手順

1. インストールのプロジェクトを作成します (例: service-registry)。

   NAMESPACE="service-registry"
   oc new-project "$NAMESPACE"

2. install/ フォルダーにあるファイルを適用します。

   cat install/install.yaml | sed "s/apicurio-registry-operator-namespace/$NAMESPACE/g" | oc apply -f -

手順

1. 以下の例のように、データベースコネクションが設定された ApicurioRegistry カスタムリソース (CR) を作成します。

   SQL ストレージの CR の例

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-sql
   spec:
     configuration:
       persistence: "sql"
       sql:
         dataSource:
           url: "jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>"
           userName: "postgres"
           password: "<password>" # Optional

2. Operator がデプロイされているのと同じ namespace に ApicurioRegistry CR を作成します。

   oc project "$NAMESPACE"
   oc apply -f ./examples/apicurioregistry_sql_cr.yaml

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。

2. 新しい OpenShift プロジェクトを作成します。

   1. 左側のナビゲーションメニューで、Home、Project、Create Project と順にクリックします。
   2. プロジェクト名 (例: my-project) を入力し、Create をクリックします。
3. 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
4. Filter by keyword テキストボックスに registry を入力し、Red Hat Integration - Service Registry Operator を見つけます。
5. Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。

6. サブスクリプション設定を選択します。以下に例を示します。

   • Update Channel: 以下のいずれかを選択します。

     • 2.0.x: 2.0.1 や 2.0.2 などのパッチの更新のみが含まれます。たとえば、2.0.x へのインストールは自動的に 2.1.x を無視します。
     • 2.x: 2.1.0 や 2.0.1 などのすべてのマイナーおよびパッチの更新が含まれます。たとえば、2.0.x へのインストールは自動的に 2.1.x にアップグレードされます。

   • Installation Mode: 以下のいずれかを選択します。

     • All namespaces on the cluster (default)
     • A specific namespace on the cluster および my-project
   • Approval Strategy: Automatic または Manual を選択します。
7. Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
2. AMQ Streams をインストールする OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンメニューから、my-project を選択します。
3. 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
4. Filter by keyword テキストボックスに AMQ Streams を入力し、Red Hat Integration - AMQ Streams を見つけます。
5. Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。

6. サブスクリプション設定を選択します。以下に例を示します。

   • チャネルの更新および amq-streams-1.8.x

   • Installation Mode: 以下のいずれかを選択します。

     • All namespaces on the cluster (default)
     • A specific namespace on the cluster > my-project
   • Approval Strategy: Automatic または Manual を選択します。
7. Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。

2. Kafka クラスターがまだ設定されていない場合は、AMQ Streams を使用して新しい Kafka クラスターを作成します。たとえば、OpenShift OperatorHub では以下を実行します。

   1. Installed Operators をクリックしてから Red Hat Integration - AMQ Streams をクリックします。
   2. Provided APIs、Kafka と選択し、Create Instance をクリックして新しい Kafka クラスターを作成します。

   3. 適切にカスタムリソース定義を編集し、Create をクリックします。

      警告

      デフォルトの例では、3 つの Zookeeper ノード、3 つの ノード、および ephemeral ストレージを持つ 1 つの Kafka クラスターが作成されます。この一時ストレージは開発およびテストにのみ適しており、実稼働には適していません。詳細は、『Using AMQ Streams on OpenShift』を参照してください。

3. クラスターの準備ができたら、Provided APIs > Kafka > my-cluster > YAML をクリックします。

4. status ブロックで、bootstrapServers 値のコピーを作成します。これは、後ほど Service Registry のデプロイメントで使用します。以下に例を示します。

   status:
     ...
     conditions:
     ...
     listeners:
       - addresses:
           - host: my-cluster-kafka-bootstrap.my-project.svc
             port: 9092
         bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092'
         type: plain
     ...

