Red Hat Quay リリースノート
Red Hat Quay
概要
はじめに
Red Hat Quay コンテナーレジストリープラットフォームは、コンテナーとクラウドネイティブアーティファクトの安全なストレージ、配布、およびガバナンスをあらゆるインフラストラクチャーに提供します。スタンドアロンコンポーネントとして、または OpenShift Container Platform の Operator として利用できます。Red Hat Quay には、以下の機能と利点が含まれています。
- 詳細なセキュリティー管理
- あらゆる規模で高速かつ堅牢
- 高速 CI/CD
- インストールおよび更新の自動化
- エンタープライズ認証およびチームベースのアクセス制御
- OpenShift Container Platform 統合
Red Hat Quay は、新機能、バグ修正およびソフトウェアの更新を含め、定期的にリリースされます。スタンドアロンおよび OpenShift Container Platform デプロイメントの両方で Red Hat Quay をアップグレードするには、Red Hat Quay のアップグレード を参照してください。
Red Hat Quay は、以前の z-stream バージョン (3.7.2 → 3.7.1 など) へのロールバックまたはダウングレードのみをサポートします。以前の y-stream バージョン (3.7.0 → 3.6.0) へのロールバックはサポートされていません。これは、Red Hat Quay の更新に、Red Hat Quay の新しいバージョンにアップグレードするときに適用されるデータベーススキーマのアップグレードが含まれている可能性があるためです。データベーススキーマのアップグレードは、下位互換性があるとは見なされません。
以前の z-stream へのダウングレードは、Operator ベースのデプロイメントでも仮想マシンベースのデプロイメントでも推奨もサポートもされていません。ダウングレードは、極端な状況でのみ行う必要があります。Red Hat Quay デプロイメントをロールバックする決定は、Red Hat Quay サポートおよび開発チームと協力して行う必要があります。詳細は、Red Hat Quay サポートにお問い合わせください。
Red Hat Quay のドキュメントは、リリースごとにバージョン管理されています。最新の Red Hat Quay ドキュメントは、Red Hat Quay ドキュメント ページから入手できます。現在、バージョン 3 が最新のメジャーバージョンです。
バージョン 2.9.2 より前は、Red Hat Quay は Quay Enterprise と呼ばれていました。2.9.2 以前のバージョンのドキュメントは、Red Hat Quay 2.9 の製品ドキュメント ページにアーカイブされています。
1. RHBA-2023:0906 - Red Hat Quay 3.8.3 バグ修正の更新
問題 2023-2-27
Red Hat Quay リリース 3.8.3 が公開されました。更新に含まれるバグ修正は RHBA-2023:0906 アドバイザリーに記載されています。
1.1. バグ修正
- PROJQUAY-3643.CVE-2022-24863 quay-registry-container: http-swagger: ホストシステムでのメモリーの枯渇によるサービス拒否攻撃 [quay-3.7]
2. RHBA-2023:0789 - Red Hat Quay 3.8.2 バグ修正の更新
発行日: 2023-2-15
Red Hat Quay リリース 3.8.2 が Clair 4.6.0 で利用できるようになりました。更新に含まれるバグ修正は RHBA-2023:0789 アドバイザリーに記載されています。
2.1. バグ修正
-
PROJQUAY-4395(PROJQUAY-4765)
CLEAN_BLOB_UPLOAD_FOLDER
のデフォルト値false
は意味がありません。 - PROJQUAY-4726.スーパーユーザーのフルアクセスが有効になっている通常のユーザーの名前空間で、スーパーユーザーがビルドをトリガーしてキャンセルすると、監査ログが記録されません。
- PROJQUAY-4992.非推奨の appr コードをクリーンアップします。
3. RHBA-2023:0044 - Red Hat Quay 3.8.1 バグ修正の更新
発行日: 2023-1-24
Red Hat Quay リリース 3.8.1 が公開されました。更新に含まれるバグ修正は RHBA-2023:0044 アドバイザリーに記載されています。
3.1. バグ修正
- (PROJQUAY-2146)セキュリティースキャンレポートの結合された URL (エラータ URL)。
- (PROJQUAY-)Web UI - アカウントを表示するとエラーが発生する。
- (PROJQUAY-4800)PUT メソッドを CORS メソッドリストに追加する。
