手順

1. 証明書ファイルとプライマリーキーファイルを設定ディレクトリーにコピーして、それぞれ ssl.cert と ssl.key という名前が付けられていることを確認します。

   cp ~/ssl.cert ~/ssl.key $QUAY/config

2. 次のコマンドを入力して、$QUAY/config ディレクトリーに移動します。

   $ cd $QUAY/config

3. config.yaml ファイルを編集し、Red Hat Quay が TLS/SSL を処理するように指定します。

   config.yaml

   ...
   SERVER_HOSTNAME: quay-server.example.com
   ...
   PREFERRED_URL_SCHEME: https
   ...

4. オプション: 次のコマンドを入力して、rootCA.pem ファイルの内容を ssl.cert ファイルの末尾に追加します。

   $ cat rootCA.pem >> ssl.cert

5. 次のコマンドを入力して、Quay コンテナーを停止します。

   $ sudo podman stop quay

6. 次のコマンドを入力してレジストリーを再起動します。

   $ sudo podman run -d --rm -p 80:8080 -p 443:8443 \
     --name=quay \
     -v $QUAY/config:/conf/stack:Z \
     -v $QUAY/storage:/datastorage:Z \
     registry.redhat.io/quay/quay-rhel8:v3.8.15

手順

1. Quay コンテナーを設定モードで起動します。

   $ sudo podman run --rm -it --name quay_config -p 80:8080 -p 443:8443 registry.redhat.io/quay/quay-rhel8:v3.8.15 config secret

2. Server Configuration セクションで、Red Hat Quay handles TLS を選択します。前に作成した証明書ファイルと秘密鍵ファイルをアップロードし、Server Hostname 証明書の作成時に使用された値と一致することを確認します。
3. 更新された設定を検証およびダウンロードします。

4. 次のコマンドを入力して、Quay コンテナーを停止し、レジストリーを再起動します。

   $ sudo podman rm -f quay
   $ sudo podman run -d --rm -p 80:8080 -p 443:8443 \
   --name=quay \
   -v $QUAY/config:/conf/stack:Z \
   -v $QUAY/storage:/datastorage:Z \
   registry.redhat.io/quay/quay-rhel8:v3.8.15

手順

1. 次のコマンドを入力して、rootCA.pem ファイルをシステム全体の統合トラストストアにコピーします。

   $ sudo cp rootCA.pem /etc/pki/ca-trust/source/anchors/

2. 次のコマンドを入力して、システム全体のトラストストア設定を更新します。

   $ sudo update-ca-trust extract

3. オプション:trust list コマンドを使用して、Quay サーバーが設定されていることを確認できます。

   $ trust list | grep quay
       label: quay-server.example.com

   https://quay-server.example.com でレジストリーを参照すると、接続が安全であることを示すロックアイコンが表示されます。

   

4. rootCA.pem ファイルをシステム全体の信頼から削除するには、ファイルを削除して設定を更新します。

   $ sudo rm /etc/pki/ca-trust/source/anchors/rootCA.pem

   $ sudo update-ca-trust extract

   $ trust list | grep quay

1. コンテナーに追加される証明書を表示します。

   $ cat storage.crt
   -----BEGIN CERTIFICATE-----
   MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV
   [...]
   -----END CERTIFICATE-----

2. certs ディレクトリーを作成し、そこに証明書をコピーします。

   $ mkdir -p quay/config/extra_ca_certs
   $ cp storage.crt quay/config/extra_ca_certs/
   $ tree quay/config/
   ├── config.yaml
   ├── extra_ca_certs
   │   ├── storage.crt

3. Quay コンテナーの CONTAINER ID を podman ps で取得します。

   $ sudo podman ps
   CONTAINER ID        IMAGE                                COMMAND                  CREATED             STATUS              PORTS
   5a3e82c4a75f        <registry>/<repo>/quay:v3.8.15 "/sbin/my_init"          24 hours ago        Up 18 hours         0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 443/tcp   grave_keller

4. その ID でコンテナーを再起動します。

   $ sudo podman restart 5a3e82c4a75f

5. コンテナーの名前空間にコピーされた証明書を調べます。

   $ sudo podman exec -it 5a3e82c4a75f cat /etc/ssl/certs/storage.pem
   -----BEGIN CERTIFICATE-----
   MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV

1. まず、証明書の内容を Base64 エンコードします。

   $ cat ca.crt
   -----BEGIN CERTIFICATE-----
   MIIDljCCAn6gAwIBAgIBATANBgkqhkiG9w0BAQsFADA5MRcwFQYDVQQKDA5MQUIu
   TElCQ09SRS5TTzEeMBwGA1UEAwwVQ2VydGlmaWNhdGUgQXV0aG9yaXR5MB4XDTE2
   MDExMjA2NTkxMFoXDTM2MDExMjA2NTkxMFowOTEXMBUGA1UECgwOTEFCLkxJQkNP
   UkUuU08xHjAcBgNVBAMMFUNlcnRpZmljYXRlIEF1dGhvcml0eTCCASIwDQYJKoZI
   [...]
   -----END CERTIFICATE-----
   