5. Installed Operators > Red Hat Integration - Service Registry > ApicurioRegistry > Create ApicurioRegistry とクリックします。

6. 以下のカスタムリソース定義に貼り付けますが、先ほどコピーした bootstrapServers の値を使用します。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql
   spec:
     configuration:
       persistence: 'kafkasql'
       kafkasql:
         bootstrapServers: 'my-cluster-kafka-bootstrap.my-project.svc:9092'

7. Create をクリックし、OpenShift で Service Registry ルートが作成されるまで待機します。

8. Networking > Route をクリックして、Service Registry Web コンソールの新規ルートにアクセスします。以下に例を示します。

   http://example-apicurioregistry-kafkasql.my-project.my-domain-name.com/

手順

1. OpenShift Web コンソールで Installed Operators をクリックし、AMQ Streams Operator の詳細を選択してから、Kafka タブをクリックします。
2. Create Kafka をクリックし、Service Registry ストレージの新しい Kafka クラスターをプロビジョニングします。

3. 以下のように、Kafka クラスターの TLS 認証を使用するように authorization および tls フィールドを設定します。

   apiVersion: kafka.strimzi.io/v1beta2
   kind: Kafka
   metadata:
     name: my-cluster
     namespace: registry-example-kafkasql-tls
     # Change or remove the explicit namespace
   spec:
     kafka:
       config:
         offsets.topic.replication.factor: 3
         transaction.state.log.replication.factor: 3
         transaction.state.log.min.isr: 2
         log.message.format.version: '2.7'
         inter.broker.protocol.version: '2.7'
       version: 2.7.0
       storage:
         type: ephemeral
       replicas: 3
       listeners:
         - name: tls
           port: 9093
           type: internal
           tls: true
           authentication:
             type: tls
       authorization:
         type: simple
     entityOperator:
       topicOperator: {}
       userOperator: {}
     zookeeper:
       storage:
         type: ephemeral
       replicas: 3

   Service Registry がデータを保存するために使用するデフォルトの Kafka トピック名は kafkasql-journal です。このトピックは Service Registry によって自動的に作成されます。適切な環境変数 (デフォルト値) を設定して、この動作またはデフォルトのトピック名を上書きできます。

   • REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true
   • REGISTRY_KAFKASQL_TOPIC=kafkasql-journal

   Kafka トピックを手動で作成しない場合は、次の手順を省略します。

4. Kafka Topic タブをクリックしてから Create Kafka Topic をクリックし、kafkasql-journal トピックを作成します。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaTopic
   metadata:
     name: kafkasql-journal
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-tls
   spec:
     partitions: 2
     replicas: 1
     config:
       retention.ms: 604800000
       segment.bytes: 1073741824

5. Kafka User リソースを作成し、Service Registry ユーザーの認証および承認を設定します。metadata セクションでユーザー名を指定するか、デフォルトの my-user を使用できます。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaUser
   metadata:
     name: my-user
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-tls
   spec:
     authentication:
       type: tls
     authorization:
       acls:
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: topic
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: cluster
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: transactionalId
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: group
       type: simple

   注記

   Service Registry が必要とするトピックおよびリソースに合わせて承認を設定する必要があります。これは、単純な許容例です。

6. Workloads をクリックしてから Secrets をクリックし、Service Registry が Kafka クラスターに接続するために AMQ Stremas によって作成される 2 つのシークレットを見つけます。

   • my-cluster-cluster-ca-cert - Kafka クラスターの PKCS12 トラストストアが含まれます。

   • my-user - ユーザーのキーストアが含まれます。

     注記

     シークレットの名前は、クラスターまたはユーザー名によって異なります。

7. シークレットを手動で作成する場合は、以下のキーと値のペアを含める必要があります。

   • my-cluster-ca-cert

     • ca.p12 - PKCS12 形式のトラストストア
     • ca.password - トラストストアのパスワード

   • my-user

     • user.p12 - PKCS12 形式のキーストア
     • user.password - キーストアパスワード

8. Service Registry をデプロイするように、以下の設定例を設定します。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql
   spec:
     configuration:
       persistence: "kafkasql"
       kafkasql:
         bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-tls.svc:9093"
         security:
           tls:
             keystoreSecretName: my-user
             truststoreSecretName: my-cluster-cluster-ca-cert

手順

1. OpenShift Web コンソールで Installed Operators をクリックし、AMQ Streams Operator の詳細を選択してから、Kafka タブをクリックします。
2. Create Kafka をクリックし、Service Registry ストレージの新しい Kafka クラスターをプロビジョニングします。