- (PROJQUAY-4857)ドメインに Quay.io が含まれている場合、トラッキングと Cookie コンテンツを追加する。
- (PROJQUAY-4527)新しい UI の切り替えでは、Apple Safari で新しい UI から現在の UI に戻すことができない。
- (PROJQUAY-4663)削除リポジトリーモーダルのページネーションが正しい値を表示しない。
- (PROJQUAY-4765)Quay 3.8.0 のスーパーユーザーには、スーパーユーザーのフルアクセスが有効になっている場合、通常のユーザーのチームに新しいチームメンバーを追加する権限がありません。
4. RHBA-2022:6976 - Red Hat Quay 3.8.0 リリース
発行日: 2022-12-6
Red Hat Quay リリース 3.8.0 が Clair 4.5.1 で利用できるようになりました。更新に含まれるバグ修正は RHBA-2022:6976 アドバイザリーに記載されています。
4.1. Red Hat Quay、Clair、および Quay Builder の新機能と拡張機能
Red Hat Quay、Clair、および Quay Builder に対して、以下の更新が行われました。
以前は、Red Hat Quay は IPv4 プロトコルファミリーのみをサポートしていました。Red Hat Quay 3 スタンドアロンデプロイメントで IPv6 サポートが利用できるようになりました。さらに、デュアルスタック (IPv4/IPv6) のサポートが利用可能です。
表1 ネットワークプロトコルのサポート
プロトコルファミリー Red Hat Quay 3.7 Red Hat Quay 3.8 IPv4
✓
✓
IPv6
✓
デュアルスタック (IPv4/IPv6)
✓
詳細は、PROJQUAY-272 を参照してください。
既知の制限のリストについては、IPv6 およびデュアルスタックの制限 を参照してください。
以前は、Red Hat Quay は Subject Alternative Names (SANs) を使用するために自己署名証明書を必要としませんでした。Red Hat Quay ユーザーは、必要な証明書をバイパスするために
GODEBUG=x509ignoreCN=0
に一致する Common Name を一時的に有効にすることができます。Red Hat Quay 3.8 では、Red Hat Quay は Go バージョン 1.17 を使用するようにアップグレードされました。その結果、
GODEBUG=x509ignoreCN=0
の設定は機能しなくなりました。ユーザーは、SAN を使用するために自己署名証明書を含める必要があります。詳細は、PROJQUAY-1605 を参照してください。
Red Hat Quay プロキシーキャッシュ機能に対して、以下の機能強化が行われました。
以前は、クォータ管理が有効になっているプロキシー組織のキャッシュが最大容量に達する可能性がありました。その結果、管理者がキャッシュされたイメージをクリーンアップするまで、新しいイメージのプルが阻止される可能性がありました。
今回の更新により、Red Hat Quay 管理者は、組織のストレージクォータを使用してキャッシュサイズを制限できるようになりました。キャッシュサイズを制限すると、イメージのプル頻度または全体的な使用状況に応じて、キャッシュからイメージを破棄することで、バックエンドストレージの消費を予測可能に保つことができます。その結果、クォータ管理によって割り当てられるストレージサイズは常に制限内に収まります。
詳細は、プロキシー組織でのストレージクォータ制限の活用 を参照してください。
以前は、リポジトリーをミラーリングする場合に、
latest
タグを持つイメージがリモートリポジトリーに存在している必要がありました。この要件は削除されました。現在、latest
タグを持つイメージは必要なくなり、既存のタグを明示的に指定する必要がなくなりました。この更新の詳細は、PROJQUAY-2179 を参照してください。
タグパターンの詳細については、タグパターンの ミラーリング を参照してください。
Red Hat Quay 3.8 には、以下の Open Container Initiative (OCI) イメージメディアタイプのサポートが含まれるようになりました。
- Software Packadage Data Exchange (SPDX)
- Syft
CycloneDX
これらは、ユーザーが
config.yaml
ファイルで設定できます。以下に例を示します。config.yaml
... ALLOWED_OCI_ARTIFACT_TYPES: application/vnd.syft+json application/vnd.cyclonedx application/vnd.cyclonedx+xml application/vnd.cyclonedx+json application/vnd.in-toto+json ...