   $ cat ca.crt | base64 -w 0
   [...]
   c1psWGpqeGlPQmNEWkJPMjJ5d0pDemVnR2QNCnRsbW9JdEF4YnFSdVd3PT0KLS0tLS1FTkQgQ0VSVElGSUNBVEUtLS0tLQo=

2. kubectl ツールを使用して、quay-enterprise-config-secret を編集します。

   $ kubectl --namespace quay-enterprise edit secret/quay-enterprise-config-secret

3. 証明書のエントリーを追加し、エントリーの下に base64 エンコードされた文字列を完全に貼り付けます。

     custom-cert.crt:
   c1psWGpqeGlPQmNEWkJPMjJ5d0pDemVnR2QNCnRsbW9JdEF4YnFSdVd3PT0KLS0tLS1FTkQgQ0VSVElGSUNBVEUtLS0tLQo=

4. 最後に、すべての Red Hat Quay Pod をリサイクルします。kubectl delete を使用して、すべての Red Hat Quay Pod を削除します。Red Hat Quay Deployment は、新しい証明書データを使用して交換用 Pod を自動的にスケジュールします。

手順

1. Red Hat Quay インストールディレクトリーに、Clair データベースデータ用の新しいディレクトリーを作成します。

   $ mkdir /home/<user-name>/quay-poc/postgres-clairv4

2. 次のコマンドを入力して、postgres-clairv4 ファイルに適切な権限を設定します。

   $ setfacl -m u:26:-wx /home/<user-name>/quay-poc/postgres-clairv4

3. 次のコマンドを入力して、Clair Postgres データベースをデプロイします。

   $ sudo podman run -d --name postgresql-clairv4 \
     -e POSTGRESQL_USER=clairuser \
     -e POSTGRESQL_PASSWORD=clairpass \
     -e POSTGRESQL_DATABASE=clair \
     -e POSTGRESQL_ADMIN_PASSWORD=adminpass \
     -p 5433:5433 \
     -v /home/<user-name>/quay-poc/postgres-clairv4:/var/lib/pgsql/data:Z \
     {postgresimage}

4. Clair デプロイメント用に Postgres uuid-ossp モジュールをインストールします。

   $ podman exec -it postgresql-clairv4 /bin/bash -c 'echo "CREATE EXTENSION IF NOT EXISTS \"uuid-ossp\"" | psql -d clair -U postgres'

   出力例

   CREATE EXTENSION

   注記

   Clair では、uuid-ossp 拡張機能を Postgres データベースに追加する必要があります。適切な権限を持つユーザーの場合は、拡張機能を作成すると、Clair によって自動的に追加されます。ユーザーが適切な権限を持っていない場合は、Clair を開始する前に拡張機能を追加する必要があります。

   拡張機能が存在しない場合は、Clair が起動しようとすると、ERROR: Please load the "uuid-ossp" extension.(SQLSTATE 42501) エラーが発生します。

5. 実行中の場合は、Quay コンテナーを停止し、設定モードで再始動して、既存の設定をボリュームとしてロードします。

   $ sudo podman run --rm -it --name quay_config \
     -p 80:8080 -p 443:8443 \
     -v $QUAY/config:/conf/stack:Z \
     {productrepo}/{quayimage}:{productminv} config secret

6. 設定ツールにログインし、UI の Security Scanner セクションで Enable Security Scanning をクリックします。
7. quay-server システムでまだ使用されていないポート (8081 など) を使用して、Clair の HTTP エンドポイントを設定します。

8. Generate PSK ボタンを使用して、事前共有キー (PSK) を作成します。

   セキュリティースキャナー UI

   

9. Red Hat Quay の config.yaml ファイルを検証してダウンロードし、設定エディターを実行している Quay コンテナーを停止します。

10. 新しい設定バンドルを Red Hat Quay インストールディレクトリーに展開します。次に例を示します。

    $ tar xvf quay-config.tar.gz -d /home/<user-name>/quay-poc/

11. Clair 設定ファイル用のフォルダーを作成します。次に例を示します。

    $ mkdir /etc/opt/clairv4/config/

12. Clair 設定フォルダーに移動します。

    $ cd /etc/opt/clairv4/config/

13. 以下のように、Clair 設定ファイルを作成します。

    http_listen_addr: :8081
    introspection_addr: :8088
    log_level: debug
    indexer:
      connstring: host=quay-server.example.com port=5433 dbname=clair user=clairuser password=clairpass sslmode=disable
      scanlock_retry: 10
      layer_scan_concurrency: 5
      migrations: true
    matcher:
      connstring: host=quay-server.example.com port=5433 dbname=clair user=clairuser password=clairpass sslmode=disable
      max_conn_pool: 100
      run: ""
      migrations: true
      indexer_addr: clair-indexer
    notifier:
      connstring: host=quay-server.example.com port=5433 dbname=clair user=clairuser password=clairpass sslmode=disable
      delivery_interval: 1m
      poll_interval: 5m
      migrations: true
    auth:
      psk:
        key: "MTU5YzA4Y2ZkNzJoMQ=="
        iss: ["quay"]
    # tracing and metrics
    trace:
      name: "jaeger"
      probability: 1
      jaeger:
        agent_endpoint: "localhost:6831"
        service_name: "clair"
    metrics:
      name: "prometheus"