3. 以下のように、Kafka クラスターの SCRAM-SHA-512 認証を使用するように authorization および tls フィールドを設定します。

   apiVersion: kafka.strimzi.io/v1beta2
   kind: Kafka
   metadata:
     name: my-cluster
     namespace: registry-example-kafkasql-scram
     # Change or remove the explicit namespace
   spec:
     kafka:
       config:
         offsets.topic.replication.factor: 3
         transaction.state.log.replication.factor: 3
         transaction.state.log.min.isr: 2
         log.message.format.version: '2.7'
         inter.broker.protocol.version: '2.7'
       version: 2.7.0
       storage:
         type: ephemeral
       replicas: 3
       listeners:
         - name: tls
           port: 9093
           type: internal
           tls: true
           authentication:
             type: scram-sha-512
       authorization:
         type: simple
     entityOperator:
       topicOperator: {}
       userOperator: {}
     zookeeper:
       storage:
         type: ephemeral
       replicas: 3

   Service Registry がデータを保存するために使用するデフォルトの Kafka トピック名は kafkasql-journal です。このトピックは Service Registry によって自動的に作成されます。適切な環境変数 (デフォルト値) を設定して、この動作またはデフォルトのトピック名を上書きできます。

   • REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true
   • REGISTRY_KAFKASQL_TOPIC=kafkasql-journal

   Kafka トピックを手動で作成しない場合は、次の手順を省略します。

4. Kafka Topic タブをクリックしてから Create Kafka Topic をクリックし、kafkasql-journal トピックを作成します。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaTopic
   metadata:
     name: kafkasql-journal
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-scram
   spec:
     partitions: 2
     replicas: 1
     config:
       retention.ms: 604800000
       segment.bytes: 1073741824

5. Kafka User リソースを作成し、Service Registry ユーザーの SCRAM 認証および承認を設定します。metadata セクションでユーザー名を指定するか、デフォルトの my-user を使用できます。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: KafkaUser
   metadata:
     name: my-user
     labels:
       strimzi.io/cluster: my-cluster
     namespace: registry-example-kafkasql-scram
   spec:
     authentication:
       type: scram-sha-512
     authorization:
       acls:
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: topic
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: cluster
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: transactionalId
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: group
       type: simple

   注記

   Service Registry が必要とするトピックおよびリソースに合わせて承認を設定する必要があります。これは、単純な許容例です。

6. Workloads をクリックしてから Secrets をクリックし、Service Registry が Kafka クラスターに接続するために AMQ Stremas によって作成される 2 つのシークレットを見つけます。

   • my-cluster-cluster-ca-cert - Kafka クラスターの PKCS12 トラストストアが含まれます。

   • my-user - ユーザーのキーストアが含まれます。

     注記

     シークレットの名前は、クラスターまたはユーザー名によって異なります。

7. シークレットを手動で作成する場合は、以下のキーと値のペアを含める必要があります。

   • my-cluster-ca-cert

     • ca.p12 - PKCS12 形式のトラストストア
     • ca.password - トラストストアのパスワード

   • my-user

     • password - ユーザーパスワード

8. Service Registry をデプロイするように、以下の設定例を設定します。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql
   spec:
     configuration:
       persistence: "kafkasql"
       kafkasql:
         bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-scram.svc:9093"
         security:
           scram:
             truststoreSecretName: my-cluster-cluster-ca-cert
             user: my-user
             passwordSecretName: my-user

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
2. PostgreSQL Operator をインストールする OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンメニューから、my-project を選択します。
3. 左側のナビゲーションメニューで、Operators をクリックした後、OperatorHub をクリックします。
4. Filter by keyword テキストボックスに PostgreSQL を入力し、環境に適した Operator を見つけます (例: Crunchy PostgreSQL for OpenShift または PostgreSQL Operator by Dev4Ddevs.com ) 。
5. Operator に関する情報を読み、Install をクリックして Operator サブスクリプションページを表示します。

6. サブスクリプション設定を選択します。以下に例を示します。

   • Update Channel: stable
   • Installation Mode: A specific namespace on the cluster および my-project
   • Approval Strategy: Automatic または Manual を選択します。

7. Install をクリックし、Operator が使用できるようになるまでしばらく待ちます。

   重要

   データベースの作成と管理方法の詳細については、選択したPostgreSQL Operator のドキュメントを読む必要があります。

手順

1. OpenShift Container Platform Web コンソールで、クラスター管理者権限を持つアカウントを使用してログインします。
2. Service Registry および PostgreSQL Operator がインストールされている OpenShift プロジェクトに切り替えます。たとえば、Project ドロップダウンメニューから、my-project を選択します。
3. Service Registry ストレージの PostgreSQL データベースを作成します。たとえば、Installed Operators、PostgreSQL Operator by Dev4Ddevs.com の順にクリックした後、Create database をクリックします。