注記デフォルトで設定されていない OCI メディアタイプを追加する場合、ユーザーは必要に応じて cosign と Helm のサポートも手動で追加する必要があります。ztsd 圧縮スキームはデフォルトでサポートされているため、ユーザーはサポートを有効にするためにその OCI メディアタイプを config.yaml に追加する必要はありません。
4.1.1. 新しい Red Hat Quay 設定フィールド
Red Hat Quay の新しいユーザーインターフェイスをテストするために、以下の設定フィールドが追加されました。
FEATURE_UI_V2: この設定フィールドを使用して、ユーザーはベータ UI 環境をテストできます。
デフォルト:
False
詳細については、v2 ユーザーインターフェイスの設定 を参照してください。
Red Hat Quay レジストリーを強化するために、以下の設定フィールドが追加されました。
FEATURE_LISTEN_IP_VERSION: この設定フィールドを使用すると、ユーザーはプロトコルファミリーを IPv4、IPv6、またはデュアルスタックに設定できます。この設定フィールドは正しく設定する必要があります。そうしないと、Red Hat Quay は起動に失敗します。
デフォルト:
IPv4
追加設定:
IPv6
、dual-stack
詳しくは、IPv6 設定フィールド を参照してください。
Lightweight Directory Access Protocol (LDAP) のデプロイメントを強化するために、次の設定フィールドが追加されました。
LDAP_SUPERUSER_FILTER: この設定フィールドは、
LDAP_USER_FILTER
設定フィールドのサブセットです。設定すると、Red Hat Quay 管理者は、Red Hat Quay ユーザーが認証プロバイダーとして LDAP を選択する場合に、Lightweight Directory Access Protocol (LDAP) ユーザーをスーパーユーザーとして設定することができます。このフィールドを使用すると、管理者は Red Hat Quay 設定ファイルを更新してデプロイメントを再起動することなく、スーパーユーザーを追加または削除できます。
このフィールドでは、
AUTHENTICATION_TYPE
がLDAP
に設定されている必要があります。詳しくは、LDAP スーパーユーザー設定リファレンス を参照してください。
LDAP_RESTRICTED_USER_FILTER: この設定フィールドは、
LDAP_USER_FILTER
設定フィールドのサブセットです。設定すると、Red Hat Quay 管理者は、Red Hat Quay が認証プロバイダーとして LDAP を使用する場合に、Lightweight Directory Access Protocol (LDAP) ユーザーを制限付きユーザーとして設定することができます。このフィールドでは、
AUTHENTICATION_TYPE
がLDAP
に設定されている必要があります。詳細については、LDAP 制限付きユーザー設定 を参照してください。
スーパーユーザーのロールを強化するために、次の設定フィールドが追加されました。
FEATURE_SUPERUSERS_FULL_ACCESS: この設定フィールドは、スーパーユーザーが所有していない名前空間、または明示的な権限を持っていない名前空間内の他のリポジトリーからコンテンツを読み取り、書き込み、削除する機能をスーパーユーザーに付与します。
詳細については、FEATURE_SUPERUSERS_FULL_ACCESS 設定リファレンス を参照してください。
GLOBAL_READONLY_SUPER_USERS: この設定フィールドは、公開リポジトリーであるかどうかに関係なく、このリストのユーザーにすべてのリポジトリーへの読み取りアクセスを許可します。
詳細については、GLOBAL_READONLY_SUPER_USERS 設定リファレンス を参照してください。
注記現在の状態では、この機能により、指定されたユーザーのみがすべてのリポジトリーからコンテンツをプルできます。管理上の制限は、Red Hat Quay の今後のバージョンで追加される予定です。
ユーザー権限を強化するために、次の設定フィールドが追加されました。
FEATURE_RESTRICTED_USERS:
RESTRICTED_USERS_WHITELIST
で設定すると、制限付きユーザーは自分の名前空間で組織またはコンテンツを作成できなくなります。通常のアクセス許可は、組織のメンバーシップに適用されます。たとえば、制限付きのユーザーは、所属するチームをもとに、組織内の通常のパーミッションは割り当てられたままです。詳細については、FEATURE_RESTRICTED_USERS 設定リファレンス を参照してください。
RESTRICTED_USERS_WHITELIST:
FEATURE_RESTRICTED_USERS: true
で設定すると、管理者はFEATURE_RESTRICTED_USERS
設定からユーザーを除外できます。詳細については、RESTRICTED_USERS_WHITELIST 設定リファレンス を参照してください。
