Red Hat Quay 发行注记

Red Hat Quay 3

Red Hat Quay

摘要

Red Hat Quay 发行注记

前言

Red Hat Quay 容器 registry 平台在任何基础架构上提供安全存储、分发和管理容器和云原生工件。它作为独立组件或 OpenShift Container Platform 上的 Operator 提供。Red Hat Quay 包括以下功能和优点:

  • 粒度安全管理
  • 在任何规模上快速、可靠
  • High velocity CI/CD
  • 自动化安装和备份
  • 基于企业身份验证和授权的访问控制
  • OpenShift Container Platform 集成

Red Hat Quay 会定期发布,包括新功能、程序错误修正和软件更新。要为独立和 OpenShift Container Platform 部署 升级 Red Hat Quay,请参阅升级 Red Hat Quay

重要

Red Hat Quay 只支持回滚到以前的 z-stream 版本,如 3.7.2 → 3.7.1。不支持回滚到以前的 y-stream 版本(3.7.0 → 3.6.0)。这是因为 Red Hat Quay 更新可能包含升级到 Red Hat Quay 的新版本时应用的数据库架构升级。数据库架构升级不被视为向后兼容。

基于 Operator 的部署或基于虚拟机的部署都不支持升级到以前的 z-streams。只有在极端情况下才应进行降级。回滚您的 Red Hat Quay 部署的决定必须与 Red Hat Quay 支持和开发团队一起进行。如需更多信息,请联系红帽 Quay 支持。

每个发行版本都会发布 Red Hat Quay 文档。Red Hat Quay 文档 页面中提供了最新的 Red Hat Quay 文档。目前,版本 3 是最新的主版本。

注意

版本 2.9.2 之前,Red Hat Quay 称为 Quay Enterprise。2.9.2 及之前的版本的文档会在 Red Hat Quay 2.9 页面的产品文档中存档。

1. RHBA-2023:0906 - Red Hat Quay 3.8.3 程序错误修复更新

2023-2-27 的问题

Red Hat Quay release 3.8.3 现已正式发布。此更新包括的程序错误修正信息包括在 RHBA-2023:0906 公告中。

1.1. 程序错误修复

  • PROJQUAY-3643.CVE-2022-24863 quay-registry-container: http-swagger :拒绝由主机系统的内存耗尽组成的服务攻击 [quay-3.7]

2. RHBA-2023:0789 - Red Hat Quay 3.8.2 程序错误修复更新

发布日期于 2023 年 2 月 15 日

Red Hat Quay 版本 3.8.2 现在包括在 Clair 4.6.0 中。此更新包括的程序错误修正信息包括在 RHBA-2023:0789 公告中。

2.1. 程序错误修复

  • PROJQUAY-4395.CLEAN_BLOB_UPLOAD_FOLDERfalse 默认值为 false。
  • PROJQUAY-4726.当超级用户触发器和取消构建在启用了超级用户完全访问权限的情况下,没有审计日志。
  • PROJQUAY-4992.清理已弃用的应用程序代码。

3. RHBA-2023:0044 - Red Hat Quay 3.8.1 程序错误修复更新

2023 年 1 月 24 日

Red Hat Quay 版本 3.8.1 现已正式发布。此更新包括的程序错误修正信息包括在 RHBA-2023:0044 公告中。

3.1. 程序错误修复

  • PROJQUAY-2146.安全扫描报告中的组合 URL (指向勘误表 URL)。
  • PROJQUAY-.Web UI - 查看帐户会导致错误。
  • PROJQUAY-4800.将 PUT 方法添加到 CORS 方法列表。
  • PROJQUAY-4857.当域包含 Quay.io 时,添加跟踪和 Cookie 内容。
  • PROJQUAY-4527.新的 UI 切换无法从新的 UI 切回到 Apple Safari 上的当前 UI。
  • PROJQUAY-4663.删除仓库模态的分页没有显示正确的值。
  • PROJQUAY-4765.在启用了超级用户完全访问权限时,Quay 3.8.0 超级用户没有将新团队成员添加到普通用户团队的权限。