4. YAML をクリックし、以下のようにデータベース設定を編集します。

   • name: 値を registry に変更します。
   • image: 値を centos/postgresql-12-centos7 に変更します。

5. 実際の環境に応じて、必要に応じてその他のデータベース設定を編集します。以下に例を示します。

   apiVersion: postgresql.dev4devs.com/v1alpha1
   kind: Database
   metadata:
     name: registry
     namespace: my-project
   spec:
     databaseCpu: 30m
     databaseCpuLimit: 60m
     databaseMemoryLimit: 512Mi
     databaseMemoryRequest: 128Mi
     databaseName: example
     databaseNameKeyEnvVar: POSTGRESQL_DATABASE
     databasePassword: postgres
     databasePasswordKeyEnvVar: POSTGRESQL_PASSWORD
     databaseStorageRequest: 1Gi
     databaseUser: postgres
     databaseUserKeyEnvVar: POSTGRESQL_USER
     image: centos/postgresql-12-centos7
     size: 1

6. Create をクリックし、データベースが作成されるまで待ちます。
7. Installed Operators > Red Hat Integration - Service Registry > ApicurioRegistry > Create ApicurioRegistry とクリックします。

8. 以下のカスタムリソース定義に貼り付け、データベース url およびクレデンシャルの値を編集して環境と一致するようにします。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-sql
   spec:
     configuration:
       persistence: 'sql'
       sql:
         dataSource:
           url: 'jdbc:postgresql://<service name>.<namespace>.svc:5432/<database name>'
           # e.g. url: 'jdbc:postgresql://acid-minimal-cluster.my-project.svc:5432/registry'
           userName: 'postgres'
           password: '<password>' # Optional

9. Create をクリックし、OpenShift で Service Registry ルートが作成されるまで待機します。

10. Networking > Route をクリックして、Service Registry Web コンソールの新規ルートにアクセスします。以下に例を示します。

    http://example-apicurioregistry-sql.my-project.my-domain-name.com/

手順

1. 以下のコマンドを入力して、データベースを作成します。

    $ createdb -T template0 dbname

2. 以下のコマンドを入力して SQL ダンプを復元します。

    $ psql dbname < dumpfile

3. クエリーオプティマイザーが便利な統計を持つように、各データベースで ANALYZE を実行します。

手順

1. OpenShift Web コンソールで、Installed Operators および Red Hat Single Sign-On Operator をクリックし、Keycloak タブをクリックします。

2. Create Keycloak をクリックし、Service Registry デプロイメントのセキュリティーを保護するために、新しい Red Hat Single Sign-On インスタンスをプロビジョニングします。デフォルト値を使用できます。以下に例を示します。

   apiVersion: keycloak.org/v1alpha1
   kind: Keycloak
   metadata:
     name: example-keycloak
     labels:
       app: sso
   spec:
     instances: 1
     externalAccess:
       enabled: True
     podDisruptionBudget:
       enabled: True

3. インスタンスが作成されるまで待ち、Networking をクリックした後に Routes をクリックし、keycloak インスタンスの新規ルートにアクセスします。
4. Location URL をクリックし、後で Service Registry のデプロイ時に使用する、表示された ../auth URL 値をコピーします。

5. Installed Operators および Red Hat Single Sign-On Operator をクリックし、Keycloak Realm タブをクリックした後、Create Keycloak Realm をクリックして registry のサンプルレルムを作成します。

   apiVersion: keycloak.org/v1alpha1
   kind: KeycloakRealm
   metadata:
     name: registry-keycloakrealm
   spec:
     instanceSelector:
       matchLabels:
         app: sso
     realm:
       displayName: Registry
       enabled: true
       id: registry
       realm: registry
       sslRequired: none
       roles:
         realm:
           - name: sr-admin
           - name: sr-developer
           - name: sr-readonly
       clients:
         - clientId: registry-client-ui
           implicitFlowEnabled: true
           redirectUris:
             - '*'
           standardFlowEnabled: true
           webOrigins:
             - '*'
           publicClient: true
         - clientId: registry-client-api
           implicitFlowEnabled: true
           redirectUris:
             - '*'
           standardFlowEnabled: true
           webOrigins:
             - '*'
           publicClient: true
       users:
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-admin
           username: registry-admin
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-developer
           username: registry-developer
         - credentials:
             - temporary: false
               type: password
               value: changeme
           enabled: true
           realmRoles:
             - sr-readonly
           username: registry-user

