手順

1. 次のコマンドを入力して、ルート CA キーを生成します。

   $ openssl genrsa -out rootCA.key 2048

2. 次のコマンドを入力して、ルート CA 証明書を生成します。

   $ openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

3. サーバーのホスト名など、証明書の要求に組み込まれる情報を入力します。以下に例を示します。

   Country Name (2 letter code) [XX]:IE
   State or Province Name (full name) []:GALWAY
   Locality Name (eg, city) [Default City]:GALWAY
   Organization Name (eg, company) [Default Company Ltd]:QUAY
   Organizational Unit Name (eg, section) []:DOCS
   Common Name (eg, your name or your server's hostname) []:quay-server.example.com

手順

1. 証明書ファイルとプライマリーキーファイルを設定ディレクトリーにコピーして、それぞれ ssl.cert と ssl.key という名前が付けられていることを確認します。

   cp ~/ssl.cert ~/ssl.key $QUAY/config

2. 次のコマンドを入力して、$QUAY/config ディレクトリーに移動します。

   $ cd $QUAY/config

3. config.yaml ファイルを編集し、Red Hat Quay が TLS/SSL を処理するように指定します。

   config.yaml

   ...
   SERVER_HOSTNAME: quay-server.example.com
   ...
   PREFERRED_URL_SCHEME: https
   ...

4. オプション: 次のコマンドを入力して、rootCA.pem ファイルの内容を ssl.cert ファイルの末尾に追加します。

   $ cat rootCA.pem >> ssl.cert

5. 次のコマンドを入力して、Quay コンテナーを停止します。

   $ sudo podman stop quay

6. 次のコマンドを入力してレジストリーを再起動します。

   $ sudo podman run -d --rm -p 80:8080 -p 443:8443 \
     --name=quay \
     -v $QUAY/config:/conf/stack:Z \
     -v $QUAY/storage:/datastorage:Z \
     registry.redhat.io/quay/quay-rhel8:v3.10.3

手順

1. Quay コンテナーを設定モードで起動します。

   $ sudo podman run --rm -it --name quay_config -p 80:8080 -p 443:8443 registry.redhat.io/quay/quay-rhel8:v3.10.3 config secret

2. Server Configuration セクションで、Red Hat Quay handles TLS を選択します。前に作成した証明書ファイルと秘密鍵ファイルをアップロードし、Server Hostname 証明書の作成時に使用された値と一致することを確認します。
3. 更新された設定を検証およびダウンロードします。

4. 次のコマンドを入力して、Quay コンテナーを停止し、レジストリーを再起動します。

   $ sudo podman rm -f quay
   $ sudo podman run -d --rm -p 80:8080 -p 443:8443 \
   --name=quay \
   -v $QUAY/config:/conf/stack:Z \
   -v $QUAY/storage:/datastorage:Z \
   registry.redhat.io/quay/quay-rhel8:v3.10.3

手順

1. Red Hat Quay レジストリーエンドポイント (例: https://quay-server.example.com) に移動します。正しく設定されている場合、潜在的なリスクについての警告がブラウザーに表示されます。

   

2. ログイン画面に進みます。接続が安全ではないという通知がブラウザーに表示されます。以下に例を示します。

   

   次のセクションで、ルート認証局を信頼するように Podman を設定します。

手順

1. ルート CA ファイルを /etc/containers/certs.d/ または /etc/docker/certs.d/ のいずれかにコピーします。サーバーのホスト名によって決定される正確なパスを使用し、ファイルに ca.crt という名前を付けます。

   $ sudo cp rootCA.pem /etc/containers/certs.d/quay-server.example.com/ca.crt

2. Red Hat Quay レジストリーにログインするときに --tls-verify=false オプションを使用する必要がなくなったことを確認します。

   $ sudo podman login quay-server.example.com

   出力例

   Login Succeeded!

手順

1. 次のコマンドを入力して、rootCA.pem ファイルをシステム全体の統合トラストストアにコピーします。

   $ sudo cp rootCA.pem /etc/pki/ca-trust/source/anchors/

2. 次のコマンドを入力して、システム全体のトラストストア設定を更新します。

   $ sudo update-ca-trust extract

3. オプション: trust list コマンドを使用して、Quay サーバーが設定されていることを確認できます。

   $ trust list | grep quay
       label: quay-server.example.com

   https://quay-server.example.com でレジストリーを参照すると、接続が安全であることを示すロックアイコンが表示されます。

   

4. rootCA.pem ファイルをシステム全体の信頼から削除するには、ファイルを削除して設定を更新します。

   $ sudo rm /etc/pki/ca-trust/source/anchors/rootCA.pem

   $ sudo update-ca-trust extract

   $ trust list | grep quay

1. コンテナーに追加される証明書を表示します。

   $ cat storage.crt
   -----BEGIN CERTIFICATE-----
   MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV
   [...]
   -----END CERTIFICATE-----

2. certs ディレクトリーを作成し、そこに証明書をコピーします。

   $ mkdir -p quay/config/extra_ca_certs
   $ cp storage.crt quay/config/extra_ca_certs/
   $ tree quay/config/
   ├── config.yaml
   ├── extra_ca_certs
   │   ├── storage.crt

3. Quay コンテナーの CONTAINER ID を podman ps で取得します。

   $ sudo podman ps
   CONTAINER ID        IMAGE                                COMMAND                  CREATED             STATUS              PORTS
   5a3e82c4a75f        <registry>/<repo>/quay:v3.10.3 "/sbin/my_init"          24 hours ago        Up 18 hours         0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 443/tcp   grave_keller

4. その ID でコンテナーを再起動します。

   $ sudo podman restart 5a3e82c4a75f

5. コンテナーの名前空間にコピーされた証明書を調べます。

   $ sudo podman exec -it 5a3e82c4a75f cat /etc/ssl/certs/storage.pem
   -----BEGIN CERTIFICATE-----
   MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV

手順

1. 次のコマンドを入力して、SSL/TLS 証明書の内容を Base64 でエンコードします。

   $ cat ca.crt | base64 -w 0

   出力例

   ...c1psWGpqeGlPQmNEWkJPMjJ5d0pDemVnR2QNCnRsbW9JdEF4YnFSdVd3PT0KLS0tLS1FTkQgQ0VSVElGSUNBVEUtLS0tLQo=

2. 次の kubectl コマンドを入力して、quay-enterprise-config-secret ファイルを編集します。

   $ kubectl --namespace quay-enterprise edit secret/quay-enterprise-config-secret

3. 証明書のエントリーを追加し、base64 でエンコードされた完全なストリンガーをエントリーの下に貼り付けます。以下に例を示します。

     custom-cert.crt:
   c1psWGpqeGlPQmNEWkJPMjJ5d0pDemVnR2QNCnRsbW9JdEF4YnFSdVd3PT0KLS0tLS1FTkQgQ0VSVElGSUNBVEUtLS0tLQo=