4. RHBA-2022:6976 - Red Hat Quay 3.8.0 release

发布日期 2022 年 12 月 6 日

Red Hat Quay 版本 3.8.0 现在包括在 Clair 4.5.1 中。此更新包括的程序错误修正信息包括在 RHBA-2022:6976 公告中。

4.1. Red Hat Quay、Clair 和 Quay Builder 新功能及功能增强

对 Red Hat Quay、Clair 和 Quay Builders 进行了以下更新:

  • 在以前的版本中,Red Hat Quay 仅支持 IPv4 协议系列。IPv6 支持现在包括在 Red Hat Quay 3 独立部署中。此外,还提供双栈(IPv4/IPv6)支持。

    表 1. 网络协议支持

    协议系列Red Hat Quay 3.7Red Hat Quay 3.8

    IPv4

    IPv6

     

    双栈(IPv4/IPv6)

     

    如需更多信息,请参阅 PROJQUAY-272

    有关已知限制的列表,请参阅 IPv6 和双栈限制

  • 在以前的版本中,Red Hat Quay 不需要自签名证书来使用 Subject Alternative Names (SANs)。Red Hat Quay 用户可以临时启用带有 GODEBUG=x509ignoreCN=0 的通用名称匹配来绕过所需的证书。

    在 Red Hat Quay 3.8 中,Red Hat Quay 已升级到使用 Go 版本 1.17。因此,设置 GODEBUG=x509ignoreCN=0 不再可以正常工作。用户必须包含自签名证书才能使用 SAN。

    如需更多信息,请参阅 PROJQUAY-1605

  • 对 Red Hat Quay 代理缓存功能有以下改进:

    • 在以前的版本中,启用了配额管理的代理机构缓存可能会达到完整的容量。因此,在管理员清理缓存的镜像前,阻止拉取新镜像。

      在这个版本中,Red Hat Quay 管理员可以使用组织的存储配额来限制缓存大小。限制缓存大小可确保根据镜像的拉取频率或总体使用量从缓存中丢弃镜像,从而保持后端存储消耗的可预测性。因此,配额管理分配的存储大小始终保持在限值内。

      如需更多信息,请参阅 代理机构中利用存储配额限制

    • 在以前的版本中,当镜像存储库时,具有 latest 标签的镜像必须存在于远程存储库中。这个要求已被删除。现在,不再需要具有 latest 标签的镜像,您不需要明确指定现有的标签。

      有关此更新的更多信息,请参阅 PROJQUAY-2179

      如需有关标签模式的更多信息,请参阅 镜像标签模式

  • Red Hat Quay 3.8 现在支持以下开放容器项目(OCI)镜像介质类型:

    • 软件包数据交换(SPDX)
    • Syft
    • CycloneDX

      它们可由用户在其 config.yaml 文件中配置,例如:

      config.yaml

      ...
      ALLOWED_OCI_ARTIFACT_TYPES:
          application/vnd.syft+json
          application/vnd.cyclonedx
          application/vnd.cyclonedx+xml
          application/vnd.cyclonedx+json
          application/vnd.in-toto+json
      ...

      注意

      当添加默认配置的 OCI 介质类型时,用户需要手动添加对 cosign 和 Helm 的支持。在默认情况下,支持 ztsd 压缩方案,因此用户不需要将 OCI 介质类型添加到其 config.yaml 中以启用支持。

4.1.1. 新的 Red Hat Quay 配置字段

  • 添加了以下配置字段来测试 Red Hat Quay 的新用户界面:

    • FEATURE_UI_V2: 使用这个配置字段,用户可以测试 beta UI 环境。

      默认:False

      如需更多信息,请参阅 v2 用户界面配置

  • 添加了以下配置字段以增强 Red Hat Quay registry:

    • FEATURE_LISTEN_IP_VERSION :此配置字段允许用户将协议系列设置为 IPv4、IPv6 或双栈。必须正确设置此配置字段,否则 Red Hat Quay 无法启动。

      默认IPv4

      其他配置IPv6双栈

      如需更多信息,请参阅 IPv6 配置字段

  • 添加了以下配置字段来增强轻量级目录访问协议(LDAP)部署:

    • LDAP_SUPERUSER_FILTER :此配置字段是 LDAP_USER_FILTER 配置字段的子集。当 Red Hat Quay 用户选择 LDAP 作为身份验证提供程序时,它允许 Red Hat Quay 管理员将轻量级目录访问协议(LDAP)用户配置为超级用户。

      使用此字段,管理员可以添加或删除超级用户,而无需更新 Red Hat Quay 配置文件并重新启动其部署。

      此字段要求将 AUTHENTICATION_TYPE 设置为 LDAP

      如需更多信息,请参阅 LDAP 超级用户配置参考

    • LDAP_RESTRICTED_USER_FILTER :此配置字段是 LDAP_USER_FILTER 配置字段的子集。配置后,当 Red Hat Quay 使用 LDAP 作为其身份验证提供程序时,Red Hat Quay 管理员能够将轻量级目录访问协议(LDAP)用户配置为受限用户。

      此字段要求将 AUTHENTICATION_TYPE 设置为 LDAP

      如需更多信息,请参阅 LDAP 限制用户配置

  • 添加了以下配置字段来增强超级用户角色:

    • FEATURE_SUPERUSERS_FULL_ACCESS :此配置字段授予超级用户从命名空间中其他存储库读取、写入和删除它们没有拥有或有明确权限的能力。

      如需更多信息,请参阅 FEATURE_SUPERUSERS_FULL_ACCESS 配置参考

    • GLOBAL_READONLY_SUPER_USERS :此配置字段授予此列表的用户对所有存储库的读取权限,无论它们是公共存储库。

      如需更多信息,请参阅 GLOBAL_READONLY_SUPER_USERS 配置参考

      注意

      在当前状态中,此功能仅允许指定用户从所有存储库拉取内容。在以后的 Red Hat Quay 版本中将添加管理限制。

  • 添加了以下配置字段来增强用户权限:

    • FEATURE_RESTRICTED_USERS :使用 RESTRICTED_USERS_USERS_WHITELIST 设置时,受限用户无法在自己的命名空间中创建组织或内容。例如,普通权限适用于机构成员资格,例如,受限用户仍会根据他们所属的团队在机构中具有普通权限。

      如需更多信息,请参阅 FEATURE_RESTRICTED_USERS 配置参考

    • RESTRICTED_USERS_WHITELIST :使用 FEATURE_RESTRICTED_USERS 设置设置时,管理员可以从 FEATURE_RESTRICTED_USERS 设置中排除用户。

      如需更多信息,请参阅 RESTRICTED_USERS_WHITELIST 配置参考

4.2. Red Hat Quay Operator

对 Red Hat Quay Operator 进行了以下更新:

  • 在以前的版本中,Red Hat Quay Operator 仅支持 IPv4 协议系列。IPv6 支持现在包括在 Red Hat Quay 3 Operator 部署中。

    表 2. 网络协议支持

    协议系列Red Hat Quay 3.7 OperatorRed Hat Quay 3.8 Operator

    IPv4

    IPv6

     

    双栈(IPv4/IPv6)

      

    如需更多信息,请参阅 PROJQUAY-272

    有关已知限制的列表,请参阅 IPv6 和双栈限制

4.3. Red Hat Quay 3.8 已知问题和限制

4.3.1. 已知问题:

  • MySQL 部署上的 logentry3 表中的 metadata_json 列的大小为 TEXT。目前,列的默认大小为 TEXT 是 65535 字节。在关闭调试时,65535 字节不足用于某些 镜像日志。当包含大于 65535 字节的 TEXT 的声明时,发送的数据会被截断以适合 65535 边界。因此,这会在对 metadata_json 对象被解码时造成问题,并且解码失败,因为字符串没有正确终止。因此,Red Hat Quay 会返回 500 错误。

