git URL to your certified-operators fork >
BUNDLE_PATH=<path to the bundle in the Git Repo> (ie: operators/my-operator/1.2.8)
GIT_USERNAME=<your github username>
GIT_EMAIL=<your github email address>
REGISTRY=<your image registry.  ie: quay.io>
IMAGE_NAMESPACE=<namespace in the container registry>

tkn pipeline start operator-ci-pipeline \
  --param git_repo_url=$GIT_REPO_URL \
  --param git_branch=main \
  --param bundle_path=$BUNDLE_PATH \
  --param env=prod \
  --param pin_digests=true \
  --param git_username=$GIT_USERNAME \
  --param git_email=$GIT_EMAIL \
  --param registry=$REGISTRY \
  --param image_namespace=$IMAGE_NAMESPACE \
  --workspace name=pipeline,volumeClaimTemplateFile=templates/workspace-template.yml \
  --workspace name=ssh-dir,secret=github-ssh-credentials \
  --workspace name=registry-credentials,secret=registry-docker config-secret \
  --showlog \
Copy to Clipboard Toggle word wrap

21.5. 提交认证结果
复制链接

以下流程可帮助您向红帽提交认证测试结果。

先决条件

  1. 执行 配置存储库以提交认证结果 的说明。

  2. 将以下参数添加到您要从中提交红帽认证拉取请求的 GitHub 上游存储库。默认情况下,它是红帽认证存储库,但您可以使用自己的存储库进行测试。 

    -param upstream_repo_name=$UPSTREAM_REPO_NAME #Repo where Pull Request (PR) will be opened

--param submit=true
    Copy to Clipboard Toggle word wrap

    以下内容被设置为 default,不需要显式包含,但如果在其他名称下创建了您的 Pyxis secret,则可以被覆盖。 

    --param pyxis_api_key_secret_name=pyxis-api-secret \
--param pyxis_api_key_secret_key=pyxis_api_key
    Copy to Clipboard Toggle word wrap

流程

您可以为四个不同的场景提交红帽认证测试结果:

21.5.1. 从最小管道提交测试结果
复制链接

流程

在终端窗口中执行以下命令: 

GIT_REPO_URL=<Git URL to your certified-operators fork >
BUNDLE_PATH=<path to the bundle in the Git Repo> (ie: operators/my-operator/1.2.8)

tkn pipeline start operator-ci-pipeline \
  --param git_repo_url=$GIT_REPO_URL \
  --param git_branch=main \
  --param bundle_path=$BUNDLE_PATH \
  --param upstream_repo_name=redhat-openshift-ecosystem/certified-operators \
  --param submit=true \
  --param env=prod \
  --workspace name=pipeline,volumeClaimTemplateFile=templates/workspace-template.yml \
  --showlog
Copy to Clipboard Toggle word wrap

21.5.2. 使用镜像摘要固定提交测试结果
复制链接

在终端窗口中执行以下命令:

先决条件

执行包括以下内容的说明:

流程 

GIT_REPO_URL=<Git URL to your certified-operators fork >
BUNDLE_PATH=<path to the bundle in the Git Repo> (ie: operators/my-operator/1.2.8)
GIT_USERNAME=<your github username>
GIT_EMAIL=<your github email address>

tkn pipeline start operator-ci-pipeline \
  --param git_repo_url=$GIT_REPO_URL \
  --param git_branch=main \
  --param bundle_path=$BUNDLE_PATH \
  --param env=prod \
  --param pin_digests=true \
  --param git_username=$GIT_USERNAME \
  --param git_email=$GIT_EMAIL \
  --param upstream_repo_name=red-hat-openshift-ecosystem/certified-operators \
  --param submit=true \
  --workspace name=pipeline,volumeClaimTemplateFile=templates/workspace-template.yml \
  --workspace name=ssh-dir,secret=github-ssh-credentials \
  --showlog
Copy to Clipboard Toggle word wrap

故障排除

当您收到错误 - 无法读取 https://github.com的 Username 时,请提供 --param git_repo_url 的 SSH github URL。

21.5.3. 从私有容器 registry 提交测试结果
复制链接

在终端窗口中执行以下命令:

先决条件

执行包括以下内容的说明:

流程 

GIT_REPO_URL=<Git URL to your certified-operators fork >
BUNDLE_PATH=<path to the bundle in the Git Repo> (ie: operators/my-operator/1.2.8)
GIT_USERNAME=<your github username>
GIT_EMAIL=<your github email address>
REGISTRY=<your image registry.  ie: quay.io>
IMAGE_NAMESPACE=<namespace in the container registry>

tkn pipeline start operator-ci-pipeline \
  --param git_repo_url=$GIT_REPO_URL \
  --param git_branch=main \
  --param bundle_path=$BUNDLE_PATH \
  --param env=prod \
  --param pin_digests=true \
  --param git_username=$GIT_USERNAME \
  --param git_email=$GIT_EMAIL \
  --param registry=$REGISTRY \
  --param image_namespace=$IMAGE_NAMESPACE \
  --param upstream_repo_name=red hat-openshift-ecosystem/certified-operators \
  --param submit=true \
  --workspace name=pipeline,volumeClaimTemplateFile=templates/workspace-template.yml \
  --workspace name=ssh-dir,secret=github-ssh-credentials \
  --workspace name=registry-credentials,secret=registry-docker config-secret \
  --showlog
Copy to Clipboard Toggle word wrap

在终端窗口中执行以下命令:

先决条件

执行包括以下内容的说明:

流程 

GIT_REPO_URL=<Git URL to your certified-operators fork >
BUNDLE_PATH=<path to the bundle in the Git Repo> (ie: operators/my-operator/1.2.8)
GIT_USERNAME=<your github username>
GIT_EMAIL=<your github email address>
REGISTRY=<your image registry.  ie: quay.io>
IMAGE_NAMESPACE=<namespace in the container registry>

tkn pipeline start operator-ci-pipeline \
  --param git_repo_url=$GIT_REPO_URL \
  --param git_branch=main \
  --param bundle_path=$BUNDLE_PATH \
  --param env=prod \
  --param pin_digests=true \
  --param git_username=$GIT_USERNAME \
  --param git_email=$GIT_EMAIL \
  --param upstream_repo_name=red-hat-openshift-ecosystem/certified-operators \
  --param registry=$REGISTRY \
  --param image_namespace=$IMAGE_NAMESPACE \
  --param submit=true \
  --workspace name=pipeline,volumeClaimTemplateFile=templates/workspace-template.yml \
  --workspace name=ssh-dir,secret=github-ssh-credentials \
  --workspace name=registry-credentials,secret=registry-docker config-secret \
  --showlog
Copy to Clipboard Toggle word wrap

认证成功后,认证产品将在 红帽生态系统目录 上列出。

客户通过嵌入式 OpenShift operatorHub 列出并消耗认证的 Operator,使他们能够轻松部署和运行解决方案。此外,您的产品和操作器镜像还将在 红帽生态系统目录 上列出。

第 22 章 使用红帽托管管道运行认证套件
复制链接

如果要使用 Red Hat Hosted Pipeline 认证您的 Operator,则必须为红帽认证存储库创建拉取请求。

如果您不有兴趣接收全面的日志,或者未准备好将工具包含在您自己的 CI/CD 工作流中,请选择此路径。

以下是该过程的概述:

图 22.1. 红帽托管管道概述

一个流图,它是在红帽托管管道上运行认证测试的可视化表示
View larger image
一个流图,它是在红帽托管管道上运行认证测试的可视化表示

此过程首先通过 GitHub 拉取请求提交 Operator 捆绑包。然后,红帽使用内部 OpenShift 集群运行认证测试。此路径与以前的 Operator 捆绑包认证类似。您可以在拉取请求和 Red Hat Partner Connect Operator 捆绑包项目中看到认证测试结果。如果所有认证测试都成功,您的 Operator 将自动合并并发布到 Red Hat Container Catalog 和 OpenShift 中的嵌入式 OperatorHub。

按照说明,通过红帽托管管道认证您的 Operator:

先决条件

  • 完成 Red Hat Partner Connect 网站中提供的软件 预认证清单

  • Red Hat Partner Connect 网站上,点您的项目名称并导航到 Settings 选项卡。

    • Authorized GitHub user accounts 字段中,输入您的 GitHub 用户名到授权 GitHub 用户列表。
    • 如果使用私有容器 registry,在 OpenShift Object YAML 字段中点 Add 来添加 docker config.json secret,然后点 Save