   重要

   実稼働環境にデプロイする場合は、ご使用の環境に適した値でこの KeycloakRealm リソースをカスタマイズする必要があります。Red Hat Single Sign-On Web コンソールを使用してレルムを作成および管理することもできます。

6. クラスターに有効な HTTPS 証明書が設定されていない場合は、以下の HTTP Service および Ingress リソースを一時的な回避策として作成できます。

   1. Networking をクリックしてから Services をクリックし、以下の例を使用して Create Service をクリックします。

      apiVersion: v1
      kind: Service
      metadata:
        name: keycloak-http
        labels:
          app: keycloak
      spec:
        ports:
          - name: keycloak-http
            protocol: TCP
            port: 8080
            targetPort: 8080
        selector:
          app: keycloak
          component: keycloak
        type: ClusterIP
        sessionAffinity: None
      status:
        loadBalancer: {}

   2. Networking をクリックしてから Ingresses をクリックし、以下の例を使用して Create Ingress をクリックします。

      apiVersion: networking.k8s.io/v1beta1
      kind: Ingress
      metadata:
        name: keycloak-http
        labels:
          app: keycloak
      spec:
        rules:
          - host: keycloak-http.local
            http:
              paths:
                - path: /
                  pathType: ImplementationSpecific
                  backend:
                    serviceName: keycloak-http
                    servicePort: 8080

      host の値を変更して、Service Registry ユーザーがアクセスできるルートを作成し、Red Hat Single Sign-On Operator によって作成された HTTPS ルートの代わりにこれを使用します。

7. Service Registry Operator をクリックし、以下の例のように ApicurioRegistry タブをクリックして Create ApicurioRegistry をクリックしますが、keycloak セクションの値を置き換えます。

   apiVersion: registry.apicur.io/v1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry-kafkasql-keycloak
   spec:
     configuration:
       security:
         keycloak:
           url: "http://keycloak-http-<namespace>.apps.<cluster host>/auth"
           # ^ Required
           # Keycloak server URL, must end with `/auth`.
           # Use an HTTP URL in development.
           realm: "registry"
           # apiClientId: "registry-client-api"
           # ^ Optional (default value)
           # uiClientId: "registry-client-ui"
           # ^ Optional (default value)
       persistence: 'kafkasql'
       kafkasql:
         bootstrapServers: '<my-cluster>-kafka-bootstrap.<namespace>.svc:9092'

手順

1. Red Hat Single Sign-On 管理コンソールで、Service Registry の Red Hat Single Sign-On レルムを作成します。デフォルトでは、Service Registry はレルム名 registry を想定します。レルムの作成に関する詳細は、Red Hat Single Sign-On のユーザードキュメント を参照してください。

2. Service Registry API 向けに Red Hat Single Sign-On クライアントを作成します。デフォルトでは、Service Registry は次の設定を想定しています。

   • Client ID: registry-api
   • Client Protocol: openid-connect

   • Access Type: bearer-only

     他のクライアント設定にはデフォルト値を使用できます。

     注記

     Red Hat Single Sign-On サービスアカウントを使用している場合は、Access Type は bearer-only ではなく confidential である必要があります。

3. Service Registry Web コンソール向けに Red Hat Single Sign-On クライアントを作成します。デフォルトでは、Service Registry は次の設定を想定しています。

   • Client ID: apicurio-registry
   • Client Protocol: openid-connect
   • Access Type: public
   • Valid Redirect URLs: http://my-registry-url:8080/*