    当前没有解决此问题的临时解决方案,它将在以后的 Red Hat Quay 版本中解决。如需更多信息,请参阅 PROJQUAY-4305

  • 在将 --sign-by-sigstore-private-key 标志与一些 Podman v4.y.z 或更高版本搭配使用时存在一个已知问题。当使用 标志时,会返回以下错误: Error: writing signatures: writing sigstore attachments is disabled by configuration。要将这个标志与 Podman v4 一起使用,您的版本必须是 v4.2.1; 在 4.2.1 前返回上述错误。当前没有解决此问题的临时解决方案,它将在以后的 Podman 版本中解决。
  • 目前,当使用 Podman 4 的 Cosign 私钥 sigstore 推送镜像时,会返回以下错误: Error: received unexpected HTTP status: 500 Internal Server Error。这是一个已知问题,并将在以后的 Podman 版本中解决。

    如需更多信息,请参阅 PROJQUAY-4588

  • 在将 FEATURE_SUPERUSERS_FULL_ACCESS 配置字段与 Red Hat Quay UI v2 搭配使用时,存在一个已知问题。设置此字段后,应审核租户内容的所有超级用户操作。目前,当超级用户删除归普通用户拥有的现有组织时,无法审核该操作。以后的 Red Hat Quay 版本中会解决这个问题。
  • 在将 FEATURE_SUPERUSERS_FULL_ACCESS 配置字段与 Red Hat Quay UI v2 搭配使用时,存在一个已知问题。当在 config.yaml 文件中将此字段设置为 true 时,Red Hat Quay 超级用户可以查看由普通用户创建的组织,但不能看到镜像存储库。作为临时解决方案,超级用户可以通过从 Organizations 页面导航到存储库来查看这些存储库。以后的 Red Hat Quay 版本中会解决这个问题。
  • FEATURE_SUPERUSERS_FULL_ACCESS 配置字段设置为 true 时,超级用户在普通用户组织下创建新镜像存储库的权限。这是一个已知问题,它将在以后的 Red Hat Quay 版本中解决。
  • 在旧 UI 中运行 Red Hat Quay 时,超时会话要求超级用户在弹出窗口中再次输入密码。使用新的 UI 时,超级用户将返回到主页,并且需要输入其用户名和密码凭据。这是一个已知问题,它将在以后的 UI 版本中解决。
  • FEATURE_RESTRICTED_USERS 设置为 true 时,超级用户无法创建新组织。这是一个已知问题,它将在以后的 Red Hat Quay 版本中解决。
  • 如果 FEATURE_RESTRICTED_USERSLDAP_RESTRICTED_USER_FILTER 设置了用户,例如 user1,并且同一用户也是超级用户,则他们将无法创建新的组织。这是个已知问题。超级用户配置字段应当优先于受限用户配置,但这也是无效的配置。Red Hat Quay 管理员不应设置与受限用户和超级用户相同的用户。以后的 Red Hat Quay 版本中会解决这个问题,以便超级用户配置字段优先于受限用户字段。
  • 在 Red Hat Quay 配置编辑器中选择 Enable Storage Replication 并重新配置 Red Hat Quay 部署后,新的 QuayMirror pod 无法启动。出现这个问题的原因是,QuayMirror pod 依赖于 QUAY_DISTRIBUTED_STORAGE_PREFERENCE 环境变量,现在在 Red Hat Quay 3 中不支持。

    作为临时解决方案,您必须手动更新 QuayRegistry config.yaml 文件,使其包含 QUAY_DISTRIBUTED_STORAGE_PREFERENCE 环境变量,例如:

     spec:
      components:
        - kind: clair
          managed: true
        - kind: postgres
          managed: true
        - kind: objectstorage
          managed: false
        - kind: redis
          managed: true
        - kind: horizontalpodautoscaler
          managed: true
        - kind: route
          managed: true
        - kind: mirror
          managed: true
          overrides:
            env:
              - name: QUAY_DISTRIBUTED_STORAGE_PREFERENCE
                value: local_us
        - kind: monitoring
          managed: false
        - kind: tls
          managed: true
        - kind: quay
          managed: true
          overrides:
            env:
              - name: QUAY_DISTRIBUTED_STORAGE_PREFERENCE
                value: local_us
        - kind: clairpostgres
          managed: true