流程

注意

只有在您希望在 Red Hat 托管管道上运行 Red Hat OpenShift Operator 认证时,才按照以下步骤操作。

22.1. 分叉软件仓库
复制链接

  1. 登录 GitHub,再分叉红帽OpenShift 操作器上游存储库。
  2. 根据您要分发的 Catalogs,从下表派生适当的软件仓库:
Expand
目录上游存储库

认证目录

https://github.com/redhat-openshift-ecosystem/certified-operators

Red Hat Marketplace

https://github.com/redhat-openshift-ecosystem/redhat-marketplace-operators

  1. 克隆 fork 的 certified-operators 存储库。
  2. 将 Operator 捆绑包的内容添加到已分叉仓库中的 operators 目录中。

如果要在多个目录中发布 Operator 捆绑包,您可以分叉每个目录并为每个分叉完成一次认证。

22.2. 添加 Operator 捆绑包
复制链接

在 fork 的 operators 目录中,有一系列子目录。

22.2.1. 如果您在之前已认证了这个 operator -
复制链接

在 operators 目录中为您的 Operator 找到对应的文件夹。将 Operator Bundle 的内容放在这个目录中。

注意

确保您的软件包名称与 Operator 的现有文件夹名称一致。对于 Red Hat Marketplace 捆绑包,您必须手动在软件包名称中添加后缀 "-rhmp"。在以前的版本中,这会自动完成,因此在手动更改时不会影响客户升级。

22.2.2. 如果您新认证这个 operator -
复制链接

如果新认证 Operator 没有 Operator 的父目录下的子目录,则必须创建一个子目录。

在 operators 下创建新目录。这个目录的名称应与 Operator 的软件包名称匹配。例如,my-operator

  • 在这个 operator 目录中,使用 Operator 名称创建一个新子目录,如 < my-operator&gt;,并为 < V1.0 > 创建一个版本目录,并放置您的捆绑包。这些目录对于之前已通过认证的 operator 预加载。 

    ├── operators
    └── my-operator
        └── v1.0
    Copy to Clipboard Toggle word wrap
  • 在 version 目录下,添加一个 manifests 文件夹,其中包含所有 OpenShift 清单,包括 clusterserviceversion.yaml 文件。

推荐的目录结构

以下示例演示了推荐的目录结构。 

├── config.yaml
├── operators
    └── my-operator
        ├── v1.4.8
        │   ├── manifests
        │   │   ├── cache.example.com_my-operators.yaml
        │   │   ├── my-operator-controller-manager-metrics-service_v1_service.yaml
        │   │   ├── my-operator-manager-config_v1_configmap.yaml
        │   │   ├── my-operator-metrics-reader_rbac.authorization.k8s.io_v1_clusterrole.yaml
        │   │   └── my-operator.clusterserviceversion.yaml
        │   └── metadata
        │       └── annotations.yaml
        └── ci.yaml
Copy to Clipboard Toggle word wrap
Expand
配置文件描述

config.yaml

在这个文件中,包含 Operator 的组织。它可以是 certified-operatorsredhat-marketplace。例如,机构: certified-operators

注意

如果您要将 Operator for Red Hat Marketplace 发行版本作为目标,则必须在 clusterserviceversion.yaml 中包含以下注解:

marketplace.openshift.io/remote-workflow: https://marketplace.redhat.com/en-us/operators/ {package_name}/pricing?utm_source=openshift_console

marketplace.openshift.io/support-workflow:https://marketplace.redhat.com/en-us/operators/{package_name}/support?utm_source=openshift_console

ci.yaml

在此文件中,包括您的 Red Hat 技术合作伙伴项目 ID 和此 operator 的组织目标。

例如,cert_project_id: <your partner project id>。此文件存储成功认证流程所需的所有元数据。

annotations.yaml

在此文件中,包含 OpenShift 版本的注解,它引用 OpenShift 版本的范围。例如,v4.8-v4.10 表示 4.8 到 4.10 版本。将其添加到任何现有内容。

例如,NTT : OpenShift 注解 com.redhat.openshift.versions: v4.8-v4.10com.redhat.openshift.versions 字段(作为 operator 捆绑包中的元数据的一部分)用于确定 Operator 是否包含在给定 OpenShift 版本的认证目录中。您必须使用它来指定 Operator 支持的一个或多个 OpenShift 版本。

请注意,在版本之前必须使用字母 'v',且不允许使用空格。语法如下:

  • 单一版本表示该 Operator 在 OpenShift 或更高版本上被支持。Operator 会自动添加到后续 OpenShift 版本的已认证目录中。
  • 前面带有 '=' 的单个版本表示 Operator 只在该特定版本的 OpenShift 上被支持。例如,使用 =v4.8 会将 Operator 添加到 OpenShift 4.8 认证的目录中,但不用于后续 OpenShift 版本。
  • 范围可用于指示仅支持该范围内的 OpenShift 版本。例如,使用 v4.8-v4.10 会将 Operator 添加到 OpenShift 4.8 到 4.10 的认证目录中,但不适用于 OpenShift 4.11 或 4.12。

22.3. 创建拉取请求
复制链接

最后一步是为目标上游存储库创建拉取请求。

Expand
目录上游存储库

认证目录

https://github.com/redhat-openshift-ecosystem/certified-operators

Red Hat Marketplace

https://github.com/redhat-openshift-ecosystem/redhat-marketplace-operators

如果要在多个目录中发布 Operator 捆绑包,您可以为每个目标目录创建一个拉取请求。

如果您不熟悉在 GitHub 中创建拉取请求,您可以在此中找到说明。https://docs.github.com/en/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/creating-a-pull-request-from-a-fork

注意

拉取请求的标题必须符合以下格式:operator my-operator (v1.4.8)它应该以单词 operator 开头,后跟您的 Operator 软件包名称,后面跟在括号中的版本号。
当您创建拉取请求时,它会触发红帽托管管道,并在失败或完成时通过拉取请求注释提供更新。

22.3.1. 要遵循的指南
复制链接

  • 您可以通过关闭并重新打开拉取请求来重新触发红帽托管管道。
  • 对于给定的 Operator 版本,一次只能有一个打开的拉取请求。
  • 拉取请求成功合并后,它就无法更改。您必须检查 Operator 的版本并打开新的拉取请求。
  • 您必须使用 Operator 的软件包名称作为您在 Operator 下创建的目录名称。这个软件包名称应与 annotations.yaml 文件中的 package 注解匹配。这个软件包名称还应与 clusterserviceversion.yaml 文件名的前缀匹配。
  • 您的拉取请求应该只修改单个 Operator 版本目录中的文件。不要尝试将更新合并到多个 Operator 间的多个版本或更新。
  • 用于命名您的版本目录的版本指示符应与拉取请求的标题中使用的版本指示符匹配。
  • 运行认证测试不接受镜像标签,只使用 SHA 摘要。将对 镜像标签的所有引用替换为 对应的 SHA 摘要。

第 23 章 发布经认证的 Operator
复制链接

认证被视为完成,您的 Operator 将出现在 Red Hat Container Catalog 中,并在所有测试都成功后在 OpenShift 中嵌入的 OperatorHub,并启用了认证管道向红帽提交结果。

此外,该条目将出现在 红帽认证生态系统上

重要

Red Hat OpenShift 软件认证不会对合作伙伴的产品进行测试,在 Operator 构建之外或执行其对安装和执行的红帽平台的影响。认证候选产品质量保证的所有方面均保留合作伙伴的职责。

第 24 章 故障排除指南
复制链接

有关故障排除提示和临时解决方案,请参阅 对 Operator Cert Pipeline 进行故障排除

附录 B. Helm 和 Ansible Operator
复制链接

部分 IV. Helm Chart 认证
复制链接

第 25 章 使用 Helm chart
复制链接

注意

在继续红帽 Helm Chart 认证前,认证您的容器应用程序项目。在认证 Helm Chart 项目前,Helm Chart 项目中引用的所有容器都必须已通过红帽生态系统目录认证并发布。

25.1. Helm chart 简介
复制链接

Helm 是一个 Kubernetes 原生自动化技术和软件包管理器,简化了应用程序和服务的部署。Helm 使用名为 chart 的打包格式。chart 是描述一组相关 Kubernetes 资源的文件集合。集群中 chart 的特定版本的运行实例被称为 release。当每次一个 chart 在集群中安装时,一个新的 release 会被创建。在每次安装 chart,或一个版本被升级或回滚时,都会创建增量修订版本。图表通过自动化的 Red Hat OpenShift 认证工作流,确保安全合规以及与平台的最佳集成和体验。