4. kubectl delete コマンドを使用して、すべての Red Hat Quay Pod を削除します。以下に例を示します。

   $ kubectl delete pod quay-operator.v3.7.1-6f9d859bd-p5ftc quayregistry-clair-postgres-7487f5bd86-xnxpr quayregistry-quay-app-upgrade-xq2v6  quayregistry-quay-database-859d5445ff-cqthr quayregistry-quay-redis-84f888776f-hhgms

   その後、Red Hat Quay デプロイメントにより、Pod を新しい証明書データに置き換えるスケジュールが自動的に設定されます。

手順

1. Elasticsearch のアカウントを取得します。
2. Red Hat Quay Config Tool を開きます (Red Hat Quay のデプロイ中またはデプロイ後)。

3. Action Log Storage Configuration 設定までスクロールし、Elasticsearch を選択します。次の図は、表示される Elasticsearch の設定です。

   

4. 使用する Elasticsearch インスタンスの以下の情報を入力します。

   • Elasticsearch hostname: Elasticsearch サービスを提供するシステムのホスト名または IP アドレス。
   • Elasticsearch port: 上で入力したホストで Elasticsearch サービスを提供しているポート番号。ポートが、Red Hat Quay レジストリーを実行しているすべてのシステムからアクセス可能でなければならないことに注意してください。デフォルトは TCP ポート 9200 です。
   • Elasticsearch access key: 必要に応じて、Elasticsearch サービスにアクセスするために必要なアクセスキーです。
   • Elasticsearch secret key: 必要に応じて、Elasticsearch サービスにアクセスするために必要な秘密鍵。
   • AWS region: AWS 上で運用している場合は、AWS リージョンを設定します (そうでない場合は、空欄のままです)。
   • Index prefix: ログエントリーに付ける接頭辞を選択します。

   • Logs Producer: Elasticsearch (デフォルト) または Kinesis のいずれかを選択し、ログを AWS 上の中間的な Kinesis ストリームに導きます。Kinesis から Elasticsearch (Logstash など) にログを送るには、独自のパイプラインを設定する必要があります。次の図は、Kinesis に必要な追加フィールドを示しています。

     

5. Logs Producer として Elasticsearch を選択した場合、これ以上の設定は必要ありません。Kinesis を選択した場合、以下を記入してください。

   • ストリーム名: Kinesis のストリームの名前。
   • AWS access key: Kinesis ストリームへのアクセスを得るために必要な AWS アクセスキーの名前 (必要な場合)。
   • AWS secret key: Kinesis ストリームにアクセスするために必要な AWS シークレットキーの名前 (必要な場合)。
   • AWS region: AWS のリージョン。
6. 完了したら、設定を保存します。設定ツールが設定をチェックします。Elasticsearch または Kinesis サービスへの接続に問題がある場合は、エラーが表示され、編集を続ける機会が与えられます。そうしないと、新しい設定に伴いでクラスターが再起動した後に、ロギングがあなたの Elasticsearch 設定に対して開始されます。

手順

1. Red Hat Quay インストールディレクトリーに、Clair データベースデータ用の新しいディレクトリーを作成します。

   $ mkdir /home/<user-name>/quay-poc/postgres-clairv4

2. 次のコマンドを入力して、postgres-clairv4 ファイルに適切な権限を設定します。

   $ setfacl -m u:26:-wx /home/<user-name>/quay-poc/postgres-clairv4

3. 次のコマンドを入力して、Clair Postgres データベースをデプロイします。

   $ sudo podman run -d --name postgresql-clairv4 \
     -e POSTGRESQL_USER=clairuser \
     -e POSTGRESQL_PASSWORD=clairpass \
     -e POSTGRESQL_DATABASE=clair \
     -e POSTGRESQL_ADMIN_PASSWORD=adminpass \
     -p 5433:5433 \
     -v /home/<user-name>/quay-poc/postgres-clairv4:/var/lib/pgsql/data:Z \
     registry.redhat.io/rhel8/postgresql-13:1-109

4. Clair デプロイメント用に Postgres uuid-ossp モジュールをインストールします。

   $ podman exec -it postgresql-clairv4 /bin/bash -c 'echo "CREATE EXTENSION IF NOT EXISTS \"uuid-ossp\"" | psql -d clair -U postgres'

   出力例

   CREATE EXTENSION

   注記

   Clair では、uuid-ossp 拡張機能を Postgres データベースに追加する必要があります。適切な権限を持つユーザーの場合は、拡張機能を作成すると、Clair によって自動的に追加されます。ユーザーが適切な権限を持っていない場合は、Clair を開始する前に拡張機能を追加する必要があります。

   拡張機能が存在しない場合は、Clair が起動しようとすると、ERROR: Please load the "uuid-ossp" extension.(SQLSTATE 42501) エラーが発生します。

5. 実行中の場合は、Quay コンテナーを停止し、設定モードで再始動して、既存の設定をボリュームとしてロードします。

   $ sudo podman run --rm -it --name quay_config \
     -p 80:8080 -p 443:8443 \
     -v $QUAY/config:/conf/stack:Z \
     {productrepo}/{quayimage}:{productminv} config secret

6. 設定ツールにログインし、UI の Security Scanner セクションで Enable Security Scanning をクリックします。
7. quay-server システムでまだ使用されていないポート (8081 など) を使用して、Clair の HTTP エンドポイントを設定します。

8. Generate PSK ボタンを使用して、事前共有キー (PSK) を作成します。

   セキュリティースキャナー UI

   

9. Red Hat Quay の config.yaml ファイルを検証してダウンロードし、設定エディターを実行している Quay コンテナーを停止します。

10. 新しい設定バンドルを Red Hat Quay インストールディレクトリーに展開します。次に例を示します。

    $ tar xvf quay-config.tar.gz -d /home/<user-name>/quay-poc/

11. Clair 設定ファイル用のフォルダーを作成します。次に例を示します。

    $ mkdir /etc/opt/clairv4/config/

12. Clair 設定フォルダーに移動します。

    $ cd /etc/opt/clairv4/config/

13. 以下のように、Clair 設定ファイルを作成します。

    http_listen_addr: :8081
    introspection_addr: :8088
    log_level: debug
    indexer:
      connstring: host=quay-server.example.com port=5433 dbname=clair user=clairuser password=clairpass sslmode=disable
      scanlock_retry: 10
      layer_scan_concurrency: 5
      migrations: true
    matcher:
      connstring: host=quay-server.example.com port=5433 dbname=clair user=clairuser password=clairpass sslmode=disable
      max_conn_pool: 100
      migrations: true
      indexer_addr: clair-indexer
    notifier:
      connstring: host=quay-server.example.com port=5433 dbname=clair user=clairuser password=clairpass sslmode=disable
      delivery_interval: 1m
      poll_interval: 5m
      migrations: true
    auth:
      psk:
        key: "MTU5YzA4Y2ZkNzJoMQ=="
        iss: ["quay"]
    # tracing and metrics
    trace:
      name: "jaeger"
      probability: 1
      jaeger:
        agent:
          endpoint: "localhost:6831"
        service_name: "clair"
    metrics:
      name: "prometheus"

