Quay Operator の使用による OpenShift への Red Hat Quay のデプロイ
序文
1. OpenShift での Red Hat Quay の前提条件
2. Quay Operator のインストール
Expand section "2. Quay Operator のインストール" Collapse section "2. Quay Operator のインストール"
1. 2.1. 以前のバージョンとの相違点
2. 2.2. Quay Operator のインストール前に
  Expand section "2.2. Quay Operator のインストール前に" Collapse section "2.2. Quay Operator のインストール前に"
3. 2.3. OperatorHub からの Operator のインストール
3. 高レベルの概念
Expand section "3. 高レベルの概念" Collapse section "3. 高レベルの概念"
1. 3.1. QuayRegistry API
2. 3.2. Quay コンポーネント
3. 3.3. 管理コンポーネントの使用
4. 3.4. 依存関係向けの管理対象外コンポーネントの使用
  Expand section "3.4. 依存関係向けの管理対象外コンポーネントの使用" Collapse section "3.4. 依存関係向けの管理対象外コンポーネントの使用"
5. 3.5. 設定バンドルシークレット
6. 3.6. QuayRegistry ステータス
  Expand section "3.6. QuayRegistry ステータス" Collapse section "3.6. QuayRegistry ステータス"
4. Quay Operator を使用した Quay のデプロイ
Expand section "4. Quay Operator を使用した Quay のデプロイ" Collapse section "4. Quay Operator を使用した Quay のデプロイ"
1. 4.1. Quay レジストリーの作成
  Expand section "4.1. Quay レジストリーの作成" Collapse section "4.1. Quay レジストリーの作成"
  1. 4.1.1. OpenShift Console
  2. 4.1.2. コマンドライン
2. 4.2. インフラストラクチャーノードでの Quay のデプロイ
  Expand section "4.2. インフラストラクチャーノードでの Quay のデプロイ" Collapse section "4.2. インフラストラクチャーノードでの Quay のデプロイ"
5. Quay Operator を使用した Quay のアップグレード
Expand section "5. Quay Operator を使用した Quay のアップグレード" Collapse section "5. Quay Operator を使用した Quay のアップグレード"
1. 5.1. Operator Lifecycle Manager
2. 5.2. Quay Operator のアップグレードによる Quay のアップグレード
  Expand section "5.2. Quay Operator のアップグレードによる Quay のアップグレード" Collapse section "5.2. Quay Operator のアップグレードによる Quay のアップグレード"
3. 5.3. QuayRegistry のアップグレード
4. 5.4. Quay 3.5 の新機能の有効化
  Expand section "5.4. Quay 3.5 の新機能の有効化" Collapse section "5.4. Quay 3.5 の新機能の有効化"
  1. 5.4.1. コンソールでのモニタリングおよびアラート
  2. 5.4.2. OCI および Helm サポート
5. 5.5. QuayEcosystem のアップグレード
  Expand section "5.5. QuayEcosystem のアップグレード" Collapse section "5.5. QuayEcosystem のアップグレード"
  1. 5.5.1. QuayEcosystem アップグレードを元に戻す
  2. 5.5.2. アップグレードでサポートされる QuayEcosystem 設定
6. Quay Operator の機能
Expand section "6. Quay Operator の機能" Collapse section "6. Quay Operator の機能"
1. 6.1. Helm OCI サポートおよび Red Hat Quay
  Expand section "6.1. Helm OCI サポートおよび Red Hat Quay" Collapse section "6.1. Helm OCI サポートおよび Red Hat Quay"
2. 6.2. コンソールでのモニタリングおよびアラート
  Expand section "6.2. コンソールでのモニタリングおよびアラート" Collapse section "6.2. コンソールでのモニタリングおよびアラート"
3. 6.3. FIPS の readiness およびコンプライアンス
7. 高度な概念
Expand section "7. 高度な概念" Collapse section "7. 高度な概念"
1. 7.1. Quay デプロイメントのカスタマイズ
  Expand section "7.1. Quay デプロイメントのカスタマイズ" Collapse section "7.1. Quay デプロイメントのカスタマイズ"
  1. 7.1.1. Quay アプリケーション設定
  2. 7.1.2. レジストリーへの外部アクセスのカスタマイズ
    
    Expand section "7.1.2. レジストリーへの外部アクセスのカスタマイズ" Collapse section "7.1.2. レジストリーへの外部アクセスのカスタマイズ"
    
    7.1.2.1. カスタムのホスト名および TLS の使用
    
    7.1.2.2. OpenShift で提供される TLS 証明書の使用
  3. 7.1.3. Route コンポーネントの無効化
  4. 7.1.4. 管理ストレージのサイズ変更
    
    Expand section "7.1.4. 管理ストレージのサイズ変更" Collapse section "7.1.4. 管理ストレージのサイズ変更"
    