25.2. Helm chart 的认证工作流
复制链接

注意

红帽建议您在开始认证过程前具有红帽认证工程师或具有同等经验。

下图显示了测试 Helm Chart 的概述:

一个流图表,它是本节中描述的 Helm Chart 认证工作流的可视化表示。
View larger image
一个流图表,它是本节中描述的 Helm Chart 认证工作流的可视化表示。

任务摘要

认证工作流包括三个主要步骤:

  1. 第 18.2.1 节 “认证在线”
  2. 第 4.2 节 “认证和测试”
  3. 第 25.2.3 节 “在红帽生态系统目录中发布经认证的 Helm chart”

25.2.1. 认证在线
复制链接

先决条件

除了特定认证测试要求外,在您的目标红帽平台上验证产品的功能。如果在目标红帽平台上运行您的产品,则在认证前您必须解决问题。

红帽合作伙伴加速服务(PAD)是一个产品和技术级别合作伙伴帮助台服务,允许我们的技术合作伙伴成为一个中央位置来询问有关红帽产品、合作伙伴认证、产品认证、参与流程等的非技术问题。

请参阅 PAD - 如何打开和管理 PAD 问题单,以创建一个 PAD ticket。

通过合作伙伴订阅计划,红帽提供免费的、不用于销售的软件订阅,您可用来在目标红帽平台上验证您的产品。要请求访问此计划,请按照 合作伙伴订阅 网站上的说明进行操作。

您必须构建容器镜像,以便它们符合认证标准和策略。如需了解更多详细信息,请参阅 镜像内容要求

流程

按照以下步骤认证 Helm Chart:

  1. 加入 Red Hat Partner Connect for Technology Partner Program。
  2. 同意计划条款和条件。
  3. 填写您的公司简介。
  4. 选择所需平台来创建认证项目,例如 - Red Hat OpenShift,然后选择 Helm Chart
  5. 完成预认证清单。

25.2.2. 认证和测试
复制链接

按照以下高级别步骤运行认证测试:

  1. 派生 红帽上游存储库
  2. 在测试环境中安装并运行 chart verifier 工具。
  3. 检查测试结果并进行故障排除(若有问题)。
  4. 通过拉取请求向红帽提交认证结果。

认证的 helm chart 在 红帽合作伙伴连接 门户的 产品列表 页面中发布,然后您可以在受支持的红帽容器平台上运行。您的产品及其 Helm Chart 会使用您提供的列表信息在 Red Hat Container Catalog 上列出。

第 26 章 验证 Helm chart 以进行认证
复制链接

您可以使用 chart-verifier CLI 工具验证 Helm chart。Chart-verifier 是一个基于 CLI 的开源工具,它运行一个可配置的检查列表,以验证 Helm chart 是否有满足红帽认证的标准所需的所有相关元数据和格式。它验证 Helm chart 是否在 Red Hat OpenShift Container Platform 上无缝分布,并可作为认证的 Helm Chart 条目提交给 Red Hat OpenShift Helm Chart 仓库

该工具还会验证 Helm Chart URL,并以 YAML 格式提供报告,以及每个检查都有正或负结果的人类可读描述。检查的负结果表示图表中需要更正的问题。您还可以自定义您要在验证过程中执行的检查。

注意

红帽强烈建议您使用最新版本的 chart-verifier 工具来验证本地测试环境中的 Helm chart。这可让您在 Chart 开发周期内自行检查结果,从而防止每次都向红帽提交结果。

其他资源

有关 chart-verifier CLI 工具的更多信息,请参阅 chart-verifier

26.1. 准备测试环境
复制链接

认证您的产品的第一步是设置可运行测试的环境。要运行完整的 chart-verifier 测试,您需要访问 Red Hat OpenShift 集群环境。您可以安装 chart-verifier 工具,并在此环境中执行所有与 chart 相关的测试。您可以使用几个可配置的命令行选项禁用这些测试,但为了获得红帽批准的认证,必须运行测试。

注意

作为授权的红帽合作伙伴,您可以免费访问 Red Hat OpenShift Container Platform,您可以使用 Red Hat 合作伙伴订阅(RHPS)计划在您自己的测试环境中安装集群。要了解有关在 Red Hat Partner Connect 计划中软件访问的好处的更多信息,请参阅 计划指南

要设置您自己的测试环境,

  1. 使用 Red Hat Managed Services Openshift 集群安装 完全受管集群。这是一个试用选项,仅在 60 天内有效。
  2. 安装一个自我管理的集群,您可以在云环境中安装、数据中心或计算机。通过此选项,您可以将合作伙伴订阅(也称为 NFR)用于永久部署。

有关设置您的环境的更多信息,请参阅 Try Red Hat OpenShift

其他资源

要了解更多有关安装集群和配置 helm chart 的信息,请参阅:

26.2. 运行 Helm chart-verifier 工具
复制链接

执行 chart-verifier 工具的建议目录结构如下: 

.
└── src
    ├── Chart.yaml
    ├── README.md
    ├── templates
    │   ├── deployment.yaml
    │   ├── _helpers.tpl
    │   ├── hpa.yaml
    │   ├── ingress.yaml
    │   ├── NOTES.txt
    │   ├── serviceaccount.yaml
    │   ├── service.yaml
    │   └── tests
    │       └── test-connection.yaml
    ├── values.schema.json
    └── values.yaml
Copy to Clipboard Toggle word wrap

先决条件

  • 安装了 Podman 或 Docker CLI 的容器引擎。
  • 互联网连接,检查镜像是否已通过红帽认证。
  • GitHub 配置集,将 chart 提交到 OpenShift Helm Charts 仓库
  • Red Hat OpenShift Container Platform 集群。

  • 在运行 chart-verifier 工具前,使用以下命令打包 Helm chart: 

    $ helm package <helmchart folder>
    Copy to Clipboard Toggle word wrap

    此命令将归档 Helm Chart,并将其转换为 .tgz 文件格式。

流程

您可以使用两种方法运行完整的 chart-verifier 工具集:

26.2.1. 使用 Podman 或 Docker
复制链接

  1. 使用通用资源标识符(uri)远程运行所有可用检查,假设 kube 配置文件位于位置 ${HOME}/.kube : 

    $ podman run --rm -i                                  \
        -e KUBECONFIG=/.kube/config                   \
        -v "${HOME}/.kube":/.kube                     \
        "quay.io/redhat-certification/chart-verifier" \
        verify                                        \
        <chart-uri>
    Copy to Clipboard Toggle word wrap

    在这个命令中,chart-uri 是 https uri 上提供的 chart 存档的位置。确保存档必须采用 .tgz 格式。

  2. 运行系统上本地可用的 chart 的所有可用检查,假设 chart 位于当前目录中,kube 配置文件位于位置 ${HOME}/.kube: 

    $ podman run --rm                                     \
        -e KUBECONFIG=/.kube/config                   \
        -v "${HOME}/.kube":/.kube                     \
        -v $(pwd):/charts                             \
        "quay.io/redhat-certification/chart-verifier" \
        verify                                        \
        /charts/<chart>
    Copy to Clipboard Toggle word wrap

    在这个命令中,chart-uri 是本地目录中提供的 Chart 存档的位置。确保存档必须采用 .tgz 格式。

  3. 运行以下 verify 命令以获取与该命令关联的可用选项列表及其用法: 

    $ podman run -it --rm quay.io/redhat-certification/chart-verifier verify --help
    Copy to Clipboard Toggle word wrap

    命令的输出类似以下示例: 

    Verifies a Helm chart by checking some of its characteristics

Usage:
  chart-verifier verify <chart-uri> [flags]