    Clair の設定形式の詳細は、Clair 設定リファレンス を参照してください。

14. コンテナーイメージを使用して Clair を起動し、作成したファイルから設定にマウントします。

    $ sudo podman run -d --name clairv4 \
    -p 8081:8081 -p 8088:8088 \
    -e CLAIR_CONF=/clair/config.yaml \
    -e CLAIR_MODE=combo \
    -v /etc/opt/clairv4/config:/clair:Z \
    registry.redhat.io/quay/clair-rhel8:v3.8.15

    注記

    複数の Clair コンテナーを実行することもできますが、単一のコンテナーを超えるデプロイシナリオでは、Kubernetes や OpenShift Container Platform などのコンテナーオーケストレーターを使用することが強く推奨されます。

手順

1. 次のコマンドを入力して、サンプルイメージをプルします。

   $ podman pull ubuntu:20.04

2. 次のコマンドを入力して、レジストリーにイメージをタグ付けします。

   $ sudo podman tag docker.io/library/ubuntu:20.04 <quay-server.example.com>/<user-name>/ubuntu:20.04

3. 以下のコマンドを入力して、イメージを Red Hat Quay レジストリーにプッシュします。

   $ sudo podman push --tls-verify=false quay-server.example.com/quayadmin/ubuntu:20.04

4. UI から Red Hat Quay デプロイメントにログインします。
5. リポジトリー名 (quayadmin/ubuntu など) をクリックします。

6. ナビゲーションウィンドウで、Tags をクリックします。

   レポートの概要

   

7. イメージレポート (例: 45 medium) をクリックして、より詳細なレポートを表示します。

   レポートの詳細

   

手順

1. WebUI を介して Red Hat Quay にログインします。
2. 外部アプリケーションを設定する組織を選択します。
3. ナビゲーションペインで、Applications を選択します。
4. Create New Application を選択し、新規アプリケーションの名前を入力します (例: openshift)。
5. OAuth Applications ページで、アプリケーション (openshift など) を選択します。
6. ナビゲーションペインで、Generate Token を選択します。

7. 次のフィールドを選択します。

   • Administer Organization
   • Administer Repositories
   • Create Repositories
   • View all visible repositories
   • Read/Write to any accessible repositories
   • Administer User
   • Read User Information
8. 割り当てられた権限を確認します。
9. Authorize Application を選択し、Authorize Application を選択して認証を確認します。

10. 生成されたアクセストークンを保存します。

    重要

    Red Hat Quay はトークン管理を提供しません。トークンを一覧表示したり、トークンを削除したり、トークンを変更したりすることはできません。生成されたアクセストークンは 1 回だけ表示され、ページを閉じた後に再取得することはできません。

手順

1. Web コンソールの Administrator パースペクティブを開き、ナビゲーションペインで Operator → OperatorHub に移動します。
2. Quay Bridge Operator を検索し、Quay Bridge Operator のタイトルをクリックして、Install をクリックします。
3. インストールするバージョン (たとえば、stable-3.7) を選択し、Install をクリックします。
4. インストールが完了したら、View Operator をクリックして、Quay Bridge Operator の Details ページに移動します。または、Installed Operators → Red Hat Quay Bridge Operator をクリックして、Details ページに移動することもできます。

1. 設定モードで Quay コンテナーを起動し、Enable Repository Mirroring チェックボックスを選択します。HTTPS 通信を必要とし、ミラーリング時に証明書を検証する必要がある場合は、HTTPS を選択し、証明書の検証のチェックボックスを選択します。

   

2. configuration を検証し、ダウンロードしてから、更新された設定ファイルを使用してレジストリーモードで Quay を再起動します。

手順

1. デプロイメントの config.yaml ファイルに FEATURE_LISTEN_IP_VERSION パラメーターを追加し、IPv6 に設定します。次に例を示します。

   ---
   FEATURE_GOOGLE_LOGIN: false
   FEATURE_INVITE_ONLY_USER_CREATION: false
   FEATURE_LISTEN_IP_VERSION: IPv6
   FEATURE_MAILING: false
   FEATURE_NONSUPERUSER_TEAM_SYNCING_SETUP: false
   ---

2. Red Hat Quay デプロイメントを起動または再起動します。

3. 次のコマンドを入力して、デプロイが IPv6 をリッスンしていることを確認します。

   $ curl <quay_endpoint>/health/instance
   {"data":{"services":{"auth":true,"database":true,"disk_space":true,"registry_gunicorn":true,"service_key":true,"web_gunicorn":true}},"status_code":200}

手順

1. デプロイメントの config.yaml ファイルで、FEATURE_LISTEN_IP_VERSION パラメーターを追加し、dual-stack に設定します。次に例を示します。

   ---
   FEATURE_GOOGLE_LOGIN: false
   FEATURE_INVITE_ONLY_USER_CREATION: false
   FEATURE_LISTEN_IP_VERSION: dual-stack
   FEATURE_MAILING: false
   FEATURE_NONSUPERUSER_TEAM_SYNCING_SETUP: false
   ---