   • Web Origins: +

     他のクライアント設定にはデフォルト値を使用できます。

4. OpenShift での Service Registry デプロイメントで、以下の Service Registry 環境変数を設定し、Red Hat Single Sign-On を使用して認証を設定します。

   表5.2 Service Registry 認証設定

   環境変数	説明	型	デフォルト
   AUTH_ENABLED	true に設定すると、従う環境変数が必要です。	String	false
   KEYCLOAK_URL	使用する Red Hat Single Sign-On 認証サーバーの URL。/auth で終わる必要があります。	String	なし
   KEYCLOAK_REALM	認証に使用する Red Hat Single Sign-On レルム。	String	registry
   KEYCLOAK_API_CLIENT_ID	Service Registry REST API のクライアント ID。	String	registry-api
   KEYCLOAK_UI_CLIENT_ID	Service Registry Web コンソールのクライアント ID。	String	apicurio-registry

   ヒント

   OpenShift に環境変数を設定する例については、「OpenShift での Service Registry ヘルスチェックの設定」 を参照してください。

5. Red Hat Single Sign-On で Service Registry ユーザーロールを有効にするため、以下のオプションを true に設定します。

   表5.3 Service Registry ユーザーロールの設定

   環境変数	Java システムプロパティー	型	デフォルト値
   ROLES_ENABLED	registry.auth.roles.enabled	Boolean	false

6. Service Registry のユーザーロールが有効になっている場合は、Red Hat Single Sign-On レルムで Service Registry ユーザーを以下のデフォルトユーザーロールの 1 つ以上に割り当てる必要があります。

   表5.4 レジストリーの認証および承認のデフォルトユーザーロール

   ロール	アーティファクトの読み取り	アーティファクトの書き込み	グローバルルール	概要
   sr-admin	可能	可能	可能	すべての作成、読み取り、更新、および削除操作へのフルアクセス。
   sr-developer	可能	可能	不可能	グローバルルールの設定を除く、作成、読み取り、更新、および削除操作へのアクセス。このロールはアーティファクトルールを設定できます。
   sr-readonly	可能	不可能	不可能	読み取りおよび検索操作のみへのアクセス。このロールはルールを設定できません。

7. 以下を true に設定し、Service Registry のスキーマおよび API アーティファクトへの更新に対する所有者のみの承認を有効にします。

   表5.5 所有者のみの承認の設定

   環境変数	Java システムプロパティー	型	デフォルト値
   REGISTRY_AUTH_OWNER_ONLY_AUTHORIZATION	registry.auth.owner-only-authorization	Boolean	false

手順

1. 自己署名証明書を使用して keystore を生成します。独自の証明書を使用している場合は、この手順を省略できます。

   keytool -genkey -trustcacerts -keyalg RSA -keystore registry-keystore.jks -storepass password

2. キーストアおよびキーストアのパスワードを保持する新しいシークレットを作成します。

   1. OpenShift Web コンソールの左側のナビゲーションメニューで、Workloads > Secrets > Create Key/Value Secret とクリックします。

   2. 以下の値を使用します。
      Name: registry-keystore
      Key 1: keystore.jks
      Value 1: registry-keystore.jks (アップロードしたファイル)
      Key 2: password
      Value 2: password

      注記

      java.io.IOException: Invalid keystore format が発生した場合、バイナリーファイルのアップロードが正常に行われていません。代わりに、cat registry-keystore.jks | base64 -w0 > data.txt を使用してファイルを base64 文字列としてエンコードし、Secret リソースを yaml として編集して、エンコードされたファイルを手動で追加します。

3. Service Registry インスタンスの Deployment リソースを編集します。Service Registry Operator の status フィールドで正しい名前を見つけることができます。

   1. キーストアシークレットをボリュームとして追加します。

      template:
        spec:
          volumes:
          - name: registry-keystore-secret-volume
            secret:
            secretName: registry-keystore

   2. ボリュームマウントを追加します。

      volumeMounts:
        - name: registry-keystore-secret-volume
          mountPath: /etc/registry-keystore
          readOnly: true

   3. JAVA_OPTIONS および KEYSTORE_PASSWORD環境変数を追加します。

      - name: KEYSTORE_PASSWORD
        valueFrom:
          secretKeyRef:
            name: registry-keystore
            key: password
      - name: JAVA_OPTIONS
          value: >-
           -Dquarkus.http.ssl.certificate.key-store-file=/etc/registry-keystore/keystore.jks
           -Dquarkus.http.ssl.certificate.key-store-file-type=jks
           -Dquarkus.http.ssl.certificate.key-store-password=$(KEYSTORE_PASSWORD)