4.2. Red Hat Quay Operator
Red Hat Quay Operator に対して以下の更新が行われました。
以前は、Red Hat Quay Operator は IPv4 プロトコルファミリーのみをサポートしていました。Red Hat Quay 3 Operator デプロイメントで IPv6 サポートが利用できるようになりました。
表2 ネットワークプロトコルのサポート
プロトコルファミリー Red Hat Quay 3.7 Operator Red Hat Quay 3.8 Operator IPv4
✓
✓
IPv6
✓
デュアルスタック (IPv4/IPv6)
詳細は、PROJQUAY-272 を参照してください。
既知の制限のリストについては、IPv6 およびデュアルスタックの制限 を参照してください。
4.3. Red Hat Quay 3.8 の既知の問題と制限事項
4.3.1. 既知の問題:
MySQL デプロイメントの
logentry3
テーブルのmetadata_json
列のサイズはTEXT
に制限されています。現在、TEXT
に設定されている列のデフォルトサイズは 65535 バイトです。65535 バイトでは、デバッグがオフ
になっている場合、いくつかのミラーログには十分な大きさではありません。65535 バイトを超えるTEXT
を含むステートメントが MySQL に送信されると、送信されたデータは 65535 境界に収まるように切り捨てられます。その結果、これにより、metadata_json
オブジェクトがデコードされるときに問題が発生し、文字列が適切に終了されないためにデコードが失敗します。その結果、Red Hat Quay は 500 エラーを返します。現在、この問題の回避策はなく、Red Hat Quay の今後のバージョンで対処される予定です。詳細は、PROJQUAY-4305 を参照してください。
-
Podman v4.yz 以降の一部のバージョンで
--sign-by-sigstore-private-key
フラグを使用する場合は既知の問題があります。このフラグを使用すると、Error: writing signatures: writing sigstore attachments is disabled by configuration
エラーが返されます。このフラグを Podman v4 で使用するには、バージョンが v4.2.1 である必要があります。4.2.1 より前のバージョンでは、前述のエラーが返されます。現在、この問題の回避策はなく、Podman の今後のバージョンで対処される予定です。 現在、Podman 4 で Cosign 秘密鍵
sigstore
を使用してイメージをプッシュすると、Error: received unexpected HTTP status: 500 Internal Server Error
エラーが返されます。これは既知の問題であり、Podman の今後のバージョンで修正される予定です。詳細は、PROJQUAY-4588 を参照してください。
-
Red Hat Quay UI v2 で
FEATURE_SUPERUSERS_FULL_ACCESS
設定フィールドを使用する場合は、既知の問題があります。このフィールドが設定されている場合は、テナントコンテンツに対するすべてのスーパーユーザーアクションを監査する必要があります。現在、通常のユーザーが所有する既存の組織をスーパーユーザーが削除する場合は、その操作を監査する方法がありません。これは、Red Hat Quay の将来のバージョンで修正される予定です。 -
Red Hat Quay UI v2 で
FEATURE_SUPERUSERS_FULL_ACCESS
設定フィールドを使用する場合は、既知の問題があります。config.yaml ファイルでこのフィールドをtrue
に設定すると、Red Hat Quay スーパーユーザーは通常のユーザーが作成した組織を表示できますが、イメージリポジトリーは表示できません。一時的な回避策として、スーパーユーザーは 組織 ページから移動して、そのリポジトリーを表示できます。これは、Red Hat Quay の将来のバージョンで修正される予定です。 -
FEATURE_SUPERUSERS_FULL_ACCESS
設定フィールドをtrue
に設定すると、スーパーユーザーには、通常のユーザーの組織の下に新しいイメージリポジトリーを作成する権限がありません。これは既知の問題であり、Red Hat Quay の今後のバージョンで修正される予定です。 - 古い UI で Red Hat Quay を実行している場合は、セッションがタイムアウトになると、ユーザーはポップアップウィンドウでパスワードを再度入力する必要がありました。新しい UI では、スーパーユーザーはメインページに戻り、ユーザー名とパスワードの認証情報を入力する必要があります。これは既知の問題であり、新しい UI の今後のバージョンで修正される予定です。
-
FEATURE_RESTRICTED_USERS
がtrue
に設定されている場合、スーパーユーザーは新しい組織を作成できません。これは既知の問題であり、Red Hat Quay の今後のバージョンで修正される予定です。 -