2. Red Hat Quay デプロイメントを起動または再起動します。

3. 次のコマンドを入力して、デプロイメントが両方のチャネルをリッスンしていることを確認します。

   1. IPv4 の場合、次のコマンドを入力します。

      $ curl --ipv4 <quay_endpoint>
      {"data":{"services":{"auth":true,"database":true,"disk_space":true,"registry_gunicorn":true,"service_key":true,"web_gunicorn":true}},"status_code":200}

   2. IPv6 の場合、次のコマンドを入力します。

      $ curl --ipv6 <quay_endpoint>
      {"data":{"services":{"auth":true,"database":true,"disk_space":true,"registry_gunicorn":true,"service_key":true,"web_gunicorn":true}},"status_code":200}

手順

1. デプロイメントの config.yaml ファイルで、LDAP_SUPERUSER_FILTER パラメーターを追加し、スーパーユーザーとして設定するユーザーのグループ (root など) を追加します。

   ---
   AUTHENTICATION_TYPE: LDAP
   ---
   LDAP_ADMIN_DN: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com
   LDAP_ADMIN_PASSWD: ABC123
   LDAP_ALLOW_INSECURE_FALLBACK: false
   LDAP_BASE_DN:
       - o=<organization_id>
       - dc=<example_domain_component>
       - dc=com
   LDAP_EMAIL_ATTR: mail
   LDAP_UID_ATTR: uid
   LDAP_URI: ldap://<example_url>.com
   LDAP_USER_FILTER: (memberof=cn=developers,ou=Users,o=<example_organization_unit>,dc=<example_domain_component>,dc=com)
   LDAP_SUPERUSER_FILTER: (<filterField>=<value>)
   LDAP_USER_RDN:
       - ou=<example_organization_unit>
       - o=<organization_id>
       - dc=<example_domain_component>
       - dc=com

2. Red Hat Quay デプロイメントを起動または再起動します。

手順

1. 新しい組織を作成するか、既存の組織を選択します。Organization Settings タブに表示されているように、最初はクォータが設定されていません。

   

2. スーパーユーザーとしてレジストリーにログインし、Super User Admin Panel の Manage Organizations タブに移動します。ストレージクォータ制限を作成する組織の Options アイコンをクリックします。

   

3. Configure Quota をクリックして、初期クォータ (たとえば 10 MB) を入力します。次に、Apply をクリックしてから Close をクリックします。

   

4. スーパーユーザーパネルの Manage Organizations タブで、消費されたクォータが 0 of 10 MB を示していることを確認します。

   

   消費されたクォータ情報は、組織ページから直接入手することもできます。

   最初に消費されたクォータ

   

5. クォータを 100MB に増やすには、スーパーユーザーパネルの Manage Organizations タブに移動します。Options アイコンをクリックし、Configure Quota を選択して、クォータを 100 MB に設定します。Apply をクリックしてから Close をクリックします。

   

6. コマンドラインからサンプルイメージを組織にプッシュします。

   サンプルコマンド

   $ podman pull ubuntu:18.04
   
   $ podman tag docker.io/library/ubuntu:18.04 example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:18.04
   
   $ podman push --tls-verify=false example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:18.04

7. スーパーユーザーパネルには、組織ごとに消費されたクォータが表示されます。

   

8. 組織ページには、イメージで使用されているクォータの合計比率が表示されます。

   最初のイメージで消費された合計クォータ

   

9. 2 番目のイメージをプル、タグ付け、プッシュします。たとえば、nginx です。

   サンプルコマンド

   $ podman pull nginx
   
   $ podman tag docker.io/library/nginx example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/nginx
   
   $ podman push --tls-verify=false example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/nginx

10. 組織ページには、その組織の各リポジトリーで使用されているクォータの合計比率が表示されます。

    各リポジトリーで消費された合計クォータ

    

11. 拒否 と 警告 の制限を作成します。

    スーパーユーザーパネルから、Manage Organizations タブに移動します。組織の Options アイコンをクリックし、Configure Quota を選択します。Quota Policy セクションで、Action タイプを Reject に設定し、Quota Threshold を 80 に設定して、Add Limit をクリックします。

    

12. 警告 制限を作成するには、Action タイプに Warning を選択し、Quota Threshold を 70 に設定して、Add Limit をクリックします。

    

13. クォータポップアップで Close をクリックします。制限は、Organization ページの Settings タブで表示できますが、編集することはできません。

    

14. 拒否制限を超えたイメージをプッシュします。

    拒否制限 (80%) が現在のリポジトリーサイズ (~83%) 未満に設定されているため、次のプッシュは自動的に拒否されます。

    サンプルイメージプッシュ

    $ podman pull ubuntu:20.04
    
    $ podman tag docker.io/library/ubuntu:20.04 example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:20.04
    
    $ podman push --tls-verify=false example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:20.04

    クォータを超えたときのサンプル出力

    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    WARN[0002] failed, retrying in 1s ... (1/3). Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace
    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    WARN[0005] failed, retrying in 1s ... (2/3). Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace
    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    WARN[0009] failed, retrying in 1s ... (3/3). Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace
    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace

15. 制限を超えると、UI に通知が表示されます。

    クォータ通知

    