      注記

      順序は、文字列の補間を使用する場合に重要です。

   4. HTTPS ポートを有効にします。

      ports:
        - containerPort: 8080
          protocol: TCP
        - containerPort: 8443
          protocol: TCP

4. Service Registry インスタンスの Service リソースを編集します。Service Registry Operator の status フィールドで正しい名前を見つけることができます。

   ports:
     - name: http
       protocol: TCP
       port: 8080
       targetPort: 8080
     - name: https
       protocol: TCP
       port: 8443
       targetPort: 8443

5. 接続が機能していることを確認します。

   1. SSH を使用してクラスターの Pod に接続します (Service Registry Pod を使用できます)。

      oc rsh -n default example-apicurioregistry-deployment-vx28s-4-lmtqb

   2. Serviceリソースから Service Registry Pod のクラスター IP を見つけます (Web コンソールの Location 列を参照)。その後、テスト要求を実行します (自己署名証明書を使用するので、セキュアでないフラグが必要になります)。

      curl -k https://172.30.209.198:8443/health
      [...]

手順

1. Service Registry Operator によって作成される HTTP ルートの他に、2 つ目の Route を追加します。以下の例を参照してください。

   kind: Route
   apiVersion: route.openshift.io/v1
   metadata:
     [...]
     labels:
       app: example-apicurioregistry
       [...]
   spec:
     host: example-apicurioregistry-default.apps.example.com
     to:
       kind: Service
       name: example-apicurioregistry-service-9whd7
       weight: 100
     port:
       targetPort: 8080
     tls:
       termination: edge
       insecureEdgeTerminationPolicy: Redirect
     wildcardPolicy: None

   注記

   insecureEdgeTerminationPolicy: Redirect 設定プロパティーが設定されていることを確認してください。

   証明書を指定しない場合、OpenShift はデフォルトを使用します。または、以下のコマンドを使用してカスタムの自己署名証明書を生成することもできます。

   openssl genrsa 2048 > host.key &&
   openssl req -new -x509 -nodes -sha256 -days 365 -key host.key -out host.cert

   次に、OpenShift CLI を使用してルートを作成します。

   oc create route edge \
     --service=example-apicurioregistry-service-9whd7 \
     --cert=host.cert --key=host.key \
     --hostname=example-apicurioregistry-default.apps.example.com \
     --insecure-policy=Redirect \
     -n default

手順

1. この curl コマンドを使用して、ロガー io.apicurio.registry.storage の現在のログレベルを取得します。

   $ curl -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"INFO"}

2. この curl コマンドを使用して、ロガー io.apicurio.registry.storage のログレベルを DEBUG に変更します。

   $ curl -X PUT -i -H "Content-Type: application/json" --data '{"level":"DEBUG"}' localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"DEBUG"}

3. この curl コマンドを使用して、ロガー io.apicurio.registry.storage のログレベルをデフォルト値に戻します。

   $ curl -X DELETE -i localhost:8080/apis/registry/v2/admin/loggers/io.apicurio.registry.storage
   HTTP/1.1 200 OK
   [...]
   Content-Type: application/json
   {"name":"io.apicurio.registry.storage","level":"INFO"}

手順

1. HTTP プロトコルを使用する場合は、以下のようにイベントをアプリケーションに送信するように Service Registry を設定します。

   • registry.events.sink.my-custom-consumer=http://my-app-host:8888/events

2. 必要に応じて、複数のイベントコンシューマーを以下のように設定できます。

   • registry.events.sink.my-custom-consumer=http://my-app-host:8888/events
   • registry.events.sink.other-consumer=http://my-consumer.com/events

手順

1. Kafka プロトコルを使用する場合、以下のように Kafka トピックを設定します。

   • registry.events.kafka.topic=my-registry-events

2. KAFKA_BOOTSTRAP_SERVERS 環境変数を使用して Kafka プロデューサーを設定できます。

   • KAFKA_BOOTSTRAP_SERVERS=my-kafka-host:9092

     または、registry.events.kafka.config.bootstrap.servers=my-kafka-host:9092 のように、registry.events.kafka.config プレフィックスを使用して kafka プロデューサーのプロパティーを設定することもできます。

3. 必要に応じて、イベントの生成に使用する Kafka トピックパーティションを設定することもできます。

   • registry.events.kafka.topic-partition=1