FEATURE_RESTRICTED_USERS
またはLDAP_RESTRICTED_USER_FILTER
がuser1
などのユーザーで設定され、同じユーザーがスーパーユーザーでもある場合、新しい組織を作成することはできません。これは既知の問題です。スーパーユーザー設定フィールドは、制限されたユーザー設定よりも優先される必要がありますが、これも無効な設定です。Red Hat Quay 管理者は、同じユーザーを制限付きユーザーとスーパーユーザーの両方に設定しないでください。これは、Red Hat Quay の今後のバージョンで修正され、スーパーユーザー設定フィールドが制限付きユーザーフィールドよりも優先されるようになります。 Red Hat Quay 設定エディターで Enable Storage Replication を選択し、Red Hat Quay デプロイメントを再設定した後、新しい
Quay
およびMirror
Pod の起動に失敗します。このエラーは、Quay
およびMirror
Pod が、Red Hat Quay 3 でサポートされなくなったQUAY_DISTRIBUTED_STORAGE_PREFERENCE
環境変数に依存しているために発生します。一時的な回避策として、以下のように
QuayRegistry
config.yaml
ファイルを手動で更新して、QUAY_DISTRIBUTED_STORAGE_PREFERENCE
環境変数を含める必要があります。spec: components: - kind: clair managed: true - kind: postgres managed: true - kind: objectstorage managed: false - kind: redis managed: true - kind: horizontalpodautoscaler managed: true - kind: route managed: true - kind: mirror managed: true overrides: env: - name: QUAY_DISTRIBUTED_STORAGE_PREFERENCE value: local_us - kind: monitoring managed: false - kind: tls managed: true - kind: quay managed: true overrides: env: - name: QUAY_DISTRIBUTED_STORAGE_PREFERENCE value: local_us - kind: clairpostgres managed: true
これは既知の問題であり、Red Hat Quay の今後のバージョンで修正される予定です。
Red Hat Quay AWS S3 Cloudfront を設定する場合、新しいパラメーター
s3_region
が必要です。現在、Red Hat Quay 設定エディターにはこのフィールドが含まれていません。一時的な回避策として、以下のようにconfig.yaml
ファイルにs3_region
パラメーターを手動で挿入する必要があります。DISTRIBUTED_STORAGE_CONFIG: default: - CloudFrontedS3Storage - cloudfront_distribution_domain: <domain_name> cloudfront_distribution_org_overrides: {} cloudfront_key_id: <cloudfront_key_id cloudfront_privatekey_filename: default_cloudfront_signing_key.pem host: s3.us-east-2.amazonaws.com s3_access_key: *** s3_bucket: *** s3_secret_key: *** storage_path: /cloudfronts3/quayregistry s3_region: us-east-2
4.3.2. IPv6 とデュアルスタックの制限事項と既知の問題:
現在、一般的な Azure Blob Storage 設定を使用して Red Hat Quay デプロイメントを設定しようとしても、IPv6 シングルスタック環境では機能しません。Azure Blob Storage のエンドポイントは IPv6 をサポートしていないため、この問題に対する回避策はありません。
詳細は、PROJQUAY-4433 を参照してください。
現在、Amazon S3 CloudFront を使用して Red Hat Quay デプロイメントを設定しようとしても、IPv6 シングルスタック環境では機能しません。Amazon S3 CloudFront のエンドポイントは IPv6 をサポートしていないため、この問題に対する回避策はありません。
詳細は、PROJQUAY-4470 を参照してください。
- 現在、Red Hat Quay が IPv6 シングルスタック環境にデプロイされている場合、OpenShift Data Foundations (ODF) はサポートされません。そのため、ODF は IPv6 環境では使用できません。この制限は、OpenShift Data Foundations の今後のバージョンで修正される予定です。