    7.1.4.1. Noobaa PVC のサイズ変更
    
    7.1.4.2. 別のストレージプールの追加
  5. 7.1.5. デフォルトの Operator イメージのカスタマイズ
    
    Expand section "7.1.5. デフォルトの Operator イメージのカスタマイズ" Collapse section "7.1.5. デフォルトの Operator イメージのカスタマイズ"
    
    7.1.5.1. 環境変数
    
    7.1.5.2. 実行中の Operator へのオーバーライドの適用
  6. 7.1.6. AWS S3 CloudFront

第6章 Quay Operator の機能

6.1. Helm OCI サポートおよび Red Hat Quay

Red Hat Quay などのコンテナーレジストリーは、当初は Docker イメージ形式でコンテナーイメージをサポートするように設計されています。Docker 以外で追加のランタイムの使用をプロモートするために、コンテナーランタイムとイメージ形式に関連する標準化を提供するために Open Container Initiative (OCI) が作成されました。ほとんどのコンテナーレジストリーは、Docker イメージマニフェスト V2、Schema 2 形式をベースとして OCI 標準化をサポートします。

コンテナーイメージのほかにも、個別のアプリケーションだけでなく、Kubernetes プラットフォームを全体としてサポートする各種のアーティファクトが新たに出現しました。これらは、アプリケーションのデプロイメントを支援するセキュリティーおよびガバナンスの Open Policy Agent (OPA) ポリシーから Helm チャートおよび Operator に及びます。

Red Hat Quay は、コンテナーイメージを格納するだけでなく、コンテナーの管理を支援するツールのエコシステム全体をサポートするプライベートコンテナーレジストリーです。Red Hat Quay 3.5 のリリースでは、OCI ベースのアーティファクト（具体的には Helm チャート) の使用のサポートが、テクニカルプレビュー (TP) ではなく一般公開 (GA) 機能として利用可能になりました。

OpenShift Operator を使用して Red Hat Quay 3.5 をデプロイすると、Helm および OCI アーティファクトのサポートがデフォルトで有効にされるようになりました。機能を明示的に有効にする必要がある場合（機能が無効にされている場合や、デフォルトで有効にされていないバージョンからアップグレードした場合など）は、「 OCI および Helm サポートの有効化」のセクションを参照してください。

6.1.1. Helm および OCI の前提条件

信頼される証明書: Helm クライアントと Quay 間の通信は HTTPS 経由で行われ、Helm 3.5 の時点では、サポートは信頼される証明書を使用して HTTPS で通信するレジストリーについてのみ利用できます。さらに、オペレーティングシステムはレジストリーで公開される証明書を信頼する必要があります。今後の Helm リリースでのサポートにより、リモートレジストリーとの非セキュアな通信が可能になります。これを念頭に置いて、オペレーティングシステムが Quay で使用される証明書を信頼するように設定されていることを確認します。以下は例になります。
```
$ sudo cp rootCA.pem   /etc/pki/ca-trust/source/anchors/
$ sudo update-ca-trust extract
```
実験的な機能: Helm および OCI レジストリーと対話するコマンドの多くは、helm chart サブコマンドを利用します。本書の作成時点では、Helm での OCI サポートは「experimental (実験的な)」機能とマークされており、明示的に有効にする必要があります。これは、環境変数 HELM_EXPERIMENTAL_OCI=1 を設定して実行されます。
Helm クライアントのインストール: 必要なバージョンを https://github.com/helm/helm/releases からダウンロードします (例: https://get.helm.sh/helm-v3.5.3-linux-amd64.tar.gz)。これを展開し、helm バイナリーをその必要な宛先に移動します。
```
$ tar -zxvf helm-v3.5.3-linux-amd64.tar.gz
$ mv linux-amd64/helm /usr/local/bin/helm
```
Quay での組織の作成: Quay レジストリー UI を使用し、Helm チャートを保存するために新しい組織を作成します。たとえば、helm という名前の組織を作成します。

6.1.2. Quay での Helm チャートの使用

Helm は、Cloud Native Computing Foundation (CNCF) から進展したプロジェクトとして、アプリケーションのパッケージ化およびデプロイを単純化する、Kubernetes の事実上のパッケージマネージャーです。Helm は、アプリケーションを表す Kubernetes リソースが含まれる Chart というパッケージ形式を使用します。Chart (チャート) は、リポジトリーでの一般的なディストリビューションや消費用に利用できます。Helm リポジトリーは、index.yaml メタデータファイルと、オプションでパッケージ化されたチャートのセットを提供する HTTP サーバーです。Helm バージョン 3 以降、従来のリポジトリーの代わりとして OCI レジストリーでチャートを提供するためのサポートが利用できるようになりました。Quay を Helm チャートのレジストリーとして使用する方法を説明するために、Helm リポジトリーの既存チャートを使用してチャート開発者とユーザー向けに OCI レジストリーとの対話を示します。