手順

1. スタンドアロンデプロイメントの Quay config.yaml をバックアップします。

   $ mkdir /tmp/quay-backup
   $ cp /path/to/Quay/config/directory/config.yaml /tmp/quay-backup

2. スタンドアロン Quay デプロイメントが使用しているデータベースのバックアップを作成します。

   $ pg_dump -h DB_HOST -p 5432 -d QUAY_DATABASE_NAME -U QUAY_DATABASE_USER -W -O > /tmp/quay-backup/quay-database-backup.sql

3. AWS CLI がない場合はインストールします。

4. ~/.aws/ ディレクトリーを作成します。

   $ mkdir ~/.aws/

5. スタンドアロンデプロイメントの Quay config.yaml から access_key および secret_key を取得します。

   $ grep -i DISTRIBUTED_STORAGE_CONFIG -A10 /tmp/quay-backup/config.yaml

   出力例:

   DISTRIBUTED_STORAGE_CONFIG:
       minio-1:
           - RadosGWStorage
           - access_key: ##########
             bucket_name: quay
             hostname: 172.24.10.50
             is_secure: false
             port: "9000"
             secret_key: ##########
             storage_path: /datastorage/registry

6. Quay config.yaml ファイルからの access_key および secret_key を ~/.aws ディレクトリーに保存します。

   $ touch ~/.aws/credentials

7. オプション: access_key および secret_key が保存されていることを確認します。

   $ cat > ~/.aws/credentials << EOF
   [default]
   aws_access_key_id = ACCESS_KEY_FROM_QUAY_CONFIG
   aws_secret_access_key = SECRET_KEY_FROM_QUAY_CONFIG
   EOF

   出力例:

   aws_access_key_id = ACCESS_KEY_FROM_QUAY_CONFIG
   aws_secret_access_key = SECRET_KEY_FROM_QUAY_CONFIG

   注記

   aws cli が `~/.aws/credentials file ファイルから access_key および secret_key を自動的に収集しない場合、aws configure を実行して手動でクレデンシャルを入力することで、それを設定できます。

8. quay-backup ディレクトリーで、bucket_backup ディレクトリーを作成します。

   $ mkdir /tmp/quay-backup/bucket-backup

9. S3 ストレージからすべての Blob をバックアップします。

   $ aws s3 sync --no-verify-ssl --endpoint-url https://PUBLIC_S3_ENDPOINT:PORT s3://QUAY_BUCKET/ /tmp/quay-backup/bucket-backup/

   注記

   PUBLIC_S3_ENDPOINT は、DISTRIBUTED_STORAGE_CONFIG の hostname の下にある Quay config.yaml ファイルから読み取ることができます。エンドポイントがセキュアでない場合、エンドポイント URL の https ではなく http を使用します。

1. Red Hat Quay Operator をスケールダウンします。

   $ oc scale --replicas=0 deployment quay-operator.v3.6.2 -n openshift-operators

2. アプリケーションをスケールダウンし、デプロイメントをミラーリングします。

   $ oc scale --replicas=0 deployment QUAY_MAIN_APP_DEPLOYMENT QUAY_MIRROR_DEPLOYMENT

3. データベース SQL バックアップを Quay PostgreSQL データベースインスタンスにコピーします。

   $ oc cp /tmp/user/quay-backup/quay-database-backup.sql quay-enterprise/quayregistry-quay-database-54956cdd54-p7b2w:/var/lib/pgsql/data/userdata

4. オペレーターが作成した config.yaml ファイルからデータベースパスワードを取得します。

   $ oc get deployment quay-quay-app -o json | jq '.spec.template.spec.volumes[].projected.sources' | grep -i config-secret

   出力例:

         "name": "QUAY_CONFIG_SECRET_NAME"

   $ oc get secret quay-quay-config-secret-9t77hb84tb -o json | jq '.data."config.yaml"' | cut -d '"' -f2 | base64 -d -w0 > /tmp/quay-backup/operator-quay-config-yaml-backup.yaml

   cat /tmp/quay-backup/operator-quay-config-yaml-backup.yaml | grep -i DB_URI

   出力例:

   postgresql://QUAY_DATABASE_OWNER:PASSWORD@DATABASE_HOST/QUAY_DATABASE_NAME

5. データベース Pod 内でシェルを実行します。

   # oc exec -it quay-postgresql-database-pod -- /bin/bash

6. psql を入力します。

   bash-4.4$ psql

7. データベースを削除します。

   postgres=# DROP DATABASE "example-restore-registry-quay-database";

   出力例:

   DROP DATABASE

8. 新しいデータベースを作成し、所有者を同じ名前に設定します。

   postgres=# CREATE DATABASE "example-restore-registry-quay-database" OWNER "example-restore-registry-quay-database";

   出力例:

   CREATE DATABASE

9. データベースに接続します。

   postgres=# \c "example-restore-registry-quay-database";

   出力例:

   You are now connected to database "example-restore-registry-quay-database" as user "postgres".