Flags:
  -S, --chart-set strings           set values for the chart (can specify multiple or separate values with commas: key1=val1,key2=val2)
  -G, --chart-set-file strings      set values from respective files specified via the command line (can specify multiple or separate values with commas: key1=path1,key2=path2)
  -X, --chart-set-string strings    set STRING values for the chart (can specify multiple or separate values with commas: key1=val1,key2=val2)
  -F, --chart-values strings        specify values in a YAML file or a URL (can specify multiple)
      --debug                       enable verbose output
  -x, --disable strings             all checks will be enabled except the informed ones
  -e, --enable strings              only the informed checks will be enabled
      --helm-install-timeout duration   helm install timeout (default 5m0s)
  -h, --help                        help for verify
      --kube-apiserver string       the address and the port for the Kubernetes API server
      --kube-as-group stringArray   group to impersonate for the operation, this flag can be repeated to specify multiple groups.
      --kube-as-user string         username to impersonate for the operation
      --kube-ca-file string         the certificate authority file for the Kubernetes API server connection
      --kube-context string         name of the kubeconfig context to use
      --kube-token string           bearer token used for authentication
      --kubeconfig string           path to the kubeconfig file
  -n, --namespace string            namespace scope for this request
  -V, --openshift-version string    set the value of certifiedOpenShiftVersions in the report
  -o, --output string               the output format: default, json or yaml
  -k, --pgp-public-key string       file containing gpg public key of the key used to sign the chart
  -W, --web-catalog-only            set this to indicate that the distribution method is web catalog only (default: false)
      --registry-config string      path to the registry config file (default "/home/baiju/.config/helm/registry.json")
      --repository-cache string     path to the file containing cached repository indexes (default "/home/baiju/.cache/helm/repository")
      --repository-config string    path to the file containing repository names and URLs (default "/home/baiju/.config/helm/repositories.yaml")
  -s, --set strings                 overrides a configuration, e.g: dummy.ok=false
  -f, --set-values strings          specify application and check configuration values in a YAML file or a URL (can specify multiple)
  -E, --suppress-error-log          suppress the error log (default: written to ./chartverifier/verifier-<timestamp>.log)
      --timeout duration            time to wait for completion of chart install and test (default 30m0s)
  -w, --write-to-file               write report to ./chartverifier/report.yaml (default: stdout)
Global Flags:
      --config string   config file (default is $HOME/.chart-verifier.yaml)
    Copy to Clipboard Toggle word wrap

  4. 运行检查的子集: 

    $ podman run --rm -i                                  \
        -e KUBECONFIG=/.kube/config                   \
        -v "${HOME}/.kube":/.kube                     \
        "quay.io/redhat-certification/chart-verifier" \
        verify -enable images-are-certified,helm-lint      \
        <chart-uri>
    Copy to Clipboard Toggle word wrap

  5. 运行除子集之外的所有检查: 

    $ podman run --rm -i                                  \
        -e KUBECONFIG=/.kube/config                   \
        -v "${HOME}/.kube":/.kube                     \
        "quay.io/redhat-certification/chart-verifier" \
        verify -disable images-are-certified,helm-lint      \
        <chart-uri>
    Copy to Clipboard Toggle word wrap
    注意

    运行检查子集旨在减少开发的反馈循环。要认证您的图表,您必须运行所有必需的检查。

  6. 提供 chart-override 值: 

    $ podman run --rm -i                                  \
        -e KUBECONFIG=/.kube/config                   \
        -v "${HOME}/.kube":/.kube                     \
        "quay.io/redhat-certification/chart-verifier" \
        verify –chart-set default.port=8080                   \
        <chart-uri>
    Copy to Clipboard Toggle word wrap

  7. 从当前目录中的文件提供 chart-override 值: 

    $ podman run --rm -i                                  \
        -e KUBECONFIG=/.kube/config                   \
        -v "${HOME}/.kube":/.kube                     \
        -v $(pwd):/values                             \
        "quay.io/redhat-certification/chart-verifier" \
        verify –chart-values /values/overrides.yaml              \
        <chart-uri>
    Copy to Clipboard Toggle word wrap
26.2.1.1. 配置 timeout 选项
复制链接

如果 chart-testing 进程延迟,则增加超时值。默认情况下,chart-testing 过程需要大约 30 分钟才能完成。 

$ podman run --rm -i                                  \
        -e KUBECONFIG=/.kube/config                   \
        -v "${HOME}/.kube":/.kube                     \
        -v $(pwd):/values                             \
        "quay.io/redhat-certification/chart-verifier" \
        verify --timeout 40m                          \
        <chart-uri>
Copy to Clipboard Toggle word wrap
注意

如果您在测试过程中观察了延迟,红帽建议您向红帽认证团队提交报告进行验证。

26.2.1.2. 保存报告
复制链接

当 chart-testing 过程完成后,默认会显示报告信息。您可以通过将报告重定向到文件来保存报告。

例如: 

  $ podman run --rm -i                                  \
          -e KUBECONFIG=/.kube/config                   \
          -v "${HOME}/.kube":/.kube                     \
          "quay.io/redhat-certification/chart-verifier" \
          verify –enable images-are-certified,helm-lint      \
          <chart-uri> > report.yaml
Copy to Clipboard Toggle word wrap

除了此命令外,使用 -w 选项可将报告直接写入文件 ./chartverifier/report.yaml。要获取此文件,您必须将文件挂载到 /app/chartverifer

例如: 

  $ podman run --rm -i                                  \
          -e KUBECONFIG=/.kube/config                   \
          -v "${HOME}/.kube":/.kube                     \
          -v $(pwd)/chartverifier:/app/chartverifier    \
          -w                                            \
          "quay.io/redhat-certification/chart-verifier" \
          verify –enable images-are-certified,helm-lint      \
          <chart-uri>
Copy to Clipboard Toggle word wrap

如果文件已存在,新报告将覆盖该文件。

26.2.1.3. 配置错误日志
复制链接

默认情况下,生成错误日志并保存到文件 ./chartverifier/verify-<timestamp>.yaml 中。它包括错误消息、每个检查的结果以及有关 chart 测试的附加信息。要获得错误日志的副本,您必须将文件挂载到 /app/chartverifer

例如: 

 $ podman run --rm -i                                  \
          -e KUBECONFIG=/.kube/config                   \
          -v "${HOME}/.kube":/.kube                     \
          -v $(pwd)/chartverifier:/app/chartverifier    \
          "quay.io/redhat-certification/chart-verifier" \
          verify –enable images-are-certified,helm-lint      \
          <chart-uri> > report.yaml
Copy to Clipboard Toggle word wrap

如果要将多个日志保存到同一目录中,您可以一次存储最多 10 个日志文件。当达到最大文件限制时,旧的日志文件将自动替换为较新的日志文件。

使用 -E-suppress-error-log 选项阻止错误日志输出。

注意

错误和警告消息是标准错误消息,通过使用 -E 或 - suppress-error-log 选项不会 被禁止。

26.2.2. 使用二进制文件
复制链接

注意

这个方法仅适用于 Linux 系统。

  1. 发行版本 页面下载并安装最新的 chart-verifier 二进制文件。

  2. 使用以下命令解压 tarball 二进制文件: 

    $ tar zxvf <tarball>
    Copy to Clipboard Toggle word wrap

  3. 在 unzipped 目录中运行以下命令执行所有 Helm Chart 检查: 

    $ ./chart-verifier verify <chart-uri>
    Copy to Clipboard Toggle word wrap

    在这个命令中,chart-uri 是服务器上可用的 Chart 存档的位置。确保存档必须采用 .tgz 格式。默认情况下,chart-verifier 工具假定 kube 配置文件位于默认位置 $HOME/.kube。如果文件在默认位置上不可用,请将环境变量设置为 KUBECONFIG

    chart-verifier 的输出包括执行的测试详情以及每个测试的结果状态。它还指示每个测试是强制的,还是建议用于红帽认证。如需更多信息,请参阅 Helm Chart 检查的类型

其他资源

要了解更多有关 chart-verifier 工具的信息,请参阅 Helm Chart 检查 Red Hat OpenShift 认证

第 27 章 创建 Helm Chart 项目
复制链接

先决条件

在创建 Helm Chart 项目前,将您的 chart 的容器镜像认证为容器应用程序项目。

流程

  1. 登录到 Red Hat Partner Connect 门户

    这时将显示 Access the partner portal 网页。

  2. 导航到 认证技术门户 标题,再单击 Log in for 技术合作伙伴

  3. 输入登录凭据并点 Login

    此时会显示 Red Hat Partner Connect 网页。

  4. 在页面标头中,选择 Product Certification,再单击 Manage Certification projects

    My Work 网页会显示 Product Listings and Certification Projects (如果可用)。

  5. 点击 Create Project
  6. 您要在对话框中认证的平台,选择 Red Hat OpenShift 单选按钮并点 Next。
  7. 在您要认证的对话框中, 选择 Helm Chart 单选按钮,然后点 Next

