2.10. 在构建中使用红帽订阅
按照以下小节中的内容在 OpenShift Container Platform 上运行授权构建。
2.10.1. 为红帽通用基础镜像创建镜像流标签
要在构建中使用红帽订阅,您可以创建一个镜像流标签来引用通用基础镜像(UBI)。
要让 UBI 在集群中的每个项目中都可用,您需要将镜像流标签添加到 openshift 命名空间中。否则,若要使其在一个特定项目中可用,您要将镜像流标签添加到该项目。
以这种方式使用镜像流标签的好处是,根据安装 pull secret 中的 registry.redhat.io 凭证授予对 UBI 的访问权限,而不会向其他用户公开 pull secret。这比要求每个开发人员使用项目中的 registry.redhat.io 凭证安装 pull secret 更为方便。
流程
要在
openshift命名空间中创建ImageStreamTag,因此所有项目中的开发人员可使用它,请输入:$ oc tag --source=docker registry.redhat.io/ubi8/ubi:latest ubi:latest -n openshift
提示您还可以应用以下 YAML 在
openshift命名空间中创建ImageStreamTag:apiVersion: image.openshift.io/v1 kind: ImageStream metadata: name: ubi namespace: openshift spec: tags: - from: kind: DockerImage name: registry.redhat.io/ubi8/ubi:latest name: latest referencePolicy: type: Source要在单个项目中创建
ImageStreamTag,请输入:$ oc tag --source=docker registry.redhat.io/ubi8/ubi:latest ubi:latest
提示您还可以应用以下 YAML 在单个项目中创建
ImageStreamTag:apiVersion: image.openshift.io/v1 kind: ImageStream metadata: name: ubi spec: tags: - from: kind: DockerImage name: registry.redhat.io/ubi8/ubi:latest name: latest referencePolicy: type: Source
2.10.2. 将订阅权利添加为构建 secret
使用红帽订阅安装内容的构建需要包括做为一个构件 secret 的权利密钥。
先决条件
您必须可通过您的订阅访问红帽权利。Insights Operator 会自动创建授权 secret。
使用 Red Hat Enterprise Linux(RHEL)7 执行 Entitlement Build 时,在运行任何 yum 命令前,必须在 Dockerfile 中包含以下指令:
RUN rm /etc/rhsm-host
流程
在构建配置的 Docker 策略中将 etc-pki-entitlement secret 添加为构建卷:
strategy: dockerStrategy: from: kind: ImageStreamTag name: ubi:latest volumes: - name: etc-pki-entitlement mounts: - destinationPath: /etc/pki/entitlement source: type: Secret secret: secretName: etc-pki-entitlement
2.10.3. 使用 Subscription Manager 运行构建
2.10.3.1. 使用 Subscription Manager 执行 Docker 构建
Docker 策略构建可以使用 Subscription Manager 来安装订阅内容。
先决条件
必须将授权密钥添加为构建策略卷。
流程
使用以下示例 Dockerfile 来通过 Subscription Manager 安装内容:
FROM registry.redhat.io/ubi8/ubi:latest
RUN dnf search kernel-devel --showduplicates && \
dnf install -y kernel-devel2.10.4. 使用 Red Hat Satellite 订阅运行构建
2.10.4.1. 将 Red Hat Satellite 配置添加到构建中
使用 Red Hat Satellite 安装内容的构建必须提供适当的配置,以便从 Satellite 存储库获取内容。
先决条件
您必须提供或创建与
yum兼容的存储库配置文件,该文件将从 Satellite 实例下载内容。仓库配置示例
[test-<name>] name=test-<number> baseurl = https://satellite.../content/dist/rhel/server/7/7Server/x86_64/os enabled=1 gpgcheck=0 sslverify=0 sslclientkey = /etc/pki/entitlement/...-key.pem sslclientcert = /etc/pki/entitlement/....pem
流程
创建包含 Satellite 存储库配置文件的
ConfigMap:$ oc create configmap yum-repos-d --from-file /path/to/satellite.repo
将 Satellite 存储库配置和授权密钥添加为构建卷:
strategy: dockerStrategy: from: kind: ImageStreamTag name: ubi:latest volumes: - name: yum-repos-d mounts: - destinationPath: /etc/yum.repos.d source: type: ConfigMap configMap: name: yum-repos-d - name: etc-pki-entitlement mounts: - destinationPath: /etc/pki/entitlement source: type: Secret secret: secretName: etc-pki-entitlement
2.10.4.2. 使用 Red Hat Satellite 订阅构建 Docker
Docker 策略构建可以使用 Red Hat Satellite 软件仓库来安装订阅内容。
先决条件
- 您已将授权密钥和 Satellite 存储库配置添加为构建卷。
流程
使用以下示例 Dockerfile 来通过 Satellite 安装内容:
FROM registry.redhat.io/ubi8/ubi:latest
RUN dnf search kernel-devel --showduplicates && \
dnf install -y kernel-devel