10. Quay データベースの pg_trmg エクステンションを作成します。

    example-restore-registry-quay-database=# create extension pg_trgm ;

    出力例:

    CREATE EXTENSION

11. postgres CLI を終了して bash-4.4 を再入力します。

    \q

12. PostgreSQL デプロイメントのパスワードを設定します。

    bash-4.4$ psql -h localhost -d "QUAY_DATABASE_NAME" -U QUAY_DATABASE_OWNER -W < /var/lib/pgsql/data/userdata/quay-database-backup.sql

    出力例:

    SET
    SET
    SET
    SET
    SET

13. bash モードを終了します。

    bash-4.4$ exit

14. Red Hat Quay Operator の新規設定バンドルを作成します。

    $ touch config-bundle.yaml

15. 新規の config-bundle.yaml で、LDAP 設定、キー、古いレジストリーのその他の変更など、レジストリーに必要なすべての情報を含めます。以下のコマンドを実行して secret_key を config-bundle.yaml に移動します。

    $ cat /tmp/quay-backup/config.yaml | grep SECRET_KEY > /tmp/quay-backup/config-bundle.yaml

    注記

    すべての LDAP、OIDC、およびその他の情報を手動でコピーし、それを /tmp/quay-backup/config-bundle.yaml ファイルに追加する必要があります。

16. OpenShift クラスター内に設定バンドルシークレットを作成します。

    $ oc create secret generic new-custom-config-bundle --from-file=config.yaml=/tmp/quay-backup/config-bundle.yaml

17. Quay Pod をスケールアップします。

    $ oc scale --replicas=1 deployment quayregistry-quay-app
    deployment.apps/quayregistry-quay-app scaled

18. ミラー Pod をスケールアップします。

    $ oc scale --replicas=1  deployment quayregistry-quay-mirror
    deployment.apps/quayregistry-quay-mirror scaled

19. QuayRegistry CRD にパッチを適用し、新規カスタム設定バンドルへの参照が含まれるようにします。

    $ oc patch quayregistry QUAY_REGISTRY_NAME --type=merge -p '{"spec":{"configBundleSecret":"new-custom-config-bundle"}}'

    注記

    Quay が 500 の内部サーバーエラーを返した場合、DISTRIBUTED_STORAGE_CONFIG の location を default に更新する必要がある場合があります。

20. /.aws/ ディレクトリーに新しい AWScredentials.yaml を作成し、Operator が作成した config.yaml ファイルから access_key と secret_key を含めます。

    $ touch credentials.yaml

    $ grep -i DISTRIBUTED_STORAGE_CONFIG -A10 /tmp/quay-backup/operator-quay-config-yaml-backup.yaml

    $ cat > ~/.aws/credentials << EOF
    [default]
    aws_access_key_id = ACCESS_KEY_FROM_QUAY_CONFIG
    aws_secret_access_key = SECRET_KEY_FROM_QUAY_CONFIG
    EOF

    注記

    aws cli が `~/.aws/credentials file ファイルから access_key および secret_key を自動的に収集しない場合、aws configure を実行して手動でクレデンシャルを入力することで、それを設定できます。

21. NooBaa の公開されているエンドポイントを記録します。

    $ oc get route s3 -n openshift-storage -o yaml -o jsonpath="{.spec.host}{'\n'}"

22. バックアップデータを NooBaa バックエンドストレージに同期します。

    $ aws s3 sync --no-verify-ssl --endpoint-url https://NOOBAA_PUBLIC_S3_ROUTE /tmp/quay-backup/bucket-backup/* s3://QUAY_DATASTORE_BUCKET_NAME

23. Operator のバックアップを最大 1 Pod にスケールアップします。

    $ oc scale –replicas=1 deployment quay-operator.v3.6.4 -n openshift-operators

手順

1. 一時バックアップディレクトリーを作成します (例: quay-backup)。

   $ mkdir /tmp/quay-backup

2. 以下のコマンド例は、Red Hat Quay が開始されたローカルディレクトリー (/opt/quay-install など) を示しています。

   $ podman run --name quay-app \
      -v /opt/quay-install/config:/conf/stack:Z \
      -v /opt/quay-install/storage:/datastorage:Z \
      registry.redhat.io/quay/quay-rhel8:v3.8.15

   次のコマンドを実行して、コンテナー内の /conf/stack にバインドマウントするディレクトリー (/opt/quay-install など) に移動します。

   $ cd /opt/quay-install

3. 以下のコマンドを入力して、Red Hat Quay デプロイメントの内容を quay-backup ディレクトリーのアーカイブに圧縮します。

   $ tar cvf /tmp/quay-backup/quay-backup.tar.gz *

   出力例:

   config.yaml
   config.yaml.bak
   extra_ca_certs/
   extra_ca_certs/ca.crt
   ssl.cert
   ssl.key

4. 次のコマンドを入力して、Quay コンテナーサービスをバックアップします。

   $ podman inspect quay-app | jq -r '.[0].Config.CreateCommand | .[]' | paste -s -d ' ' -
   
     /usr/bin/podman run --name quay-app \
     -v /opt/quay-install/config:/conf/stack:Z \
     -v /opt/quay-install/storage:/datastorage:Z \
     registry.redhat.io/quay/quay-rhel8:v3.8.15