  8. Create Helm Chart 认证项目 网页上,提供以下详细信息以创建您的项目。

    重要

    您无法在创建项目后更改项目名称及其分发方法。

    1. 项目名称 :输入项目名称。此名称没有发布,仅用于内部使用。
    2. Chart 名称 :您的 chart 的名称,它必须遵循 Helm 命名约定

    3. Release Method - 为发布 Helm Chart 选择以下选项之一:

      1. Helm Chart 仓库 chart.openshift.io- Helm chart 发布到 Red Hat Helm Chart 仓库 charts.openshift.io,用户可以从此仓库中提取 chart。

        注意

        当您选择复选框 The certified helm chart 将从我的公司的存储库分发时,您的 chart 位置的条目将添加到 Red Hat Helm Chart 仓库 charts.openshift.io 索引中。

      2. 仅限 Web 目录(catalog.redhat.com) - Helm chart 没有发布到 Red Hat Helm Chart 仓库 charts.openshift.io,且无法在 Red Hat OpenShift OperatorHub 或 Red Hat Marketplace 中可见。当您创建新项目时,这个选项适用于不希望其 Helm Chart 在 OpenShift 中可公开安装但需要验证认证的合作伙伴。只有在您有一个未满足 OpenShift In-product Catalog (认证)选项中的发布、权利或其他业务要求时,才选择此选项。
    4. Create project

第 28 章 配置 Helm Chart 项目
复制链接

创建项目时,将会显示新创建的 Helm Chart 项目网页。

Helm Chart 网页由以下标签页组成:

  • 概述 - 包含预认证清单。
  • Settings - 允许您配置 registry 和存储库详情。

在 Helm Chart 网页右侧,点 Actions 菜单在新创建的 Helm Chart 项目中执行以下操作:

28.1. 完成预认证清单
复制链接

Helm Chart 项目的 Overview 选项卡包含 pre-certification 检查。预认证清单由一系列任务组成,您必须完成这些任务才能认证并发布您的 Helm Chart。

在发布 Helm Chart 前,在清单中执行以下任务:

28.1.1. 完成您的公司简介
复制链接

保持您公司的最新资料。这些信息会在 Red Hat Ecosystem Catalog 和您的认证产品中发布。

验证:

  1. 导航到 Complete your company profile 标题。
  2. 点清单中的 Review
  3. 若要进行任何更改,请单击 Edit
  4. Submit

28.1.2. 提供有关 Helm chart 的详情
复制链接

  1. 导航到 Helm Chart 标题的提供详情,以进入 Red Hat Ecosystem Catalog 中显示的仓库详情,以便用户可以拉取 Helm Chart。
  2. Add details。您可以导航到 Settings 选项卡。
  3. 输入所有所需的存储库信息。
  4. 填写所有详情后,单击 Save
注意

所有标有星号 * 的字段都是必需的,必须完成,然后才能继续 Helm Chart 认证。

28.1.3. 通过 GitHub 中的拉取请求提交您的 chart
复制链接

在红帽合作伙伴上创建 Helm Chart 项目后,您必须提交 Helm chart 进行验证。

提交 Helm chart:

  1. GitHub 标题中,导航到 Submit your chart
  2. 单击 Go to GitHub。您将被重定向到 OpenShift Helm Charts 仓库
  3. 提交拉取请求。

拉取请求由红帽认证团队审核。验证成功后,您的 Helm chart 会在 红帽生态系统目录上发布

28.1.4. 附加一个已完成的产品列表
复制链接

此功能允许您创建新产品列表,或将项目附加到新项目的现有 OpenShift 产品列表中。

  1. 导航到 Attach a completed product list 标题
  2. 在 Select method 下拉菜单中选择 Attach or edit。此时会显示 Attach product list 页面。

  3. 决定是否要将项目附加到现有产品列表中,还是要创建新产品列表:

    1. 将项目附加到现有产品列表中:

      1. 相关产品列表 部分中,单击 Select a product list 下拉列表,以选择所需的产品列表。
      2. 点击 Save

    2. 要创建新产品列表,请执行以下操作:

      1. 单击 Create new product list
      2. Product Name 文本框中,输入所需的产品名称。
      3. 点 Save。
    3. Select method 下拉菜单中选择 View product list 以导航到新的产品列表,并填写所有必需的产品列表详情。
    4. 点击 Save
注意

在提交应用程序以进行认证前,请确保完成预认证清单中的所有项目。

完成所有步骤后,标题旁边会出现一个绿色勾号,表示配置已完成。

28.2. 管理项目设置
复制链接

您可以通过 Settings 选项卡配置 registry 和存储库详情。当您验证 Helm chart 时,会在 红帽生态系统目录 中发布以及以下详情。

在以下字段中输入所需详情:

注意

以下字段因所选的分发方法而异。

  • Chart 名称
  • 容器 registry 命名空间 - 表示公司名称或缩写。
  • Helm Chart 仓库 - 表示 Helm Chart 仓库的位置。
  • 用户访问 Helm Chart 的任何额外说明 - 此信息将在 红帽生态系统目录 上发布。
  • 公共 PGP Key - 它是一个可选字段。如果要签署您的认证测试结果,请输入密钥。
  • 授权 GitHub 用户帐户 - 表示允许代表您公司提交 Helm chart 的 GitHub 用户。
  • 简短和长存储库描述和应用程序类别 - 在 Red Hat Ecosystem Catalog 上列出 Helm chart 时将使用此信息。
  • 项目详细信息 - 其中包括 您的项目名称技术联系人 和电子邮件地址。如果认证项目有任何疑问,红帽将使用此信息与您联系。
  • 点击 Save
注意

所有标记为星号 * 的字段都必须完成,然后才能继续 Helm Chart 认证。

第 29 章 提交 Helm chart 以进行认证
复制链接

Red Hat Partner Connect 上配置和设置 Helm chart 项目后,通过创建一个红帽 OpenShift Helm Chart 仓库的拉取请求来提交您的 Helm chart 以进行认证。在拉取请求中,您可以包含 chart 或 chart-verifier 工具 生成的报告。根据拉取请求的内容,chart 将会被认证,如果未提供报告,则 chart-verifier 将运行。

先决条件

在创建拉取请求前,请确保满足以下先决条件:

  1. 红帽的 OpenShift Helm Chart 仓库进行分叉,并将其克隆到本地系统。在这里,您可以在合作伙伴的 目录下看到为您的公司创建的目录。

    注意

    目录名称与您在认证容器时设置的容器 registry 命名空间相同。

    在您的公司目录中,将为您上一步中创建的每个 Chart 认证项目有一个子目录。要验证是否正确设置了此设置,请查看 OWNERS 文件。OWNERS 文件会在您的机构目录中的 chart 目录中自动创建。它包含有关项目的信息,包括授权代表您公司认证 Helm chart 的 GitHub 用户。您可以在位置 chart/ Partners/acme/awesome/OWNERS 中找到该文件。如果要编辑 GitHub 用户详情,请导航至 Settings 页面。

    例如,如果您的组织名称是 acme,并且 Chart 名称是非常繁琐的。OWNERS 文件的内容如下: 

    chart:
  name: awesome
  shortDescription: A Helm chart for Awesomeness
publicPgpKey: null
providerDelivery: False
users:
  - githubUsername: <username-one>
  - githubUsername: <username-two>
vendor:
  label: acme
  name: ACME Inc.
    Copy to Clipboard Toggle word wrap

    您提交的 chart 的名称必须与 OWNERS 文件中的值匹配。

  2. 在提交 Helm Chart 源或 Helm Chart 验证报告前,请使用其版本号创建一个目录。例如,如果您要发布 awesome chart 的 0.1.0 版本,请按如下所示创建一个目录: 

    charts/partners/acme/awesome/0.1.0/
    Copy to Clipboard Toggle word wrap
    注意

    对于代表红帽支持的产品的图表,请使用位于 chart 的 OWNERS 文件( chart)提交对主分支的拉取请求,您的机构目录中可用的 redhat 目录。例如,对于名为 awesome 的红帽图表,请将拉取请求提交到位于 chart/redhat/awesome/OWNERS 的主分支。请注意,对于红帽支持的项目,您的机构名称也是 redhat。

流程

您可以使用三种方法提交 Helm chart 以进行认证:

  1. 提交没有 chart 验证报告的 Helm chart
  2. 提交没有 Helm chart 的 chart 验证报告
  3. 提交 chart 验证报告以及 Helm chart