- 現在、デュアルスタック (IPv4 および IPv6) のサポートは、Red Hat Quay OpenShift Container Platform デプロイメントでは機能しません。Red Hat Quay 3.8 が OpenShift Container Platform にデプロイされ、IPv6 とデュアルスタックサポートが有効になっている場合、Red Hat Quay Operator によって生成される Quay Route は IPv4 アドレスのみを生成し、IPv6 アドレスは生成しません。その結果、IPv6 アドレスを持つクライアントは、OpenShift Container Platform 上の Red Hat Quay アプリケーションにアクセスできません。この制限は、OpenShift Container Platform 4.12 のリリースで解除されます。
- 現在、Github と api.github.com は IPv6 をサポートしていません。IPv6 が有効な OpenShift Container Platform に Red Hat Quay がデプロイされている場合、Github 認証を使用するように設定エディターを設定することはできません。
- 現在、Gitlab は IPv6 をサポートしていません。
-
FEATURE_LISTEN_IP_VERSION
がIPv6
に設定され、設定エディターで Red Hat Quay handles TLS を選択し、自己署名証明書をアップロードした場合に既知の問題があります。これらの条件が満たされている場合に、設定エディターでいずれかの設定を更新して (たとえば、新しいスーパーユーザーを追加するなど)、Red Hat Quay を再設定すると、ミラー Pod がクラッシュし、Init:CrashLoopBackOff
のエラーが返されます。デプロイで Red Hat Quay handles TLS が選択されている場合には、FEATURE_LISTEN_IP_VERSION
をIPv4
に設定する必要があります。これは、Red Hat Quay の将来のバージョンで修正される予定です。
4.4. Red Hat Quay のバグ修正
- PROJQUAY-4431。プロキシーキャッシュが Azure Container Registry (ACR) を検証できませんでした。
4.5. Red Hat Quay 機能トラッカー
Red Hat Quay に新機能が追加され、その一部は現在テクノロジープレビューにあります。テクノロジープレビュー機能は実験的な機能であり、本番環境での使用を目的としたものではありません。
以前のリリースで利用可能であった一部の機能が非推奨になるか、または削除されました。非推奨の機能は引き続き Red Hat Quay に含まれていますが、将来のリリースで削除される予定であり、新しいデプロイメントには推奨されません。Red Hat Quay で非推奨および削除された機能の最新のリストについては、表 1.1 を参照してください。非推奨になったか、または削除された機能の詳細情報は、表の後に記載されています。
表3 テクノロジープレビュートラッカー
機能 | Quay 3.8 | Quay 3.7 | Quay 3.6 |
---|---|---|---|
非推奨 | 一般公開 (GA) | 一般公開 (GA) | |
テクノロジープレビュー | - | - | |
一般公開 (GA) | - | - | |
一般公開 (GA) | - | - | |
一般公開 (GA) | - | - | |
一般公開 (GA) | - | - | |
一般公開 (GA) | - | - | |
一般公開 (GA) | - | - | |
一般公開 (GA) | - | - | |
一般公開 (GA) | 一般公開 (GA) | - | |
一般公開 (GA) | 一般公開 (GA) | - | |
一般公開 (GA) | テクノロジープレビュー | - | |
一般公開 (GA) | 一般公開 (GA) | - | |
一般公開 (GA) | 一般公開 (GA) | - | |
Microsoft Azure Government (MAG) のサポート | 一般公開 (GA) | 一般公開 (GA) | - |
非推奨 | 非推奨 | 非推奨 | |
非推奨 | 非推奨 | 非推奨 | |
一般公開 (GA) | 一般公開 (GA) | 一般公開 (GA) | |
テクノロジープレビュー | テクノロジープレビュー | テクノロジープレビュー | |
Image API | 非推奨 | 非推奨 | 一般公開 (GA) |
4.5.1. 非推奨の機能
- Docker v1 のサポートは非推奨となり、Red Hat Quay の今後のリリースで削除される予定です。ユーザーは、Docker v1 サポートを有効にするためにオプトインする必要があります。ユーザーは、データが失われる可能性を回避するために、Docker v1 形式で保存されているイメージを OCI イメージ形式に移行する必要があります。