5. 次のコマンドを入力して、conf/stack/config.yaml ファイルの内容を一時的に作成した quay-config.yaml ファイルにリダイレクトします。

   $ podman exec -it quay cat /conf/stack/config.yaml > /tmp/quay-backup/quay-config.yaml

6. 以下のコマンドを入力して、一時的に作成した quay-config.yaml にある DB_URI を取得します。

   $ grep DB_URI /tmp/quay-backup/quay-config.yaml

   出力例:

   $ postgresql://<username>:test123@172.24.10.50/quay

7. 次のコマンドを入力して、PostgreSQL の内容をバックアップ .sql ファイルの一時バックアップディレクトリーに抽出します。

   $ pg_dump -h 172.24.10.50  -p 5432 -d quay  -U  <username>   -W -O > /tmp/quay-backup/quay-backup.sql

8. 次のコマンドを入力して、DISTRIBUTED_STORAGE_CONFIG の内容を出力します。

   DISTRIBUTED_STORAGE_CONFIG:
      default:
       - S3Storage
       - s3_bucket: <bucket_name>
         storage_path: /registry
         s3_access_key: <s3_access_key>
         s3_secret_key: <s3_secret_key>
         host: <host_name>

9. ステップ 7 で取得した access_key 認証情報を使用して、AWS_ACCESS_KEY_ID をエクスポートします。

   $ export AWS_ACCESS_KEY_ID=<access_key>

10. ステップ 7 で取得した secret_key を使用して、AWS_SECRET_ACCESS_KEY をエクスポートします。

    $ export AWS_SECRET_ACCESS_KEY=<secret_key>

11. DISTRIBUTED_STORAGE_CONFIG の hostname から quay バケットを /tmp/quay-backup/blob-backup/ ディレクトリーに同期します。

    $ aws s3 sync s3://<bucket_name>  /tmp/quay-backup/blob-backup/ --source-region us-east-2

    出力例:

    download: s3://<user_name>/registry/sha256/9c/9c3181779a868e09698b567a3c42f3744584ddb1398efe2c4ba569a99b823f7a to registry/sha256/9c/9c3181779a868e09698b567a3c42f3744584ddb1398efe2c4ba569a99b823f7a
    download: s3://<user_name>/registry/sha256/e9/e9c5463f15f0fd62df3898b36ace8d15386a6813ffb470f332698ecb34af5b0d to registry/sha256/e9/e9c5463f15f0fd62df3898b36ace8d15386a6813ffb470f332698ecb34af5b0d

手順

1. Red Hat Quay コンテナー内の /conf/stack にバインドマウントする新しいディレクトリーを作成します。

   $ mkdir /opt/new-quay-install

2. 「スタンドアロンデプロイメントでの Red Hat Quay のバックアップ」 で作成した一時バックアップディレクトリーの内容を、ステップ 1 で作成した new-quay-install1 ディレクトリーにコピーします。

   $ cp /tmp/quay-backup/quay-backup.tar.gz /opt/new-quay-install/

3. 次のコマンドを入力して、new-quay-install ディレクトリーに移動します。

   $ cd /opt/new-quay-install/

4. Red Hat Quay ディレクトリーの内容を抽出します。

   $ tar xvf /tmp/quay-backup/quay-backup.tar.gz *

   出力例:

   config.yaml
   config.yaml.bak
   extra_ca_certs/
   extra_ca_certs/ca.crt
   ssl.cert
   ssl.key

5. 次のコマンドを入力して、バックアップした config.yaml ファイルから DB_URI を呼び出します。

   $ grep DB_URI config.yaml

   出力例:

   postgresql://<username>:test123@172.24.10.50/quay

6. 次のコマンドを実行して、PostgreSQL データベースサーバーに入ります。

   $ sudo postgres

7. 次のコマンドを入力して、psql と入力し、172.24.10.50 に新しいデータベースを作成して、quay データベースを復元します (例: example_restore_registry_quay_database)。

   $ psql "host=172.24.10.50  port=5432 dbname=postgres user=<username>  password=test123"
   postgres=> CREATE DATABASE example_restore_registry_quay_database;

   出力例:

   CREATE DATABASE

8. 次のコマンドを実行して、データベースに接続します。

   postgres=# \c "example-restore-registry-quay-database";

   出力例:

   You are now connected to database "example-restore-registry-quay-database" as user "postgres".

9. 次のコマンドを実行して、Quay データベースの pg_trmg エクステンションを作成します。

   example_restore_registry_quay_database=> CREATE EXTENSION IF NOT EXISTS pg_trgm;

   出力例:

   CREATE EXTENSION

10. 次のコマンドを入力して、postgres CLI を終了します。

    \q

11. 次のコマンドを実行して、データベースのバックアップを新しいデータベースにインポートします。

    $ psql "host=172.24.10.50 port=5432 dbname=example_restore_registry_quay_database user=<username> password=test123"  -W <  /tmp/quay-backup/quay-backup.sql

    出力例:

    SET
    SET
    SET
    SET
    SET

    Red Hat Quay のデプロイメントを再起動する前に config.yaml の DB_URI の値を postgresql://<username>:test123@172.24.10.50/quay から postgresql://<username>:test123@172.24.10.50/example-restore-registry-quay-database に更新してください。