    Clair の設定形式の詳細は、Clair 設定リファレンス を参照してください。

14. コンテナーイメージを使用して Clair を起動し、作成したファイルから設定にマウントします。

    $ sudo podman run -d --name clairv4 \
    -p 8081:8081 -p 8088:8088 \
    -e CLAIR_CONF=/clair/config.yaml \
    -e CLAIR_MODE=combo \
    -v /etc/opt/clairv4/config:/clair:Z \
    registry.redhat.io/quay/clair-rhel8:v3.10.3

    注記

    複数の Clair コンテナーを実行することもできますが、単一のコンテナーを超えるデプロイシナリオでは、Kubernetes や OpenShift Container Platform などのコンテナーオーケストレーターを使用することが強く推奨されます。

手順

1. 次のコマンドを入力して、サンプルイメージをプルします。

   $ podman pull ubuntu:20.04

2. 次のコマンドを入力して、レジストリーにイメージをタグ付けします。

   $ sudo podman tag docker.io/library/ubuntu:20.04 <quay-server.example.com>/<user-name>/ubuntu:20.04

3. 以下のコマンドを入力して、イメージを Red Hat Quay レジストリーにプッシュします。

   $ sudo podman push --tls-verify=false quay-server.example.com/quayadmin/ubuntu:20.04

4. UI から Red Hat Quay デプロイメントにログインします。
5. リポジトリー名 (quayadmin/ubuntu など) をクリックします。

6. ナビゲーションウィンドウで、Tags をクリックします。

   レポートの概要

   

7. イメージレポート (例: 45 medium) をクリックして、より詳細なレポートを表示します。

   レポートの詳細

   

   注記

   場合によっては、Clair はイメージに関する重複レポートを表示します (例: ubi8/nodejs-12 または ubi8/nodejs-16)。これは、同じ名前の脆弱性が異なるパッケージに存在するために発生します。この動作は Clair 脆弱性レポートで予期されており、バグとしては扱われません。

1. 設定モードで Quay コンテナーを起動し、Enable Repository Mirroring チェックボックスを選択します。HTTPS 通信を必要とし、ミラーリング時に証明書を検証する必要がある場合は、HTTPS を選択し、証明書の検証のチェックボックスを選択します。

   

2. configuration を検証し、ダウンロードしてから、更新された設定ファイルを使用してレジストリーモードで Quay を再起動します。

手順

1. デプロイメントの config.yaml ファイルに FEATURE_LISTEN_IP_VERSION パラメーターを追加し、IPv6 に設定します。次に例を示します。

   ---
   FEATURE_GOOGLE_LOGIN: false
   FEATURE_INVITE_ONLY_USER_CREATION: false
   FEATURE_LISTEN_IP_VERSION: IPv6
   FEATURE_MAILING: false
   FEATURE_NONSUPERUSER_TEAM_SYNCING_SETUP: false
   ---

2. Red Hat Quay デプロイメントを起動または再起動します。

3. 次のコマンドを入力して、デプロイが IPv6 をリッスンしていることを確認します。

   $ curl <quay_endpoint>/health/instance
   {"data":{"services":{"auth":true,"database":true,"disk_space":true,"registry_gunicorn":true,"service_key":true,"web_gunicorn":true}},"status_code":200}

手順

1. デプロイメントの config.yaml ファイルで、FEATURE_LISTEN_IP_VERSION パラメーターを追加し、dual-stack に設定します。次に例を示します。

   ---
   FEATURE_GOOGLE_LOGIN: false
   FEATURE_INVITE_ONLY_USER_CREATION: false
   FEATURE_LISTEN_IP_VERSION: dual-stack
   FEATURE_MAILING: false
   FEATURE_NONSUPERUSER_TEAM_SYNCING_SETUP: false
   ---

2. Red Hat Quay デプロイメントを起動または再起動します。

3. 次のコマンドを入力して、デプロイメントが両方のチャネルをリッスンしていることを確認します。

   1. IPv4 の場合、次のコマンドを入力します。

      $ curl --ipv4 <quay_endpoint>
      {"data":{"services":{"auth":true,"database":true,"disk_space":true,"registry_gunicorn":true,"service_key":true,"web_gunicorn":true}},"status_code":200}

   2. IPv6 の場合、次のコマンドを入力します。

      $ curl --ipv6 <quay_endpoint>
      {"data":{"services":{"auth":true,"database":true,"disk_space":true,"registry_gunicorn":true,"service_key":true,"web_gunicorn":true}},"status_code":200}

手順

1. Red Hat Quay 設定ツールを使用して LDAP を設定できます。

   1. Red Hat Quay 設定ツールを使用して、Authentication セクションを見つけます。ドロップダウンメニューから LDAP を選択し、必要に応じて LDAP 設定フィールドを更新します。

      

   2. オプション: Team synchronization ボックスで、Enable Team Syncrhonization Support をクリックします。チーム同期を有効にすると、スーパーユーザーでもある Red Hat Quay 管理者は、メンバーシップを LDAP のバッキンググループと同期するようにチームを設定できます。

      

   3. Resynchronization duration に 60m と入力します。このオプションは、チームを再同期する必要がある再同期期間を設定します。このフィールドは、30m、1h、1d などに設定する必要があります。

   4. オプション: Self-service team syncing setup の場合、Allow non-superusers to enable and manage team syncing をクリックして、スーパーユーザーが管理者である組織でチーム同期を有効化および管理できるようにすることができます。

      

   5. LDAP URI ボックスを見つけて、ldap:// または ldaps:// 接頭辞を含む完全な LDAP URI (ldap://117.17.8.101 など) を指定します。

      

   6. ベース DN で、すべての LDAP レコードを検索するためのベースパスを形成する名前を指定します (例: o=<organization_id>、dc=<example_domain_component>、dc=com)。

      

   7. User Relative DN で、識別名パスのリストを指定します。これは、上で定義した Base DN を基準にしてすべてのユーザー LDAP レコードを検索するためのセカンダリーベースパスを形成します。たとえば、uid=<name>、ou=Users、o=<organization_id >、dc=<example_domain_component>、dc=com などです。ユーザーがプライマリー相対 DN で見つからない場合は、このパスが試行されます。

      

      注記

      User Relative DN は、Base DN に対する相対的なものです。たとえば、,dc=<example_domain_component>,dc=com ではなく、ou=Users です。

   8. オプション: ユーザーオブジェクトが存在する組織単位が複数ある場合は、Secondary User Relative DNs を指定します。組織単位を入力し、Add をクリックして複数の RDN を追加できます。たとえば、ou=Users,ou=NYC and ou=Users,ou=SFO です。

      User Relative DN はサブツリーのスコープで検索します。たとえば、組織に Users OU の下に NYC および SFO の組織単位がある場合 (つまり、ou=SFO,ou=Users および ou=NYC,ou=Users)、Red Hat Quay は NYC と SFO の両方の組織単位からユーザーを認証できます。User Relative DN が Users (ou=Users) に設定されている場合の単位。

   9. オプション: 必要に応じて、すべてのユーザー検索クエリーの Additional User Filter Expression フィールドに入力します。フィルターで使用される識別名は完全ベースである必要があります。Base DN はこのフィールドに自動的に追加されないため、(memberOf=cn=developers,ou=groups,dc=<example_domain_component>,dc=com) のようにテキストを括弧で囲む必要があります。

      

   10. Red Hat Quay 管理者アカウントの Administrator DN フィールドに入力します。このアカウントは、ログインしてすべてのユーザーアカウントの記録を閲覧できる必要があります。例: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com

       

   11. Administrator DN Password フィールドに入力します。これは管理者識別名のパスワードです。

       重要

       このフィールドのパスワードは、config.yaml ファイル内にプレーンテキストで保存されます。パスワードハッシュを使用する専用アカウントを設定することを強く推奨します。

   12. オプション: UID Attribute フィールドに入力します。これは、ユーザーのユーザー名を保存する LDAP ユーザーレコード内のプロパティーフィールドの名前です。最も一般的には、このフィールドには uid が入力されます。このフィールドは、Red Hat Quay デプロイメントにログインするために使用できます。

       

   13. オプション: Mail Attribute フィールドに入力します。これは、ユーザーの電子メールアドレスを保存する LDAP ユーザーレコードのプロパティーフィールドの名前です。最も一般的には、このフィールドには mail が入力されます。このフィールドは、Red Hat Quay デプロイメントにログインするために使用できます。

       

       注記

       • ログインするユーザー名は、User Relative DN に存在する必要があります。
       • Microsoft Active Directory を使用して LDAP デプロイメントをセットアップしている場合は、UID 属性に sAMAccountName を使用する必要があります。

   14. オプション: カスタム SSL/TLS 証明書を追加するには、Custom TLS Certificate オプションの下の Choose File をクリックします。さらに、非 TLS 接続へのフォールバックを許可するチェックボックスをオンにすることで、安全でない Allow fallback to non-TLS connections を有効にすることができます。

       

       SSl/TLS 証明書をアップロードする場合は、ldaps:// 接頭辞を指定する必要があります (例: LDAP_URI: ldaps://ldap_provider.example.org)。

2. あるいは、config.yaml ファイルを直接更新して、すべての関連情報を含めることもできます。以下に例を示します。

   ---
   AUTHENTICATION_TYPE: LDAP
   ---
   LDAP_ADMIN_DN: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com
   LDAP_ADMIN_PASSWD: ABC123
   LDAP_ALLOW_INSECURE_FALLBACK: false
   LDAP_BASE_DN:
       - o=<organization_id>
       - dc=<example_domain_component>
       - dc=com
   LDAP_EMAIL_ATTR: mail
   LDAP_UID_ATTR: uid
   LDAP_URI: ldap://<example_url>.com
   LDAP_USER_FILTER: (memberof=cn=developers,ou=Users,dc=<domain_name>,dc=com)
   LDAP_USER_RDN:
       - ou=<example_organization_unit>
       - o=<organization_id>
       - dc=<example_domain_component>
       - dc=com

3. 必要な LDAP フィールドをすべて追加したら、Save Configuration Changes ボタンをクリックして設定を検証します。続行する前に、すべての検証が成功する必要があります。Continue Editing ボタンを選択すると、追加の設定を実行できます。

手順

1. デプロイメントの config.yaml ファイルで、LDAP_RESTRICTED_USER_FILTER パラメーターを追加し、制限されたユーザーのグループ (たとえば members) を指定します。

   ---
   AUTHENTICATION_TYPE: LDAP
   ---
   LDAP_ADMIN_DN: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com
   LDAP_ADMIN_PASSWD: ABC123
   LDAP_ALLOW_INSECURE_FALLBACK: false
   LDAP_BASE_DN:
       - o=<organization_id>
       - dc=<example_domain_component>
       - dc=com
   LDAP_EMAIL_ATTR: mail
   LDAP_UID_ATTR: uid
   LDAP_URI: ldap://<example_url>.com
   LDAP_USER_FILTER: (memberof=cn=developers,ou=Users,o=<example_organization_unit>,dc=<example_domain_component>,dc=com)
   LDAP_RESTRICTED_USER_FILTER: (<filterField>=<value>)
   LDAP_USER_RDN:
       - ou=<example_organization_unit>
       - o=<organization_id>
       - dc=<example_domain_component>
       - dc=com

2. Red Hat Quay デプロイメントを起動または再起動します。

手順

1. デプロイメントの config.yaml ファイルで、LDAP_SUPERUSER_FILTER パラメーターを追加し、スーパーユーザーとして設定するユーザーのグループ (root など) を追加します。

   ---
   AUTHENTICATION_TYPE: LDAP
   ---
   LDAP_ADMIN_DN: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com
   LDAP_ADMIN_PASSWD: ABC123
   LDAP_ALLOW_INSECURE_FALLBACK: false
   LDAP_BASE_DN:
       - o=<organization_id>
       - dc=<example_domain_component>
       - dc=com
   LDAP_EMAIL_ATTR: mail
   LDAP_UID_ATTR: uid
   LDAP_URI: ldap://<example_url>.com
   LDAP_USER_FILTER: (memberof=cn=developers,ou=Users,o=<example_organization_unit>,dc=<example_domain_component>,dc=com)
   LDAP_SUPERUSER_FILTER: (<filterField>=<value>)
   LDAP_USER_RDN:
       - ou=<example_organization_unit>
       - o=<organization_id>
       - dc=<example_domain_component>
       - dc=com

2. Red Hat Quay デプロイメントを起動または再起動します。

手順

1. 次のコマンドを入力して、サンプルイメージ (例: ubuntu:18.04) をプルします。

   $ podman pull ubuntu:18.04

2. 次のコマンドを入力して、同じイメージに 2 回タグ付けします。

   $ podman tag docker.io/library/ubuntu:18.04 quay-server.example.com/quota-test/ubuntu:tag1

   $ podman tag docker.io/library/ubuntu:18.04 quay-server.example.com/quota-test/ubuntu:tag2

3. 次のコマンドを入力して、サンプルイメージを組織にプッシュします。

   $ podman push --tls-verify=false quay-server.example.com/quota-test/ubuntu:tag1

   $ podman push --tls-verify=false quay-server.example.com/quota-test/ubuntu:tag2

4. Red Hat Quay UI で、Organization に移動し、Repository Name (例: uota-test/ubuntu) をクリックします。次に、Tags をクリックします。tag1 と tag2 という 2 つのリポジトリータグがあり、それぞれ同じマニフェストを持つ必要があります。以下に例を示します。

   

   ただし、Organization のリンクをクリックすると、Total Quota Consumed が 27.94 MB であることがわかります。これは、Ubuntu イメージが一度だけ考慮されていることを意味します。

   

   Ubuntu タグの 1 つを削除しても、Total Quota Consumed は変わりません。

   注記

   Red Hat Quay タイムマシンを 0 秒より長く設定した場合、それらのタグがタイムマシンウィンドウを通過するまで減算は行われません。永久削除を迅速に行いたい場合は、Red Hat Quay 3.9 でのイメージタグの永久削除を参照してください。

手順

1. 新しい組織を作成するか、既存の組織を選択します。Organization Settings タブに表示されているように、最初はクォータが設定されていません。

   

2. スーパーユーザーとしてレジストリーにログインし、Super User Admin Panel の Manage Organizations タブに移動します。ストレージクォータ制限を作成する組織の Options アイコンをクリックします。

   

3. Configure Quota をクリックして、初期クォータ (たとえば 10 MB) を入力します。次に、Apply をクリックしてから Close をクリックします。

   

4. スーパーユーザーパネルの Manage Organizations タブで、消費されたクォータが 0 of 10 MB を示していることを確認します。

   

   消費されたクォータ情報は、組織ページから直接入手することもできます。

   最初に消費されたクォータ

   

5. クォータを 100MB に増やすには、スーパーユーザーパネルの Manage Organizations タブに移動します。Options アイコンをクリックし、Configure Quota を選択して、クォータを 100 MB に設定します。Apply をクリックしてから Close をクリックします。

   

6. 次のコマンドを入力して、サンプルイメージをプルします。

   $ podman pull ubuntu:18.04

7. 次のコマンドを入力して、サンプルイメージにタグを付けます。

   $ podman tag docker.io/library/ubuntu:18.04 example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:18.04

8. 次のコマンドを入力して、サンプルイメージを組織にプッシュします。

   $ podman push --tls-verify=false example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:18.04

9. スーパーユーザーパネルには、組織ごとに消費されたクォータが表示されます。

   

10. 組織ページには、イメージで使用されているクォータの合計比率が表示されます。

    最初のイメージで消費された合計クォータ

    

11. 次のコマンドを入力して、2 番目のサンプルイメージを取得します。

    $ podman pull nginx

12. 次のコマンドを入力して、2 番目のイメージにタグを付けます。

    $ podman tag docker.io/library/nginx example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/nginx

13. 次のコマンドを入力して、2 番目のイメージを組織にプッシュします。

    $ podman push --tls-verify=false example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/nginx

14. 組織ページには、その組織の各リポジトリーで使用されているクォータの合計比率が表示されます。

    各リポジトリーで消費された合計クォータ

    

15. 拒否 と 警告 の制限を作成します。

    スーパーユーザーパネルから、Manage Organizations タブに移動します。組織の Options アイコンをクリックし、Configure Quota を選択します。Quota Policy セクションで、Action タイプを Reject に設定し、Quota Threshold を 80 に設定して、Add Limit をクリックします。

    

16. 警告 制限を作成するには、Action タイプに Warning を選択し、Quota Threshold を 70 に設定して、Add Limit をクリックします。

    

17. クォータポップアップで Close をクリックします。制限は、Organization ページの Settings タブで表示できますが、編集することはできません。

    

18. 拒否制限を超えたイメージをプッシュします。

    拒否制限 (80%) が現在のリポジトリーサイズ (~83%) 未満に設定されているため、次にプッシュされたイメージは自動的に拒否されます。

    サンプルイメージプッシュ

    $ podman pull ubuntu:20.04
    
    $ podman tag docker.io/library/ubuntu:20.04 example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:20.04
    
    $ podman push --tls-verify=false example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org/testorg/ubuntu:20.04

    クォータを超えたときのサンプル出力

    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    WARN[0002] failed, retrying in 1s ... (1/3). Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace
    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    WARN[0005] failed, retrying in 1s ... (2/3). Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace
    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    WARN[0009] failed, retrying in 1s ... (3/3). Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace
    Getting image source signatures
    Copying blob d4dfaa212623 [--------------------------------------] 8.0b / 3.5KiB
    Copying blob cba97cc5811c [--------------------------------------] 8.0b / 15.0KiB
    Copying blob 0c78fac124da [--------------------------------------] 8.0b / 71.8MiB
    Error: Error writing blob: Error initiating layer upload to /v2/testorg/ubuntu/blobs/uploads/ in example-registry-quay-quay-enterprise.apps.docs.gcp.quaydev.org: denied: Quota has been exceeded on namespace

19. 制限を超えると、UI に通知が表示されます。

    クォータ通知

    

手順

1. Red Hat Quay UI で、ユーザー名 → Super User Admin Panel をクリックします。
2. ナビゲーションペインで、Manage Organizations をクリックします。
3. Calculate をクリックします。これは、Total Registry Size: 0.00 KB, Updated: Never , Calculation required の横にあります。次に、OK をクリックします。

4. レジストリーのサイズに応じて、数分後、ページを更新します。ここで、合計レジストリーサイズを計算する必要があります。以下に例を示します。

   

手順

1. 一時バックアップディレクトリーを作成します (例: quay-backup)。

   $ mkdir /tmp/quay-backup

2. 以下のコマンド例は、Red Hat Quay が開始されたローカルディレクトリー (/opt/quay-install など) を示しています。

   $ podman run --name quay-app \
      -v /opt/quay-install/config:/conf/stack:Z \
      -v /opt/quay-install/storage:/datastorage:Z \
      registry.redhat.io/quay/quay-rhel8:v3.10.3

   次のコマンドを実行して、コンテナー内の /conf/stack にバインドマウントするディレクトリー (/opt/quay-install など) に移動します。

   $ cd /opt/quay-install

3. 以下のコマンドを入力して、Red Hat Quay デプロイメントの内容を quay-backup ディレクトリーのアーカイブに圧縮します。

   $ tar cvf /tmp/quay-backup/quay-backup.tar.gz *

   出力例:

   config.yaml
   config.yaml.bak
   extra_ca_certs/
   extra_ca_certs/ca.crt
   ssl.cert
   ssl.key

4. 次のコマンドを入力して、Quay コンテナーサービスをバックアップします。

   $ podman inspect quay-app | jq -r '.[0].Config.CreateCommand | .[]' | paste -s -d ' ' -
   
     /usr/bin/podman run --name quay-app \
     -v /opt/quay-install/config:/conf/stack:Z \
     -v /opt/quay-install/storage:/datastorage:Z \
     registry.redhat.io/quay/quay-rhel8:v3.10.3

5. 次のコマンドを入力して、conf/stack/config.yaml ファイルの内容を一時的に作成した quay-config.yaml ファイルにリダイレクトします。

   $ podman exec -it quay cat /conf/stack/config.yaml > /tmp/quay-backup/quay-config.yaml

6. 以下のコマンドを入力して、一時的に作成した quay-config.yaml にある DB_URI を取得します。

   $ grep DB_URI /tmp/quay-backup/quay-config.yaml

   出力例:

   $ postgresql://<username>:test123@172.24.10.50/quay

7. 次のコマンドを入力して、PostgreSQL の内容をバックアップ .sql ファイルの一時バックアップディレクトリーに抽出します。

   $ pg_dump -h 172.24.10.50  -p 5432 -d quay  -U  <username>   -W -O > /tmp/quay-backup/quay-backup.sql

8. 次のコマンドを入力して、DISTRIBUTED_STORAGE_CONFIG の内容を出力します。

   DISTRIBUTED_STORAGE_CONFIG:
      default:
       - S3Storage
       - s3_bucket: <bucket_name>
         storage_path: /registry
         s3_access_key: <s3_access_key>
         s3_secret_key: <s3_secret_key>
         host: <host_name>

9. ステップ 7 で取得した access_key 認証情報を使用して、AWS_ACCESS_KEY_ID をエクスポートします。

   $ export AWS_ACCESS_KEY_ID=<access_key>

10. ステップ 7 で取得した secret_key を使用して、AWS_SECRET_ACCESS_KEY をエクスポートします。

    $ export AWS_SECRET_ACCESS_KEY=<secret_key>

11. DISTRIBUTED_STORAGE_CONFIG の hostname から quay バケットを /tmp/quay-backup/blob-backup/ ディレクトリーに同期します。

    $ aws s3 sync s3://<bucket_name>  /tmp/quay-backup/blob-backup/ --source-region us-east-2

    出力例:

    download: s3://<user_name>/registry/sha256/9c/9c3181779a868e09698b567a3c42f3744584ddb1398efe2c4ba569a99b823f7a to registry/sha256/9c/9c3181779a868e09698b567a3c42f3744584ddb1398efe2c4ba569a99b823f7a
    download: s3://<user_name>/registry/sha256/e9/e9c5463f15f0fd62df3898b36ace8d15386a6813ffb470f332698ecb34af5b0d to registry/sha256/e9/e9c5463f15f0fd62df3898b36ace8d15386a6813ffb470f332698ecb34af5b0d

手順

1. Red Hat Quay コンテナー内の /conf/stack にバインドマウントする新しいディレクトリーを作成します。

   $ mkdir /opt/new-quay-install

2. 「スタンドアロンデプロイメントでの Red Hat Quay のバックアップ」 で作成した一時バックアップディレクトリーの内容を、ステップ 1 で作成した new-quay-install1 ディレクトリーにコピーします。

   $ cp /tmp/quay-backup/quay-backup.tar.gz /opt/new-quay-install/

3. 次のコマンドを入力して、new-quay-install ディレクトリーに移動します。

   $ cd /opt/new-quay-install/

4. Red Hat Quay ディレクトリーの内容を抽出します。

   $ tar xvf /tmp/quay-backup/quay-backup.tar.gz *

   出力例:

   config.yaml
   config.yaml.bak
   extra_ca_certs/
   extra_ca_certs/ca.crt
   ssl.cert
   ssl.key

5. 次のコマンドを入力して、バックアップした config.yaml ファイルから DB_URI を呼び出します。

   $ grep DB_URI config.yaml

   出力例:

   postgresql://<username>:test123@172.24.10.50/quay

6. 次のコマンドを実行して、PostgreSQL データベースサーバーに入ります。

   $ sudo postgres

7. 次のコマンドを入力して、psql と入力し、172.24.10.50 に新しいデータベースを作成して、quay データベースを復元します (例: example_restore_registry_quay_database)。

   $ psql "host=172.24.10.50  port=5432 dbname=postgres user=<username>  password=test123"
   postgres=> CREATE DATABASE example_restore_registry_quay_database;

   出力例:

   CREATE DATABASE

8. 次のコマンドを実行して、データベースに接続します。

   postgres=# \c "example-restore-registry-quay-database";

   出力例:

   You are now connected to database "example-restore-registry-quay-database" as user "postgres".

9. 次のコマンドを実行して、Quay データベースの pg_trmg エクステンションを作成します。

   example_restore_registry_quay_database=> CREATE EXTENSION IF NOT EXISTS pg_trgm;

   出力例:

   CREATE EXTENSION

10. 次のコマンドを入力して、postgres CLI を終了します。

    \q

11. 次のコマンドを実行して、データベースのバックアップを新しいデータベースにインポートします。

    $ psql "host=172.24.10.50 port=5432 dbname=example_restore_registry_quay_database user=<username> password=test123"  -W <  /tmp/quay-backup/quay-backup.sql

    出力例:

    SET
    SET
    SET
    SET
    SET

    Red Hat Quay のデプロイメントを再起動する前に config.yaml の DB_URI の値を postgresql://<username>:test123@172.24.10.50/quay から postgresql://<username>:test123@172.24.10.50/example-restore-registry-quay-database に更新してください。

    注記

    DB_URI の形式は DB_URI postgresql://<login_user_name>:<login_user_password>@<postgresql_host>/<quay_database> です。ある PostgreSQL サーバーから別の PostgreSQL サーバーに移動する場合は、<login_user_name>、<login_user_password>、および <postgresql_host> の値を同時に更新します。

12. /opt/new-quay-install ディレクトリーで、DISTRIBUTED_STORAGE_CONFIG バンドルの内容を出力します。

    $ cat config.yaml | grep DISTRIBUTED_STORAGE_CONFIG -A10

    出力例:

    DISTRIBUTED_STORAGE_CONFIG:
       default:
    DISTRIBUTED_STORAGE_CONFIG:
       default:
        - S3Storage
        - s3_bucket: <bucket_name>
          storage_path: /registry
          s3_access_key: <s3_access_key>
          s3_secret_key: <s3_secret_key>
          host: <host_name>

    注記

    Red Hat Quay のデプロイメントを再起動する前に /opt/new-quay-install にある DISTRIBUTED_STORAGE_CONFIG を更新する必要があります。

13. ステップ 13 で取得した access_key 認証情報を使用して、AWS_ACCESS_KEY_ID をエクスポートします。

    $ export AWS_ACCESS_KEY_ID=<access_key>

14. ステップ 13 で取得した secret_key を使用して、AWS_SECRET_ACCESS_KEY をエクスポートします。

    $ export AWS_SECRET_ACCESS_KEY=<secret_key>

15. 次のコマンドを入力して、新しい s3 バケットを作成します。

    $ aws s3 mb s3://<new_bucket_name>  --region us-east-2

    出力例:

    $ make_bucket: quay

16. 次のコマンドを入力して、すべての Blob を新しい s3 バケットにアップロードします。

    $ aws s3 sync --no-verify-ssl \
    --endpoint-url <example_endpoint_url> 1
    /tmp/quay-backup/blob-backup/. s3://quay/

    1

    Red Hat Quay レジストリーのエンドポイントは、バックアップ前と復元後に同じである必要があります。

    出力例:

    upload: ../../tmp/quay-backup/blob-backup/datastorage/registry/sha256/50/505edb46ea5d32b5cbe275eb766d960842a52ee77ac225e4dc8abb12f409a30d to s3://quay/datastorage/registry/sha256/50/505edb46ea5d32b5cbe275eb766d960842a52ee77ac225e4dc8abb12f409a30d
    upload: ../../tmp/quay-backup/blob-backup/datastorage/registry/sha256/27/27930dc06c2ee27ac6f543ba0e93640dd21eea458eac47355e8e5989dea087d0 to s3://quay/datastorage/registry/sha256/27/27930dc06c2ee27ac6f543ba0e93640dd21eea458eac47355e8e5989dea087d0
    upload: ../../tmp/quay-backup/blob-backup/datastorage/registry/sha256/8c/8c7daf5e20eee45ffe4b36761c4bb6729fb3ee60d4f588f712989939323110ec to s3://quay/datastorage/registry/sha256/8c/8c7daf5e20eee45ffe4b36761c4bb6729fb3ee60d4f588f712989939323110ec
    ...

17. Red Hat Quay デプロイメントを再起動する前に、config.yaml でストレージ設定を更新します。

    DISTRIBUTED_STORAGE_CONFIG:
       default:
    DISTRIBUTED_STORAGE_CONFIG:
       default:
        - S3Storage
        - s3_bucket: <new_bucket_name>
          storage_path: /registry
          s3_access_key: <s3_access_key>
          s3_secret_key: <s3_secret_key>
          host: <host_name>

手順

1. スタンドアロン Red Hat Quay デプロイメントの config.yaml をバックアップします。

   $ mkdir /tmp/quay-backup
   $ cp /path/to/Quay/config/directory/config.yaml /tmp/quay-backup

2. スタンドアロン Red Hat Quay デプロイメントが使用しているデータベースのバックアップを作成します。

   $ pg_dump -h DB_HOST -p 5432 -d QUAY_DATABASE_NAME -U QUAY_DATABASE_USER -W -O > /tmp/quay-backup/quay-database-backup.sql

3. AWS CLI がない場合はインストールします。

4. ~/.aws/ ディレクトリーを作成します。

   $ mkdir ~/.aws/

5. スタンドアロンデプロイメントの config.yaml から access_key と secret_key を取得します。

   $ grep -i DISTRIBUTED_STORAGE_CONFIG -A10 /tmp/quay-backup/config.yaml

   出力例:

   DISTRIBUTED_STORAGE_CONFIG:
       minio-1:
           - RadosGWStorage
           - access_key: ##########
             bucket_name: quay
             hostname: 172.24.10.50
             is_secure: false
             port: "9000"
             secret_key: ##########
             storage_path: /datastorage/registry

6. config.yaml ファイルの access_key と secret_key を ~/.aws ディレクトリーに保存します。

   $ touch ~/.aws/credentials

7. オプション: access_key および secret_key が保存されていることを確認します。

   $ cat > ~/.aws/credentials << EOF
   [default]
   aws_access_key_id = ACCESS_KEY_FROM_QUAY_CONFIG
   aws_secret_access_key = SECRET_KEY_FROM_QUAY_CONFIG
   EOF

   出力例:

   aws_access_key_id = ACCESS_KEY_FROM_QUAY_CONFIG
   aws_secret_access_key = SECRET_KEY_FROM_QUAY_CONFIG

   注記

   aws cli が `~/.aws/credentials file ファイルから access_key および secret_key を自動的に収集しない場合、aws configure を実行して手動でクレデンシャルを入力することで、それを設定できます。

8. quay-backup ディレクトリーで、bucket_backup ディレクトリーを作成します。

   $ mkdir /tmp/quay-backup/bucket-backup

9. S3 ストレージからすべての Blob をバックアップします。

   $ aws s3 sync --no-verify-ssl --endpoint-url https://PUBLIC_S3_ENDPOINT:PORT s3://QUAY_BUCKET/ /tmp/quay-backup/bucket-backup/

   注記

   PUBLIC_S3_ENDPOINT は、DISTRIBUTED_STORAGE_CONFIG の hostname の下にある Red Hat Quay の config.yaml ファイルから読み取ることができます。エンドポイントがセキュアでない場合、エンドポイント URL の https ではなく http を使用します。

1. Red Hat Quay Operator をスケールダウンします。

   $ oc scale --replicas=0 deployment quay-operator.v3.6.2 -n openshift-operators

2. アプリケーションをスケールダウンし、デプロイメントをミラーリングします。

   $ oc scale --replicas=0 deployment QUAY_MAIN_APP_DEPLOYMENT QUAY_MIRROR_DEPLOYMENT

3. データベース SQL バックアップを Quay PostgreSQL データベースインスタンスにコピーします。

   $ oc cp /tmp/user/quay-backup/quay-database-backup.sql quay-enterprise/quayregistry-quay-database-54956cdd54-p7b2w:/var/lib/pgsql/data/userdata

4. オペレーターが作成した config.yaml ファイルからデータベースパスワードを取得します。

   $ oc get deployment quay-quay-app -o json | jq '.spec.template.spec.volumes[].projected.sources' | grep -i config-secret

   出力例:

         "name": "QUAY_CONFIG_SECRET_NAME"

   $ oc get secret quay-quay-config-secret-9t77hb84tb -o json | jq '.data."config.yaml"' | cut -d '"' -f2 | base64 -d -w0 > /tmp/quay-backup/operator-quay-config-yaml-backup.yaml

   cat /tmp/quay-backup/operator-quay-config-yaml-backup.yaml | grep -i DB_URI

   出力例:

   postgresql://QUAY_DATABASE_OWNER:PASSWORD@DATABASE_HOST/QUAY_DATABASE_NAME

5. データベース Pod 内でシェルを実行します。

   # oc exec -it quay-postgresql-database-pod -- /bin/bash

6. psql を入力します。

   bash-4.4$ psql

7. データベースを削除します。

   postgres=# DROP DATABASE "example-restore-registry-quay-database";

   出力例:

   DROP DATABASE

8. 新しいデータベースを作成し、所有者を同じ名前に設定します。

   postgres=# CREATE DATABASE "example-restore-registry-quay-database" OWNER "example-restore-registry-quay-database";

   出力例:

   CREATE DATABASE

9. データベースに接続します。

   postgres=# \c "example-restore-registry-quay-database";

   出力例:

   You are now connected to database "example-restore-registry-quay-database" as user "postgres".

10. Quay データベースの pg_trmg エクステンションを作成します。

    example-restore-registry-quay-database=# create extension pg_trgm ;

    出力例:

    CREATE EXTENSION

11. postgres CLI を終了して bash-4.4 を再入力します。

    \q

12. PostgreSQL デプロイメントのパスワードを設定します。

    bash-4.4$ psql -h localhost -d "QUAY_DATABASE_NAME" -U QUAY_DATABASE_OWNER -W < /var/lib/pgsql/data/userdata/quay-database-backup.sql

    出力例:

    SET
    SET
    SET
    SET
    SET

13. bash モードを終了します。

    bash-4.4$ exit

14. Red Hat Quay Operator の新規設定バンドルを作成します。

    $ touch config-bundle.yaml

15. 新規の config-bundle.yaml で、LDAP 設定、キー、古いレジストリーのその他の変更など、レジストリーに必要なすべての情報を含めます。以下のコマンドを実行して secret_key を config-bundle.yaml に移動します。

    $ cat /tmp/quay-backup/config.yaml | grep SECRET_KEY > /tmp/quay-backup/config-bundle.yaml

    注記

    すべての LDAP、OIDC、およびその他の情報を手動でコピーし、それを /tmp/quay-backup/config-bundle.yaml ファイルに追加する必要があります。

16. OpenShift クラスター内に設定バンドルシークレットを作成します。

    $ oc create secret generic new-custom-config-bundle --from-file=config.yaml=/tmp/quay-backup/config-bundle.yaml

17. Quay Pod をスケールアップします。

    $ oc scale --replicas=1 deployment quayregistry-quay-app
    deployment.apps/quayregistry-quay-app scaled

18. ミラー Pod をスケールアップします。

    $ oc scale --replicas=1  deployment quayregistry-quay-mirror
    deployment.apps/quayregistry-quay-mirror scaled

19. QuayRegistry CRD にパッチを適用し、新規カスタム設定バンドルへの参照が含まれるようにします。

    $ oc patch quayregistry QUAY_REGISTRY_NAME --type=merge -p '{"spec":{"configBundleSecret":"new-custom-config-bundle"}}'

    注記

    Red Hat Quay が内部サーバーエラー 500 を返した場合、DISTRIBUTED_STORAGE_CONFIG の location を default に更新する必要がある場合があります。

20. /.aws/ ディレクトリーに新しい AWScredentials.yaml を作成し、Operator が作成した config.yaml ファイルから access_key と secret_key を含めます。

    $ touch credentials.yaml

    $ grep -i DISTRIBUTED_STORAGE_CONFIG -A10 /tmp/quay-backup/operator-quay-config-yaml-backup.yaml

    $ cat > ~/.aws/credentials << EOF
    [default]
    aws_access_key_id = ACCESS_KEY_FROM_QUAY_CONFIG
    aws_secret_access_key = SECRET_KEY_FROM_QUAY_CONFIG
    EOF

    注記

    aws cli が `~/.aws/credentials file ファイルから access_key および secret_key を自動的に収集しない場合、aws configure を実行して手動でクレデンシャルを入力することで、それを設定できます。

21. NooBaa の公開されているエンドポイントを記録します。

    $ oc get route s3 -n openshift-storage -o yaml -o jsonpath="{.spec.host}{'\n'}"

22. バックアップデータを NooBaa バックエンドストレージに同期します。

    $ aws s3 sync --no-verify-ssl --endpoint-url https://NOOBAA_PUBLIC_S3_ROUTE /tmp/quay-backup/bucket-backup/* s3://QUAY_DATASTORE_BUCKET_NAME

23. Operator のバックアップを最大 1 Pod にスケールアップします。

    $ oc scale –replicas=1 deployment quay-operator.v3.6.4 -n openshift-operators

手順

1. IGNORE_UNKNOWN_MEDIATYPES 設定フィールドを Red Hat Quay config.yaml ファイルに追加します。

   IGNORE_UNKNOWN_MEDIATYPES: true

   このフィールドを有効にすると、Red Hat Quay デプロイメントは不明または認識されないアーティファクトタイプを受け入れます。

手順

1. 次のコマンドを入力して、ガベージコレクションが正しく機能していることを確認します。

   $ sudo podman logs <container_id>

   出力例:

   gcworker stdout | 2022-11-14 18:46:52,458 [63] [INFO] [apscheduler.executors.default] Job "GarbageCollectionWorker._garbage_collection_repos (trigger: interval[0:00:30], next run at: 2022-11-14 18:47:22 UTC)" executed successfully

2. イメージタグを削除します。

3. 次のコマンドを入力して、タグが削除されたことを確認します。

   $ podman logs quay-app

   出力例:

   gunicorn-web stdout | 2022-11-14 19:23:44,574 [233] [INFO] [gunicorn.access] 192.168.0.38 - - [14/Nov/2022:19:23:44 +0000] "DELETE /api/v1/repository/quayadmin/busybox/tag/test HTTP/1.0" 204 0 "http://quay-server.example.com/repository/quayadmin/busybox?tab=tags" "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0"

手順

1. デプロイメントにログインします。

2. デプロイメントのナビゲーションペインに、現在の UI と 新しい UI を切り替えるオプションが表示されます。切り替えボタンをクリックして新しい UI に設定し、次に Use Beta Environment をクリックします。次に例を示します。

   

手順

1. Red Hat Quay v2 UI ダッシュボードのナビゲーションペインで Repositories をクリックします。
2. イメージタグのあるリポジトリーの名前をクリックします。

3. Tag History をクリックします。このページでは、次の操作を実行できます。

   • タグ名での検索
   • 日付範囲の選択
   • タグの変更の表示
   • タグの変更日と変更時刻の表示

手順

1. Red Hat Quay v2 UI ダッシュボードのナビゲーションペインで Repositories をクリックします。
2. イメージタグのあるリポジトリーの名前をクリックします。
3. イメージの縦の省略記号メニューをクリックし、Edit labels を選択します。
4. Edit labels ウィンドウで、Add new label をクリックします。

5. key=value 形式を使用してイメージタグのラベルを入力します (例: com.example.release-date=2023-11-14)。

   注記

   key=value 形式の使用に失敗すると、Invalid label format, must be key value separated by = というエラーが返されます。

6. 空白のボックスをクリックしてラベルを追加します。
7. オプション: 2 番目のラベルを追加します。
8. Save labels をクリックして、ラベルをイメージタグに保存します。Created labels successfully という通知が返されます。
9. オプション: 同じイメージタグの縦の省略記号メニュー→ Edit labels → ラベルの X をクリックして削除します。または、テキストを編集することもできます。Save labels をクリックします。これでラベルが削除または編集されました。

手順

1. Red Hat Quay v2 UI ダッシュボードのナビゲーションペインで Repositories をクリックします。
2. イメージタグのあるリポジトリーの名前をクリックします。
3. イメージの縦の省略記号メニューをクリックし、Change expiration を選択します。
4. オプション: または、複数のタグのボックスをクリックし、Actions → Set expiration を選択して有効期限を一括追加することもできます。
5. Change Tags Expiration ウィンドウで、曜日、月、日、年を指定して有効期限を設定します。たとえば、Wednesday, November 15, 2023 に設定します。または、カレンダーボタンをクリックして日付を手動で選択することもできます。
6. 時刻を 2:30 PM などに設定します。
7. Change Expiration をクリックして日付と時刻を確認します。Successfully set expiration for tag test to Nov 15, 2023, 2:26 PM という通知が返されます。

8. Red Hat Quay v2 UI の Tags ページで、タグの有効期限の設定を確認できます。以下に例を示します。

   

1. ナビゲーションペインに、現在の UI と 新しい UI を切り替えるオプションが表示されます。切り替えボタンをクリックして、Current UI に設定します。

   

手順

1. Web ブラウザーで、https://{quay-ip-endpoint}/health/instance に移動します。

2. ヘルスインスタンスページが表示され、以下のような情報が返されます。

   {"data":{"services":{"auth":true,"database":true,"disk_space":true,"registry_gunicorn":true,"service_key":true,"web_gunicorn":true}},"status_code":200}

   Red Hat Quay の場合、status_code: 200 はインスタンスが正常であることを意味します。逆に、"status_code": 503 を受け取った場合は、デプロイメントに問題があります。