29.1. 提交没有 chart 验证报告的 Helm chart
复制链接

您可以以两种不同的格式提交您的 Helm chart 以进行认证,而无需 chart 验证报告:

29.1.1. 作为 tarball 进行图表
复制链接

如果要将 Helm chart 提交为 tarball,您可以使用 Helm package 命令创建 Helm chart 的 tarball,并将其直接放在 0.1.0 目录中。

例如,如果您的 Helm Chart 对于 一个机构 acme来说非常困难 

charts/partners/acme/awesome/0.1.0/awesome-0.1.0.tgz
charts/partners/acme/awesome/0.1.0/awesome-0.1.0.tgz.prov
Copy to Clipboard Toggle word wrap

29.1.2. 目录中的 chart
复制链接

如果要在目录中提交 Helm chart,请将 Helm chart 放在带有 chart 源的目录中。

如果您签署了 chart,请将 providence 文件放在同一目录中。您可以在 OWNERS 文件中包括 chart 的 base64 编码公钥。当 base64 编码的公钥存在时,当使用 chart-verifier 为 chart 创建报告时,密钥将被解码并指定。

如果公钥与 chart 不匹配,verifier 报告将包含检查失败,拉取请求将以错误结尾。

如果公钥与 chart 匹配且没有其他故障,则会创建一个发行版本,该发行版本将包括 tarball、提供文件、公钥文件和生成的报告。

例如, 

awesome-0.1.0.tgz
awesome-0.1.0.tgz.prov
awesome-0.1.0.tgz.key
report.yaml
Copy to Clipboard Toggle word wrap

如果 OWNERS 文件不包含公钥,则会跳过 chart verifier 检查,不会影响拉取请求的结果。此外,该公钥文件将不会包含在发行版中。

如果 chart 是 chart 源的目录,请创建一个 src 目录来放置 chart 源。

例如,

路径 可以是 chart/partners/acme/awesome/0.1.0/src/

文件结构可以是 

.
└── src
    ├── Chart.yaml
    ├── README.md
    ├── templates
    │   ├── deployment.yaml
    │   ├── _helpers.tpl
    │   ├── hpa.yaml
    │   ├── ingress.yaml
    │   ├── NOTES.txt
    │   ├── serviceaccount.yaml
    │   ├── service.yaml
    │   └── tests
    │       └── test-connection.yaml
    ├── values.schema.json
    └── values.yaml
Copy to Clipboard Toggle word wrap

29.2. 提交没有 Helm chart 的 chart 验证报告
复制链接

使用 chart-verifier 工具生成报告,并将它以文件名 report.yaml 保存到 0.1.0 目录中。您可以提交两种类型的报告:

29.2.1. 提交已签名报告
复制链接

在提交报告以进行认证前,您可以在 chart 验证报告中添加 PGP 公钥。添加 PGP 公钥 是可选的。当将其添加到报告中时,您可以在您的机构目录中的 chart 目录下的 OWNERS 文件中找到您的公钥。PGP 公钥位于 publicPgpKey 属性中。此属性的值必须遵循 ASCII armor 格式

在提交 chart 验证报告时,您可以在没有 chart 的情况下为报告签名,并以 ASCII armor 格式 签名。

例如, 

gpg --sign --armor --detach-sign --output report.yaml.asc report.yaml
Copy to Clipboard Toggle word wrap
注意

如果签名验证失败,您可以在控制台中看到警告信息。

29.2.2. 为签名 chart 提交报告
复制链接

对于为签名 chart 提交 chart 验证报告,当您在生成报告时向 Chart verifier 工具提供 PGP 公钥 时,它包含密钥摘要以及报告。

另外,当您将 base64 编码的 PGP 公钥添加到 OWNERS 文件时,将进行检查来确认 OWNERS 文件中解码的密钥摘要是否与报告中的密钥摘要匹配。

当不匹配时,拉取请求会失败。但是,如果密钥摘要与报告匹配,且处理拉取请求时没有其他错误,则会生成包含公钥和报告的版本。

例如, 

awesome-0.1.0.tgz.key
report.yaml
Copy to Clipboard Toggle word wrap
注意

如果您启用了供应商控制交付,则不会生成发行版本。

29.3. 提交 chart 验证报告以及 Helm chart
复制链接

您还可以提交图表以及报告。按照 Submitting a Chart without Chart Verification Report 步骤,将源或 tarball 放在版本号目录中。同样,请按照 在没有 Chart 的情况下提交 Chart 验证报告 中的步骤,并将 report.yaml 文件放在相同的版本号目录中。

29.3.1. 提交已签名报告
复制链接

您可以签署报告并提交进行验证。如果签名验证失败,您可以在控制台中看到警告信息。如需更多信息,请参阅"提交签名报告"部分,在没有 Chart 的情况下提交 Chart 验证报告

29.3.2. 提交签名的 Helm chart
复制链接

对于签名的图表,除了报告文件外,还必须包括一个 tarball 和一个 providesnce 文件。如需更多信息,请参阅" 在没有 Chart 的情况下提交 Chart 验证报告中的"提交 签名 chart"部分。

29.4. 认证提交选项概述
复制链接

根据您要访问 chart 以及检查 chart 在本地环境中是否有一些依赖项,请按照表总结了提交 Helm chart 的情况。

Expand
目标包含 Helm chart包括 chart 验证报告红帽认证结果发布您的认证 Helm chart 的方法

如果要执行以下操作:

  • charts.openshift.io 中保存您的认证图表。
  • 充分利用 Red Hat CI 进行持续图表测试

chart-verifier 工具 在红帽 CI 环境中执行,以确保合规性。

您的客户可以从 chart. openshift.io 下载经过认证的 Helm chart

如果要执行以下操作:

  • charts.openshift.io 中保存您的认证图表。
  • 旨在测试您自己的环境中的图表,因为它有一些外部依赖项。

红帽认证团队会审查结果以确保合规性。

您的客户可以从 chart. openshift.io 下载经过认证的 Helm chart

如果您不想在 charts.openshift.io 中保存您的认证图表。

红帽认证团队会审查结果以确保合规性。

您的客户可以从您指定的 Helm Chart 仓库下载认证的 Helm chart。在 charts.openshift.ioindex.yaml 文件中添加了一个对应的条目。

29.5. 验证步骤
复制链接

提交拉取请求后,需要几分钟才能运行所有检查,并自动合并拉取请求。提交拉取请求后执行以下步骤:

  1. 检查新拉取请求中的任何消息。
  2. 如果您看到错误消息,请参阅 故障排除 Pull Request Failures。使用必要的更改相应地更新拉取请求,以更正问题。

  3. 如果您看到成功消息,这表示 Chart 存储库索引已被成功更新。您可以通过检查 gh-pages 分支中的最新提交来验证它。提交消息采用以下格式: 

    <partner-label>-<chart-name>-<version-number> index.yaml (#<PR-number>) (e.g, acme-psql-service-0.1.1 index.yaml (#7)).
    Copy to Clipboard Toggle word wrap

    您可以在 index.yaml 文件中看到与 chart 相关的更改。

  4. 如果您提交了一个 chart 源,则 GitHub 发行页中提供了带有 chart 和对应报告的 GitHub 发行版本。release 标签采用以下格式: < partner-label>-<chart-name>-<version-number> (例如 acme-psql-service-0.1.1)。
  5. 您可以在 红帽官方 Helm Chart 仓库中找到经过认证的 Helm chart。按照以下列出的说明,在 OpenShift 集群上安装经过认证的 Helm chart。

第 30 章 发布认证的 Helm chart
复制链接

当您通过拉取请求提交 Helm chart 进行验证时,红帽认证团队会检查并验证您的项目进行验证。验证成功后,您的 Helm Chart 项目会通过 GitHub 认证。

按照以下步骤发布您的认证 Helm chart:

  1. 访问 合作伙伴连接 网页。My Work 网页显示 Product Listings and Certification Projects
  2. 导航到 Product Listings 选项卡,再搜索所需的产品列表。
  3. 单击您要发布的新创建的产品列表。检查您的产品列表的所有详细信息。
  4. 从左侧窗格中,导航到 Certification Projects 选项卡。