    注記

    DB_URI の形式は DB_URI postgresql://<login_user_name>:<login_user_password>@<postgresql_host>/<quay_database> です。ある PostgreSQL サーバーから別の PostgreSQL サーバーに移動する場合は、<login_user_name>、<login_user_password>、および <postgresql_host> の値を同時に更新します。

12. /opt/new-quay-install ディレクトリーで、DISTRIBUTED_STORAGE_CONFIG バンドルの内容を出力します。

    $ cat config.yaml | grep DISTRIBUTED_STORAGE_CONFIG -A10

    出力例:

    DISTRIBUTED_STORAGE_CONFIG:
       default:
    DISTRIBUTED_STORAGE_CONFIG:
       default:
        - S3Storage
        - s3_bucket: <bucket_name>
          storage_path: /registry
          s3_access_key: <s3_access_key>
          s3_secret_key: <s3_secret_key>
          host: <host_name>

    注記

    Red Hat Quay のデプロイメントを再起動する前に /opt/new-quay-install にある DISTRIBUTED_STORAGE_CONFIG を更新する必要があります。

13. ステップ 13 で取得した access_key 認証情報を使用して、AWS_ACCESS_KEY_ID をエクスポートします。

    $ export AWS_ACCESS_KEY_ID=<access_key>

14. ステップ 13 で取得した secret_key を使用して、AWS_SECRET_ACCESS_KEY をエクスポートします。

    $ export AWS_SECRET_ACCESS_KEY=<secret_key>

15. 次のコマンドを入力して、新しい s3 バケットを作成します。

    $ aws s3 mb s3://<new_bucket_name>  --region us-east-2

    出力例:

    $ make_bucket: quay

16. 次のコマンドを入力して、すべての Blob を新しい s3 バケットにアップロードします。

    $ aws s3 sync --no-verify-ssl \
    --endpoint-url <example_endpoint_url> 1
    /tmp/quay-backup/blob-backup/. s3://quay/

    1

    Red Hat Quay レジストリーのエンドポイントは、バックアップ前と復元後に同じである必要があります。

    出力例:

    upload: ../../tmp/quay-backup/blob-backup/datastorage/registry/sha256/50/505edb46ea5d32b5cbe275eb766d960842a52ee77ac225e4dc8abb12f409a30d to s3://quay/datastorage/registry/sha256/50/505edb46ea5d32b5cbe275eb766d960842a52ee77ac225e4dc8abb12f409a30d
    upload: ../../tmp/quay-backup/blob-backup/datastorage/registry/sha256/27/27930dc06c2ee27ac6f543ba0e93640dd21eea458eac47355e8e5989dea087d0 to s3://quay/datastorage/registry/sha256/27/27930dc06c2ee27ac6f543ba0e93640dd21eea458eac47355e8e5989dea087d0
    upload: ../../tmp/quay-backup/blob-backup/datastorage/registry/sha256/8c/8c7daf5e20eee45ffe4b36761c4bb6729fb3ee60d4f588f712989939323110ec to s3://quay/datastorage/registry/sha256/8c/8c7daf5e20eee45ffe4b36761c4bb6729fb3ee60d4f588f712989939323110ec
    ...

17. Red Hat Quay デプロイメントを再起動する前に、config.yaml でストレージ設定を更新します。

    DISTRIBUTED_STORAGE_CONFIG:
       default:
    DISTRIBUTED_STORAGE_CONFIG:
       default:
        - S3Storage
        - s3_bucket: <new_bucket_name>
          storage_path: /registry
          s3_access_key: <s3_access_key>
          s3_secret_key: <s3_secret_key>
          host: <host_name>

手順

1. 次のコマンドを入力して、ガベージコレクションが正しく機能していることを確認します。

   $ sudo podman logs <container_id>

   出力例:

   gcworker stdout | 2022-11-14 18:46:52,458 [63] [INFO] [apscheduler.executors.default] Job "GarbageCollectionWorker._garbage_collection_repos (trigger: interval[0:00:30], next run at: 2022-11-14 18:47:22 UTC)" executed successfully

2. イメージタグを削除します。

3. 次のコマンドを入力して、タグが削除されたことを確認します。

   $ podman logs quay-app

   出力例:

   gunicorn-web stdout | 2022-11-14 19:23:44,574 [233] [INFO] [gunicorn.access] 192.168.0.38 - - [14/Nov/2022:19:23:44 +0000] "DELETE /api/v1/repository/quayadmin/busybox/tag/test HTTP/1.0" 204 0 "http://quay-server.example.com/repository/quayadmin/busybox?tab=tags" "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0"

手順

1. Web ブラウザーで、https://{quay-ip-endpoint}/health/instance に移動します。

2. ヘルスインスタンスページが表示され、以下のような情報が返されます。

   {"data":{"services":{"auth":true,"database":true,"disk_space":true,"registry_gunicorn":true,"service_key":true,"web_gunicorn":true}},"status_code":200}

   Red Hat Quay の場合、status_code: 200 はインスタンスが正常であることを意味します。逆に、"status_code": 503 を受け取った場合は、デプロイメントに問題があります。