以下の例では、以下の手順に従って、サンプルの etherpad チャートが Red Community of Practice (CoP) リポジトリーからダウンロードされ、ローカルの Red Hat Quay リポジトリーにプッシュされます。

適切なリポジトリーを追加します。
リポジトリーを最新のメタデータで更新します
チャートをダウンロードして展開し、 etherpad というローカルディレクトリーを作成します。

以下は例になります。

$ helm repo add redhat-cop https://redhat-cop.github.io/helm-charts
$ helm repo update
$ helm pull redhat-cop/etherpad --version=0.0.4 --untar

チャートにタグ付けするには、helm chart save コマンドを使用する必要があります。これは、イメージにタグ付けするために podman タグ を使用することに対応します。

$ helm chart save ./etherpad example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4

ref:     example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4
digest:  6850d9b21dd4b87cf20ad49f2e2c7def9655c52ea573e1ddb9d1464eeb6a46a6
size:    3.5 KiB
name:    etherpad
version: 0.0.4
0.0.4: saved

helm chart list コマンドを使用して、チャートのローカルインスタンスを表示します。

helm chart list

REF                                                                               NAME     VERSION DIGEST SIZE   CREATED
example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4 etherpad 0.0.4   ce0233f 3.5 KiB 23 seconds

チャートをプッシュする前に、helm registry login コマンドを使用してリポジトリーにログインします。

$ helm registry login example-registry-quay-quay-enterprise.apps.user1.example.com
Username: quayadmin
Password:
Login succeeded

helm chart push コマンドを使用してチャートをローカル Quay リポジトリーにプッシュします。

$ helm chart push example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4

The push refers to repository [example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad]
ref:     example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4
digest:  ce0233fd014992b8e27cc648cdabbebd4dd6850aca8fb8e50f7eef6f2f49833d
size:    3.5 KiB
name:    etherpad
version: 0.0.4
0.0.4: pushed to remote (1 layer, 3.5 KiB total)

プッシュが機能することをテストするには、ローカルコピーを削除してから、チャートをリポジトリーからプルします。

$ helm chart rm example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4
$ rm -rf etherpad
$ helm chart pull example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4

0.0.4: Pulling from example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad
ref:     example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4
digest:  6850d9b21dd4b87cf20ad49f2e2c7def9655c52ea573e1ddb9d1464eeb6a46a6
size:    3.5 KiB
name:    etherpad
version: 0.0.4
Status: Downloaded newer chart for example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4

helm chart export コマンドを使用してチャートファイルを展開します。

$ helm chart export example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4

ref:     example-registry-quay-quay-enterprise.apps.user1.example.com/helm/etherpad:0.0.4
digest:  ce0233fd014992b8e27cc648cdabbebd4dd6850aca8fb8e50f7eef6f2f49833d
size:    3.5 KiB
name:    etherpad
version: 0.0.4
Exported chart to etherpad/

6.1.3. OCI および Helm の設定

Helm および OCI アーティファクトのサポートが、Red Hat Quay 3.5 でデフォルトで有効にされるようになりました。機能を明示的に有効にする必要がある場合（機能が無効にされている場合や、デフォルトで有効にされていないバージョンからアップグレードした場合など) は、OCI アーティファクトの使用を有効にするために 2 つのプロパティーを Quay 設定に追加する必要があります。

FEATURE_GENERAL_OCI_SUPPORT: true
FEATURE_HELM_OCI_SUPPORT: true

表6.1 OCI および Helm の設定

フィールド	タイプ	詳細
FEATURE_GENERAL_OCI_SUPPORT	Boolean	OCI アーティファクトのサポートを有効にしますデフォルト: True
FEATURE_HELM_OCI_SUPPORT	Boolean	Helm アーティファクトのサポートを有効にしますデフォルト: True

6.1.4. Operator を使用した OCI および Helm の設定

Quay の設定のカスタマイズは、設定バンドルを含むシークレットで提供できます。以下のコマンドを実行して、quay-config-bundle という新規シークレットを適切な namespace に作成します。これには、OCI サポートを有効にするために必要なプロパティーが含まれます。

quay-config-bundle.yaml

apiVersion: v1
stringData:
  config.yaml: |
    FEATURE_GENERAL_OCI_SUPPORT: true
    FEATURE_HELM_OCI_SUPPORT: true
kind: Secret
metadata:
  name: quay-config-bundle
  namespace: quay-enterprise
type: Opaque

シークレットを適切な namespace に作成します (この例では quay-enterprise です)。

$ oc create -n quay-enterprise -f quay-config-bundle.yaml

spec.configBundleSecret フィールドのシークレットを指定します。

quay-registry.yaml

apiVersion: quay.redhat.com/v1
kind: QuayRegistry
metadata:
  name: example-registry
  namespace: quay-enterprise
spec:
  configBundleSecret: quay-config-bundle

指定された設定でレジストリーを作成します。

$ oc create -n quay-enterprise -f quay-registry.yaml

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation