Red Hat Quay リリースノート
はじめに
Red Hat Quay コンテナーレジストリープラットフォームは、コンテナーとクラウドネイティブアーティファクトの安全なストレージ、配布、およびガバナンスをあらゆるインフラストラクチャーに提供します。スタンドアロンコンポーネントとして、または OpenShift Container Platform の Operator として利用できます。Red Hat Quay には、以下の機能と利点が含まれています。
- 詳細なセキュリティー管理
- あらゆる規模で高速かつ堅牢
- 高速 CI/CD
- インストールおよび更新の自動化
- エンタープライズ認証およびチームベースのアクセス制御
- OpenShift Container Platform 統合
Red Hat Quay は、新機能、バグ修正およびソフトウェアの更新を含め、定期的にリリースされます。スタンドアロンおよび OpenShift Container Platform デプロイメントの両方で Red Hat Quay をアップグレードするには、Red Hat Quay のアップグレード を参照してください。
Red Hat Quay は、以前の z-stream バージョン (3.7.2 → 3.7.1 など) へのロールバックまたはダウングレードのみをサポートします。以前の y-stream バージョン (3.7.0 → 3.6.0) へのロールバックはサポートされていません。これは、Red Hat Quay の更新に、Red Hat Quay の新しいバージョンにアップグレードするときに適用されるデータベーススキーマのアップグレードが含まれている可能性があるためです。データベーススキーマのアップグレードでは下位互換性は保証されていません。
以前の z-stream へのダウングレードは、Operator ベースのデプロイメントでも仮想マシンベースのデプロイメントでも推奨もサポートもされていません。ダウングレードは、非常事態でのみ行う必要があります。Red Hat Quay サポートおよび開発チームと協力してRed Hat Quay デプロイメントをロールバックするかどうかを決定する必要があります。詳細は、Red Hat Quay サポートにお問い合わせください。
Red Hat Quay のドキュメントは、リリースごとにバージョン管理されています。最新の Red Hat Quay ドキュメントは、Red Hat Quay ドキュメント ページから入手できます。現在、バージョン 3 が最新のメジャーバージョンです。
バージョン 2.9.2 より前は、Red Hat Quay は Quay Enterprise と呼ばれていました。2.9.2 以前のバージョンのドキュメントは、Red Hat Quay 2.9 の製品ドキュメント ページにアーカイブされています。
第1章 RHBA-2022:3256 - Red Hat Quay 3.9.0 リリース
発行日: 2023-11-01
Red Hat Quay リリース 3.9.0 が Clair 4.7 で利用できるようになりました。更新に含まれるバグ修正は 、RHSA-2023:7341 および RHSA-2023:7575 アドバイザリーにリストされています。
1.1. Red Hat Quay のリリース頻度
Red Hat Quay 3.10 のリリースにより、この製品はリリースのペースとライフサイクルを OpenShift Container Platform に合わせ始めました。その結果、Red Hat Quay リリースは、OpenShift Container Platform の最新バージョンから約 4 週間以内に一般提供 (GA) されるようになりました。お客様は、Red Hat Quay のサポートライフサイクルフェーズが OpenShift Container Platform リリースと一致することを期待できません。
詳細は、Red Hat Quay ライフサイクルポリシー を参照してください。
1.2. Red Hat Quay の新機能と機能強化
Red Hat Quay に対して次の更新が行われました。
1.2.1. IBM Power、IBM Z、IBM® LinuxONE のサポート
このリリースでは、IBM Power (ppc64le)、IBM Z (s390x)、および IBM® LinuxONE (s390x) アーキテクチャーがサポートされています。
1.2.2. 名前空間の自動プルーニング
Red Hat Quay 3.10 を使用すると、Red Hat Quay 管理者は名前空間 (ユーザーと組織の両方) に自動プルーニングポリシーを設定できます。この機能を使用すると、指定された基準に基づいて名前空間内のイメージタグを自動的に削除できます。このリリースでは、2 つのポリシーが追加されました。
- タグの数に基づいてイメージを自動プルーニングします。
- タグの経過時間に基づいた自動プルーニング。
自動プルーニング機能を使用すると、Red Hat Quay 組織の所有者は、前述のポリシーのいずれかに基づいてコンテンツを自動的にプルーニングすることで、ストレージ割り当てを下回るようにすることができます。
この機能の実装の詳細については、 Red Hat Quay 名前空間の自動プルーニングの概要を 参照してください。
1.2.3. Red Hat Quay UI v2 の機能強化
Red Hat Quay 3.8 では、新しい UI がテクノロジープレビューとして導入されました。Red Hat Quay 3.9 では、UI v2 に次の機能強化が加えられています。
- この更新により、Red Hat Quay 組織用の 設定 ページが追加されました。Red Hat Quay 管理者は、このページから設定、請求情報を編集し、組織タイプを設定できます。
-
この更新により、Red Hat Quay リポジトリーの 設定 ページが追加されました。このページは、
config.yaml
ファイルでFEATURE_UI_V2_REPO_SETTINGS
をtrue
に設定して有効にする必要があります。このページでは、ユーザーがロボットの権限の作成と設定、イベントと通知の作成、リポジトリーの可視性の設定、およびリポジトリーの削除を行うことができます。 - この更新により、Red Hat Quay v2 UI でロボットアカウントリポジトリーへのアクセスを一括管理できるようになりました。ユーザーは、v2 UI を使用してロボットアカウントを複数のリポジトリーに簡単に追加できるようになりました。
- この更新により、デフォルトのユーザーリポジトリー、つまりネームスペースに ロボットアカウント タブが含まれるようになりました。これにより、ユーザーは独自のロボットアカウントを簡単に作成できます。
この更新により、ロボットアカウントと権限の更新の作成または失敗を確認する次のアラートメッセージが追加されました。
- リポジトリー権限が正常に更新されました
ロボット名を持つロボットアカウントが正常に作成されました: <organization_name> + <robot_name>
あるいは、別のアカウントと同じ名前のロボットアカウントを作成しようとすると、次のエラーが発生する可能性があります: ロボットアカウントの作成中にエラーが 発生しました
- ロボットアカウントが正常に削除されました
この更新により、Teams とメンバーシップの ページが v2 UI に追加されました。Red Hat Quay 管理者は、このページから次のアクションを実行できます。
- 新規チームの作成
- 新しいチームメンバーを管理または作成する
- リポジトリー権限を設定する
- 特定のチームを検索する
- チーム、チームのメンバー、またはチームの共同作業者を表示する
- この更新により、デフォルトのアクセス許可 ページが v2 UI に追加されました。このページでは、Red Hat Quay 管理者がリポジトリーの権限を設定できます。
- この更新により、タグ履歴 ページが v2 UI に追加されました。さらに、Red Hat Quay 管理者は、リポジトリーのラベルを追加および管理し、リポジトリー内の指定されたタグの有効期限を設定できます。
v2 UI の操作とこれらの機能の有効化または使用の詳細については、Red Hat Quay v2 UI の使用 を参照してください。
1.2.4. Clair のマニフェストのガベージコレクション
以前は、Clair のインデクサーデータベースは、新しいマニフェストとレイヤーがアップロードされるとストレージが追加されるため、継続的に増加していました。これにより、Red Hat Quay デプロイメントで次の問題が発生する可能性があります。
- ストレージ要件の増加
- パフォーマンスの問題
- ストレージ管理の負担が増大し、管理者は使用状況を監視し、スケーリング戦略を開発する必要がある
この更新により、新しい設定フィールド SECURITY_SCANNER_V4_MANIFEST_CLEANUP
が追加されました。このフィールドが true
に設定されている場合、Red Hat Quay ガベージコレクターは、他のタグまたはマニフェストによって参照されていないマニフェストを削除します。その結果、マニフェストレポートは Clair のデータベースから削除されます。
1.2.5. Red Hat Quay ロボットアカウントの管理
Red Hat Quay 3 より前は、すべてのユーザーが無制限のアクセス権を持つロボットアカウントを作成できました。このリリースでは、Red Hat Quay 管理者は、ユーザーに新しいロボットアカウントの作成を禁止することでロボットアカウントを管理できるようになりました。
詳細については、ロボットアカウントの無効化 を参照してください。
1.3. 新しい Red Hat Quay 設定フィールド
次の設定フィールドが Red Hat Quay 3.9 に追加されました。
1.3.1. Clair のマニフェスト設定フィールドのガベージコレクション
SECURITY_SCANNER_V4_MANIFEST_CLEANUP。
true
に設定すると、Red Hat Quay ガベージコレクターは、他のタグまたはマニフェストによって参照されていないマニフェストを削除します。デフォルト:
True
1.3.2. ロボットアカウント設定フィールドの無効化
ROBOTS_DISALLOW :
true
に設定すると、ロボットアカウントの作成だけでなく、すべてのインタラクションも禁止されます。デフォルト:
False
1.3.3. 名前空間の自動プルーニング設定フィールド
自動プルーニング機能用に次の設定フィールドが追加されました。
FEATURE_AUTO_PRUNE :
True
に設定すると、タグの自動プルーニングに関連する機能が有効になります。デフォルト:
False
1.3.4. Red Hat Quay v2 UI リポジトリー設定の設定フィールド
FEATURE_UI_V2_REPO_SETTINGS :
True
に設定すると、Red Hat Quay v2 UI でリポジトリー設定が有効になります。デフォルト:
False
1.4. Red Hat Quay Operator
Red Hat Quay Operator に対して以下の更新が行われました。
設定エディターは、OpenShift Container Platform デプロイメントの Red Hat Quay Operator から削除されました。その結果、
quay-config-editor
Pod がデプロイされなくなり、ユーザーが設定エディターのルートのステータスを確認できなくなりました。さらに、設定エディターのエンドポイントが Red Hat Quay Operator の Details ページで生成されなくなりました。既存の Red Hat Quay Operator を使用しており、3.7、3.8、または 3.9 から 3.10 にアップグレードするユーザーは、
pod
、deployment
、route
、service
、および Secret オブジェクトを削除して、Red Hat Quay 設定エディターを手動で削除する必要があります。この手順については、Red Hat Quay Operator での設定エディターオブジェクトの削除 を参照してください。デフォルトでは、設定エディターはすべての
QuayRegistry
インスタンスにデプロイされていたため、レジストリーの設定に関する監査証跡を確立することが困難でした。ネームスペース、設定エディターのシークレット、および設定エディターのルートにアクセスできる人は誰でも、エディターを使用して Red Hat Quay の設定を変更できますが、その ID はシステムにログインされませんでした。設定エディターを削除すると、QuayRegistry
リソースの設定バンドルプロパティーを通じてすべての変更が強制されます。これはシークレットを指し、ネイティブ Kubernetes の監査とログの対象となります。
1.5. Red Hat Quay 3.9 の既知の問題と制限事項
以下のセクションでは、Red Hat Quay 3.9 の既知の問題と制限事項について説明します。
1.5.1. Red Hat Quay 3.10 の既知の問題
- Cosign 署名を含むイメージタグをプッシュするときの自動プルーニング機能には既知の問題があります。一部のシナリオでは、たとえば、各イメージタグが異なる Cosign キーを使用する場合、自動プルーナーワーカーはイメージ署名を削除し、イメージタグのみを保持します。これは、Red Hat Quay がイメージタグと署名を 2 つのタグとして考慮するために発生します。この機能の予期される動作は、自動プルーナーがイメージタグと署名を 1 つのアイテムとして考慮し、イメージタグのみを計算することです。また、タグがプルーニングされるように自動プルーナーワーカーが設定されている場合、自動プルーナーワーカーも同様に計算します。署名を削除します。これは、Red Hat Quay の将来のバージョンで修正される予定です。PROJQUAY-5630:
- 現在、ポリシーの作成、更新、削除などの自動プルーニングポリシー操作の監査は利用できません。これは既知の問題であり、Red Hat Quay の将来のリリースで修正される予定です。PROJQUAY-5630:
-
現在、自動プルーニングワーカーは、通常のリポジトリーに加えて、
ReadOnly
リポジトリーとミラーリポジトリーをプルーニングします。ReadOnly リポジトリー
とミラーリポジトリーは自動的にプルーニングしないでください。これは既知の問題であり、Red Hat Quay の今後のバージョンで修正される予定です。PROJQUAY-5630: -
Red Hat Quay Operator をバージョン 3.7、3.8、または 3.9 から 3 にアップグレードする場合、ユーザーは、
deployment
、route、
service
、およびSecret
オブジェクトを削除して、Red Hat Quay 設定エディターを手動で削除する必要があります。この手順については、Red Hat Quay Operator での設定エディターオブジェクトの削除 を参照してください。 - Red Hat Quay v2 UI を使用して新しいチームを作成する場合、ユーザーは通常のユーザーを新しいチームに追加できません。これは、新しいチームのセットアップ中にのみ発生します。回避策として、チームの作成後にユーザーを追加できます。ロボットアカウントはこの問題の影響を受けません。これは既知の問題であり、Red Hat Quay の今後のバージョンで修正される予定です。PROJQUAY-5630:
- 新しいデフォルトの権限設定を作成するときに、デフォルトの権限の作成 ボタンが無効になる場合があります。回避策として、デフォルトのアクセス許可の作成 ウィザードで 適用先 設定を調整してみてください。これは既知の問題であり、Red Hat Quay の今後のバージョンで修正される予定です。PROJQUAY-5630:
1.5.2. Red Hat Quay 3.9 の制限事項
このリリースでは、次の機能は IBM Power (ppc64le) および IBM Z (s390x) ではサポートされていません。
- Geo レプリケーション
- IPv6 シングルスタック/デュアルスタック
- mirror_registry
- Quay 設定エディター - Mirror、MAG、Kinesis、Keystone、GitHub Enterprise、OIDC
- RedHat Quay V2 ユーザーインターフェイス
Red Hat Quay のデプロイ - 高可用性はサポートされていますが、以下はサポートされていません。
- スタンドアロンデプロイメントでのバックアップと復元
- スタンドアロンデプロイメントからオペレータデプロイメントへの移行
-
リポジトリーミラーリングにはロボットアカウントが必須です。
ROBOTS_DISALLOW
設定フィールドをtrue
に設定すると、ミラーリング設定が中断されます。これは、Red Hat Quay の将来のバージョンで修正される予定です。
1.6. Red Hat Quay のバグ修正
- PROJQUAY-5630:ロボットアカウントの作成モーダルに不足しているプロパティーを追加する
- PROJQUAY-5630:クォータが有効になっていると UI パフォーマンスが低下する
- PROJQUAY-5630:インポートによりレジストリークォータ合計ワーカーの起動に失敗する
- PROJQUAY-5630:Quay 3.8.1 は Docker Hub から OCI イメージをミラーリングできません
- PROJQUAY-5630:Removed_tag_expiration_s の型を integer から bigint に変更することを検討してください。
- PROJQUAY-5630:Quay は、マニフェストがガベージコレクションされたときに Clair に通知する必要があります
- PROJQUAY-5630:ログ監査は読み取り専用モードでデータベースに書き込もうとします。
- PROJQUAY-5630:Clair データベースの成長
- PROJQUAY-5630:oras バイナリーを使用してアーティファクトを Quay にプッシュすると 502 が発生します
- PROJQUAY-5630:Quay は、プッシュイメージの取得エラー名前空間のクォータを超過しましたの後、コンソールでプッシュイメージを確認できるようになります。
1.7. Red Hat Quay 機能トラッカー
Red Hat Quay に新機能が追加され、その一部は現在テクノロジープレビューにあります。テクノロジープレビュー機能は実験的な機能であり、本番環境での使用を目的としたものではありません。
以前のリリースで利用可能であった一部の機能が非推奨になるか、削除されました。非推奨の機能は引き続き Red Hat Quay に含まれていますが、今後のリリースで削除される予定であり、新しいデプロイメントには推奨されません。Red Hat Quay で非推奨および削除された機能の最新のリストについては、表 1.1 を参照してください。非推奨になったか、削除された機能の詳細情報は、表の後に記載されています。
表1.1 テクノロジープレビュートラッカー
機能 | Quay 3.9 | Quay 3.9 | Quay 3.8 |
---|---|---|---|
一般公開 (GA) | - | - | |
一般公開 (GA) | - | - | |
一般公開 (GA) | 一般公開 (GA) | - | |
一般公開 (GA) | 一般公開 (GA) | - | |
一般公開 (GA) | 一般公開 (GA) | - | |
テクノロジープレビュー | テクノロジープレビュー | テクノロジープレビュー | |
一般公開 (GA) | 一般公開 (GA) | 一般公開 (GA) | |
一般公開 (GA) | 一般公開 (GA) | 一般公開 (GA) | |
一般公開 (GA) | 一般公開 (GA) | 一般公開 (GA) | |
一般公開 (GA) | 一般公開 (GA) | 一般公開 (GA) | |
一般公開 (GA) | 一般公開 (GA) | 一般公開 (GA) | |
一般公開 (GA) | 一般公開 (GA) | 一般公開 (GA) | |
一般公開 (GA) | 一般公開 (GA) | 一般公開 (GA) | |
一般公開 (GA) | 一般公開 (GA) | 一般公開 (GA) | |
テクノロジープレビュー | テクノロジープレビュー | テクノロジープレビュー |