  5. Attach Project 将认证 Helm chart 附加到此列表。另外,添加 Helm Chart 使用的认证容器项目。两个项目都必须处于 Published 状态。

    当您填写产品列表的所有所需信息以及附加的项目时,会启用 Publish 按钮。

  6. 单击 Publish

您的经认证的 Helm Chart 现在可在 红帽生态系统目录 上公开访问。

部分 V. CNF 认证和供应商验证
复制链接

第 31 章 使用云原生网络功能
复制链接

31.1. Cloud-native 网络功能简介
复制链接

云原生网络功能虚拟化(CNF)是经典物理或虚拟网络功能(VNF)的容器化实例,它们被放入支持弹性、生命周期管理、安全性、日志记录和其他功能的微服务中。

CNF 徽标是 Red Hat OpenShift 认证中的分类,适用于实现容器格式提供的、使用 Red Hat OpenShift 作为部署平台的网络功能的产品。满足要求并完成认证工作流的产品可以引用并推广为 Red Hat OpenShift Container Platform 上的 Vendor Validated CNF 或经认证的 CNF。批准认证后,CNF 将在红帽生态系统目录上列出,并使用 CNF 徽标进行识别。合作伙伴将收到徽标以推广其产品认证。

31.2. CNF 的认证工作流
复制链接

注意

红帽建议您在开始认证过程前具有红帽认证工程师或具有同等经验。

下图显示了认证流程概述:

图 31.1. CNF 项目的认证工作流

以下流程描述了对 CNF 项目认证工作流的可视化表示。
View larger image
以下流程描述了对 CNF 项目认证工作流的可视化表示。

任务摘要

认证工作流包括以下三个主要阶段:

  1. 第 4.1 节 “认证加入并打开您的第一个项目”
  2. 第 31.2.2 节 “完成清单”
  3. 第 31.2.3 节 “在红帽生态系统目录上发布 CNF 产品列表”

31.2.1. 认证加入并打开您的第一个项目
复制链接

先决条件

在继续认证过程前,请确保您的产品是否满足以下要求:

  • 您的产品通常可用于公共访问。
  • 您的产品已在 Red Hat OpenShift 中经过测试并部署。
  • 您的产品在 Red Hat OpenShift 上受到商业支持。

除了特定认证测试要求外,还验证您的产品在红帽平台上的功能。如果在目标 Red Hat OpenShift Container Platform 上运行产品会导致子标准体验,则必须在认证前解决问题。

红帽合作伙伴加速服务(PAD)是一个产品和技术级别合作伙伴帮助台服务,允许我们的(无论如何)技术合作伙伴成为与红帽产品、合作伙伴认证、服务流程等相关的非技术问题。

请参阅 PAD - 如何打开和管理 PAD 问题单,以创建一个 PAD ticket。

通过合作伙伴订阅计划,红帽提供免费的、不用于销售的软件订阅,您可用来在目标红帽平台上验证您的产品。要请求访问此计划,请按照 合作伙伴订阅 网站上的说明进行操作。

注意

在继续认证前,红帽建议检查您的容器镜像和 operator 或 Helm chart,以查看它们是否满足认证标准和策略。如需了解更多详细信息,请参阅 镜像内容要求Operator 要求和 Helm Chart 要求

流程

执行认证加入概述的步骤:

  1. 加入 Red Hat Connect for Technology Program ( Red Hat Connect for Technology Program (Red Hat Connect for Technology Program)
  2. 同意计划条款和条件。
  3. 填写您的公司简介。
  4. 通过选择所需平台来创建认证项目,例如: Red Hat OpenShift,然后选择 CNF 项目
注意

为每个合作伙伴产品版本及其相应的红帽基础版本创建单独的 CNF 项目。如果要认证 CNF 项目,请为每个附加的 CNF 组件(如容器镜像和 Operator 捆绑包或 Helm Chart)创建单独的 CNF 项目。

31.2.2. 完成清单
复制链接

执行完成清单概述的步骤:

  1. 为您的验证提供详情。
  2. 填写您的公司简介。
  3. 附加已完成的产品列表。
  4. 验证 Red Hat OpenShift 上 CNF 的功能进行供应商验证。
  5. 完成认证清单,以认证您的 CNF 项目。

认证或 供应商验证的 CNF 项目必须作为组件添加到 Red Hat Partner Connect 门户 的产品 产品列表页面中。发布后,您的产品列表将在 红帽生态系统目录 上显示,使用您提供的产品信息。您可以使用相应的标签在 红帽生态系统目录 中发布 Vendor Validated 和 Certified CNF 产品。

第 32 章 创建 CNF 项目
复制链接

流程

  1. 登录到 Red Hat Partner Connect 门户

    这时将显示 Access the partner portal 网页。

  2. 导航到 认证技术门户 标题,再单击 Log in for 技术合作伙伴

  3. 输入登录凭据并点 Login

    此时会显示 Red Hat Partner Connect 网页。

  4. 在页面标头中,选择 Product Certification,再单击 Manage Certification projects

    My Work 网页会显示 Product Listings and Certification Projects (如果可用)。

  5. 点击 Create Project
  6. 您要在对话框中认证的平台,选择 Red Hat OpenShift 单选按钮并点 Next。
  7. 在您要认证的 对话框中,选择 Cloud-native Network Function (CNF) 单选按钮,然后单击 Next

  8. Create Cloud-native Network Function (CNF)认证项目 网页上,提供以下详细信息以创建您的项目。

    1. 项目名称 :输入项目名称。此名称没有发布,仅用于内部使用。要在创建项目后更改项目名称,请导航到 Settings 选项卡。

      注意

      红帽建议将产品版本包含在项目名称中,以方便地识别新创建的 CNF 项目。例如,&lt ;CompanyName ProductName> 1.2 - OCP 4.12.2

    2. Create project

      注意

      为每个合作伙伴产品版本及其相应的红帽基础版本创建单独的 CNF 项目。另外,为每个附加的认证组件(如容器镜像、Operator 捆绑包或 Helm Chart)创建单独的 CNF 项目。您可以为产品创建多个 CNF 项目。

第 33 章 配置 CNF 项目
复制链接

创建项目时,将会显示新创建的 CNF Chart 项目网页。

CNF 项目网页由以下标签页组成:

  1. 概述 - 包含预公开和认证清单。
  2. Settings - 允许您配置项目详情。

在 CNF 项目网页右侧,如果现在或将来需要,在新创建的 CNF 项目中点击 Actions 菜单来执行以下操作:

33.1. 完成清单
复制链接

CNF 项目的 Overview 选项卡包含预公开和认证清单。这些清单由一系列您必须完成的任务组成,以发布您的 CNF 项目。

在发布 CNF 项目前,执行以下任务:

  1. 第 33.1.1 节 “为供应商验证完成预公共清单”
  2. 第 33.1.2 节 “完成认证清单以认证 Vendor Validated CNF 项目”

33.1.1. 为供应商验证完成预公共清单
复制链接

33.1.1.1. 完成您的公司简介
复制链接

保持您公司的最新资料。这些信息会在 Red Hat Ecosystem Catalog 和您的认证产品中发布。

要验证您的公司简介,请执行以下操作:

  1. 导航到 Complete your company profile 标题,再点 Edit
  2. 填写所有详细信息后,单击 Submit
  3. 要进行任何更改,请选择标题并点 ReviewAccount Details 页面显示您可以在其中查看和修改输入的 Company 配置集 信息。
注意

所有标有星号 * 的字段都是必需的,您必须先完成,然后才能进行预公共清单。

33.1.1.2. 提供有关您的验证详情
复制链接

导航到 Provide details your validation 标题,以进入 Red Hat Ecosystem Catalog 中显示的项目详情,以便用户可以拉取您的 CNF 项目。

要提供有关验证的详情,请执行以下操作:

  1. Start。您可以导航到 Settings 选项卡。
  2. 输入所有必需的项目详情。
  3. 填写所有详情后,单击 Save
  4. 要进行任何更改,请选择标题并点 Edit
33.1.1.3. 附加一个已完成的产品列表
复制链接

此功能允许您创建新产品列表,或将项目附加到新 CNF 项目的现有 OpenShift 产品列表中。

  1. 导航到 Attach a completed product list 标题
  2. Select method 下拉菜单中选择 Attach or edit。此时会显示 Attach product list 页面。

  3. 决定是否要将项目附加到现有产品列表中,还是要创建新产品列表:

    1. 将项目附加到现有产品列表中:

      1. 相关产品列表 部分中,单击 Select a product list 下拉列表,以选择所需的产品列表。
      2. 点击 Save

    2. 要创建新产品列表,请执行以下操作:

      1. 单击 Create new product list
      2. Product Name 文本框中,输入所需的产品名称。
      3. 点击 Save
    3. Select method 下拉菜单中选择 View product list 以导航到新的产品列表,并填写所有必需的产品列表详情。
    4. 点击 Save
33.1.1.4. 在 Red Hat OpenShift 中验证 CNF 的功能
复制链接

此功能允许 Red Hat CNF 认证团队检查您的产品是否满足供应商验证的所有标准。

要验证 CNF 项目的功能,请执行以下操作:

  1. 选择这个选项并点 Start questionnaire。显示 CNF questionnaire 页面。
  2. 输入您的所有产品和公司信息。
  3. 填写所有详细信息后,单击 Submit
  4. 要进行任何更改,请选择标题并点 Review process。显示 CNF questionnaire 页面,供您查看和修改输入的信息。

单击 Submit 后,将创建一个新的功能认证请求。红帽 CNF 认证团队将审核并验证所输入的 CNF 问题详情。成功审核和验证后,您的功能认证请求将获得批准,产品列表中的 认证级别 字段将设置为 Vendor Validated

完成每个步骤后,每个标题旁边会显示一个绿色勾号,表示特定的配置项目已完成。当所有项目在清单中完成时,预公开清单 左侧的披露将被关闭。

注意

只有在您要认证 CNF 项目时,才选择这个选项。

这是一个可选功能,允许您使用 Red Hat 认证工具认证您的 Vendor Validated 项目。对于每个供应商验证的项目,将在红帽合作伙伴认证门户上创建一个新的功能认证请求。当您请求认证时,您的功能认证请求将由 CNF 团队处理,以进行认证。

如果您认证了 Vendor Validated CNF 项目,则它将在带有 认证 标签的 红帽生态系统目录 中显示。

先决条件

  1. 在继续认证清单前,请完成预发布清单。
  2. 在提交 CNF 项目以进行认证前,请认证附加的容器镜像、operator 捆绑包或 helm chart。

流程

要认证您的 Vendor Validated CNF 项目,请执行以下步骤:

  1. 导航到 Certify 功能工具,以认证您的 CNF 标题,然后单击 Start。创建了一个新的功能认证请求,并将在红帽 合作伙伴认证 (rhcert)门户上重定向到您的项目。
  2. 运行 CNF 认证测试套件或使用 DCI OpenShit App Agent。它由一系列来自最佳实践的测试案例组成,以评估您的产品是否遵循这些原则并满足红帽认证标准。

  3. 要认证您的 CNF 项目,请在 Red Hat Partner Certification (rhcert)门户的 CNF 项目页面中执行以下步骤:

    1. 进入 Summary 选项卡,

      1. 要提交您的 CNF 认证测试结果,请点击 Files 部分的 Upload。选择 claim .jsontnf_config.yml 文件。然后,单击 Next。此时会显示成功上传信息。
      2. 在讨论文本框中添加与认证相关的查询 ( 如果有)。
      3. Add Comment。通过使用这个选项,您可以将您的问题与红帽 CNF 认证团队沟通。红帽 CNF 认证团队将为您的查询提供说明。

    2. Summary 选项卡中,

      1. 导航到 合作伙伴产品类别
      2. 单击 合作伙伴 产品版本选项下面的编辑图标,以输入您的产品版本,然后单击复选标记按钮。您的产品版本被更新。

    3. 导航到 Properties 选项卡,

      1. Platform 列表菜单选择您要在其上认证 CNF 项目的平台。例如 - x86_64
      2. Product Version 列表菜单选择您要在其上认证 CNF 项目的红帽产品版本。例如 - Red Hat OpenShift Platform
      3. 单击 Update Values。所选值已更新。
注意

所有版本的合作伙伴产品都未经过认证,可与每个版本的红帽产品一起使用。您需要使用所选的红帽基础版本认证您的产品的每个版本。例如,如果您使用 Red Hat OpenShift Container Platform 版本 4.13 认证您的产品版本 5.11,则只能使用 5.11 版本,而不是更新的版本。因此,使用最新版本的红帽基本产品单独认证您的产品的每个版本。

红帽 CNF 认证团队将检查并验证 CNF 项目的详细信息。当红帽 CNF 认证团队通过 CNF 在推荐的最佳实践中识别问题或违反情况时,联合讨论将意味着找到补救选项和时间表。如果承诺解决已确定的发行目标或时间表的问题,该团队也会考虑临时异常。所有例外都会记录在 KIE 基础文章中,在 CNF 在红帽生态系统目录中列出所有不合规的项目,但技术详情将保持私有。

注意

在开始按规定的顺序认证 CNF 项目前,必须重新认证 CNF 项目中引用的所有容器、Operator 或 Helm chart。

在经过红帽 CNF 认证团队验证成功后,您的 Vendor Validated CNF 项目将得到认证,并将在 红帽生态系统目录 中带有 认证 标签自动发布。

33.2. 管理项目设置
复制链接

您可以通过 Settings 选项卡配置 CNF 项目详情。当您的 CNF 项目被 Red Hat CNF 认证团队成功验证时,您的产品列表会在红帽生态系统目录中发布,以及以下详情:

  1. 项目详情 - 这包括 您的项目名称和 技术联系电子邮件地址。如果认证项目有任何疑问,红帽将使用此信息与您联系。

    注意

    红帽建议将产品版本包含在项目名称中,以方便地识别新创建的 CNF 项目。例如,&lt ;CompanyName ProductName> 1.2 - OCP 4.12.2

  2. 如果要添加额外的 技术联系电子邮件地址,点 Add new contact。
  3. 点击 Save
注意

所有标有星号 * 的字段都是必需的,必须完成,然后才能在此页面中保存您的更改。

当您在完成预公共清单后提交 CNF 项目以进行验证时,红帽 CNF 认证团队将检查并验证输入的 CNF 问题清单的详细信息。如果要认证您的 Vendor Validated CNF 项目,请完成认证清单。

红帽认证团队将审核提交的 CNF 测试结果。验证成功后,若要在 红帽生态系统目录 上发布您的产品,请导航到 Product Listings 页面,以附加 Vendor Validated 或 认证的 CNF 项目。

按照以下步骤发布您的产品列表:

  1. 访问 Red Hat Partner connect 网页。My Work 网页显示 Product Listings and Certification Projects
  2. 导航到 Product Listings 选项卡,再搜索所需的产品列表。
  3. 单击您要发布的新创建的产品列表。检查您的产品列表的所有详细信息。
  4. 在左侧窗格中,进入 Versions & Certifications 选项卡。

  5. 单击 Attach New Version,将新项目版本添加到您的产品列表中。

    注意

    在发布您的产品版本和产品认证前,您必须发布所有附加的项目版本。

  6. 从左侧窗格中,导航到 Certification Projects 选项卡。

  7. Attach ProjectVendor ValidatedCertified CNF 项目附加到此列表。在附加认证的 CNF 项目时,必须添加经过认证的容器镜像以及 CNF 项目使用的 operator 捆绑包或 Helm Chart 项目。

    注意

    所有附加的项目都必须处于 Published 状态。

    对于 Vendor Validated 项目,不需要这一步。当您填写产品列表的所有所需信息时,会启用 Publish 按钮,包括附加的项目。

  8. 单击 Publish

现在,通过 红帽生态系统目录 上的相应 厂商 验证或 经认证的 CNF 标签,提供了新的 CNF 产品列表。产品列表页面中的 认证 表显示以下详情:

  • 产品 - 例如 Red Hat OpenShift Container Platform
  • 版本 - 选择了红帽基本产品版本。例如,4.12 - 4.x
  • 架构 - 例如,x86_64
  • 合作伙伴产品版本 - 例如 5.11
  • 认证类型 - 例如 RHOCP 4 CNF
  • level - 例如,Vendor Validated 或 Certified

您需要使用所选的红帽基础版本认证您的产品的每个版本。因此,认证 表可以有同一红帽基础版本的多个版本的产品。例如,

Expand
产品版本架构合作伙伴产品版本认证类型认证级别

Red Hat OpenShift Container Platform

4.12

x86_64

5.11

RHOCP 4 CNF

vendor Validated

Red Hat OpenShift Container Platform

4.12

x86_64

5.12

RHOCP 4 CNF

已认证

Red Hat OpenShift Container Platform

4.12

x86_64

5.13

RHOCP 4 CNF

已认证

Red Hat OpenShift Container Platform

4.12

x86_64

5.14

RHOCP 4 CNF

vendor Validated

法律通告
复制链接

Copyright © 2023 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部