第 2 章 Red Hat Quay 配置声明器

在 Red Hat Quay Enterprise 中,某些功能和配置参数不会被主动使用或实施。因此,仅应谨慎修改红帽支持的文档,如启用或禁用某些功能的功能标记,以及未明确记录或请求的配置参数。未使用的功能或参数可能无法完全测试、支持或与 Red Hat Quay 兼容,并修改它们可能会导致您的部署出现意外问题或中断。

2.1. Red Hat Quay 3.9 的配置更新

以下小节详细介绍了 Red Hat Quay 3.9 中添加的新配置字段。

2.1.1. 操作日志审计配置

使用 Red Hat Quay 3.9 时,默认跟踪审计登录。

表 2.1. 审计日志配置字段

字段类型描述

ACTION_LOG_AUDIT_LOGINS

布尔值

当设置为 True 时,请跟踪高级事件,如登录和注销、UI 和使用 Docker 进行常规用户、机器人帐户以及特定于应用的令牌帐户。

默认: True

2.1.2. 添加 Splunk 操作日志

使用 Red Hat Quay 3.9,Splun 可以在 LOGS_MODEL 参数下配置。

表 2.2. Splunk 配置字段

字段类型描述

LOGS_MODEL

字符串

指定处理日志数据的首选方法。

值 : 一个数据库 ,transition_reads_both_writes_es,elasticsearch, mvapich
Default: database

2.1.2.1. LOGS_MODEL_CONFIG 添加

配置 Splunk 时提供了以下 LOGS_MODEL_CONFIG 选项。

  • LOGS_MODEL_CONFIG [object]: Logs model config for action logs

    • producer [string]: splunk
    • mvapich_config [object]: Splunk 操作日志的日志模型配置或 Splunk 集群配置

      • Host [string]: Splunk 集群端点。
      • port [integer]: Splunk 管理集群端点端口。
      • bearer_token [string]: Splunk 的 bearer 令牌。
      • verify_ssl [boolean]: 启用(True)或为 HTTPS 连接禁用 TLS/SSL 验证。
      • index_prefix [string]: Splunk 的索引前缀。
      • ssl_ca_path [字符串]:指向包含用于 SSL 验证的证书颁发机构(CA)的单个 .pem 文件的相对容器路径。

2.1.2.2. Splunk 的配置示例

以下 YAML 条目提供了 Splunk 的示例配置。

Splunk config.yaml 示例

---
LOGS_MODEL: splunk
LOGS_MODEL_CONFIG:
    producer: splunk
    splunk_config:
        host: http://<user_name>.remote.csb
        port: 8089
        bearer_token: <bearer_token>
        url_scheme: <http/https>
        verify_ssl: False
        index_prefix: <splunk_log_index_name>
        ssl_ca_path: <location_to_ssl-ca-cert.pem>
---

2.1.3. 配额管理配置字段

添加了以下配置字段来增强 Red Hat Quay 配额管理功能。

表 2.3. Red Hat Quay 3.9 配额管理配置字段

字段类型描述

QUOTA_BACKFILL

布尔值

启用配额回填 worker 来计算预先存在的 Blob 的大小。

Default:True

QUOTA_TOTAL_DELAY_SECONDS

字符串

启动配额回填的时间延迟。滚动部署可能会导致总部署不正确。此字段 必须设置为 超过滚动部署完成所需的时间。

默认 : 1800

PERMANENTLY_DELETE_TAGS

布尔值

启用与从时间窗中删除标签相关的功能。

默认 : False

RESET_CHILD_MANIFEST_EXPIRATION

布尔值

重置以子清单为目标的临时标签的过期。将这个功能设置为 True 时,子清单会立即收集垃圾回收。

默认:False

2.1.3.1. 可能的配额管理配置设置

下表说明了 Red Hat Quay 3.9 中可能的配额管理配置设置。

表 2.4. 配额管理配置选项

FEATURE_QUOTA_MANAGEMENTQUOTA_BACKFILL结果

true

true

将这些功能配置为 true 时,启用了配额管理,并适用于 Red Hat Quay 3.9。有关为 Red Hat Quay 3.9 配置配额管理的更多信息,请参阅"Red Hat Quay 3.9 的Quota 管理"。

true

false

FEATURE_QUOTA_MANAGEMENT 设置为 true 时,将 QUOTA_BACKFILL 设置为 false,配额管理功能已被启用。但是,来自以前的 Red Hat Quay 版本(N-1) y-stream 版本(例如 3.8)的预先存在的镜像必须被回填,然后才能继续配额计算。要回填镜像大小,请将 QUOTA_BACKFILL 设置为 true

false

false

将这些功能配置为 false 时,配额管理功能将被禁用。

false

true

FEATURE_QUOTA_MANAGEMENT 设置为 falseQUOTA_BACKFILL 设置为 true,配额管理功能被禁用。

2.1.3.2. 建议的配额管理配置设置

以下 YAML 是启用配额管理时推荐的配置。

建议的配额管理配置

FEATURE_QUOTA_MANAGEMENT: true
FEATURE_GARBAGE_COLLECTION: true
PERMANENTLY_DELETE_TAGS: true
QUOTA_TOTAL_DELAY_SECONDS: 1800
RESET_CHILD_MANIFEST_EXPIRATION: true

2.1.4. PostgreSQL PVC 备份环境变量

添加了以下环境变量来配置 Red Hat Quay 是否在从 3.8 → 3.9 升级时自动删除旧的持久性卷声明(PVC):

表 2.5. Red Hat Quay 3.9 PostgreSQL 备份环境变量

字段类型描述

POSTGRES_UPGRADE_RETAIN_BACKUP

布尔值

当设置为 True 时,来自 PostgreSQL 10 的持久性卷声明会被备份。

+ 默认:False

2.1.4.1. PostgreSQL PVC 备份配置示例

以下 Subscription 对象提供了一个备份 PostgreSQL 10 PVC 的示例配置。

PostgreSQL 10 PVC 的 订阅对象

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: quay-operator
  namespace: quay-enterprise
spec:
  channel: stable-3.8
  name: quay-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
    - name: POSTGRES_UPGRADE_RETAIN_BACKUP
      value: "true"