    这是一个已知问题,它将在以后的 Red Hat Quay 版本中解决。

  • 在配置 Red Hat Quay AWS S3 Cloudfront 时,需要一个新参数 s3_region。目前,Red Hat Quay 配置编辑器不包含此字段。作为临时解决方案,您必须在 config.yaml 文件中手动插入 s3_region 参数,例如:

    DISTRIBUTED_STORAGE_CONFIG:
        default:
          - CloudFrontedS3Storage
          - cloudfront_distribution_domain: <domain_name>
            cloudfront_distribution_org_overrides: {}
            cloudfront_key_id: <cloudfront_key_id
            cloudfront_privatekey_filename: default_cloudfront_signing_key.pem
            host: s3.us-east-2.amazonaws.com
            s3_access_key: ***
            s3_bucket: ***
            s3_secret_key: ***
            storage_path: /cloudfronts3/quayregistry
            s3_region: us-east-2

4.3.2. IPv6 和双栈限制和已知问题:

  • 目前,尝试使用通用 Azure Blob 存储配置 Red Hat Quay 部署无法在 IPv6 单堆栈环境中工作。因为 Azure Blob Storage 的端点不支持 IPv6,所以这个问题没有临时解决方案。

    如需更多信息,请参阅 PROJQUAY-4433

  • 目前,尝试使用 Amazon S3 CloudFront 配置 Red Hat Quay 部署无法在 IPv6 单堆栈环境中工作。因为 Amazon S3 CloudFront 的端点不支持 IPv6,所以这个问题没有临时解决方案。

    如需更多信息,请参阅 PROJQUAY-4470

  • 目前,当在 IPv6 单一堆栈环境中部署 Red Hat Quay 时,OpenShift Data Foundation (ODF)不被支持。因此,在 IPv6 环境中无法使用 ODF。计划在以后的 OpenShift Data Foundation 版本中修复这个限制。
  • 目前,双栈(IPv4 和 IPv6)支持无法在 Red Hat Quay OpenShift Container Platform 部署中工作。当在启用了双栈支持的 OpenShift Container Platform 上部署 Red Hat Quay 3.8 时,Red Hat Quay Operator 生成的 Quay 路由只会生成 IPv4 地址,而不是 IPv6 地址。因此,具有 IPv6 地址的客户端无法访问 OpenShift Container Platform 上的 Red Hat Quay 应用程序。OpenShift Container Platform 4.12 发行版本将释放这个限制。
  • 目前,Github 和 api.github.com 不支持 IPv6。当在启用了 IPv6 的 OpenShift Container Platform 上部署 Red Hat Quay 时,无法将配置编辑器配置为使用 Github 身份验证。
  • 目前,Gitlab 不支持 IPv6。
  • FEATURE_LISTEN_IP_VERSION 设置为 IPv6 时,您选择了 Red Hat Quay 在配置编辑器中处理 TLS 并上传自签名证书时,存在一个已知问题。如果满足这些条件,并且您在配置编辑器中更新任何一个配置(例如,添加新的超级用户),则镜像 pod 会崩溃并返回以下错误: Init:CrashLoopBackOff。如果在部署中选择了 Red Hat Quay 处理 TLS,您必须将 FEATURE_LISTEN_IP_VERSION 设置为 IPv4。以后的 Red Hat Quay 版本中会解决这个问题。

4.4. Red Hat Quay 程序错误修复

  • PROJQUAY-4431。代理缓存无法验证 Azure Container Registry (ACR)。

4.5. Red Hat Quay 功能跟踪器

在 Red Hat Quay 中添加了新的功能,其中的一些功能目前还处于技术预览阶段。技术预览功能是实验性功能,不适用于生产环境。

之前版本中的一些功能已被弃用或删除。弃用的功能仍然包含在 Red Hat Quay 中,但计划在以后的发行版本中删除,且不建议在新的部署中使用。有关 Red Hat Quay 中已弃用和删除的功能的最新列表,请参阅表 1.1。表后列出了更详细的、已弃用和删除的功能信息。

表 3. 技术预览

功能Quay 3.8Quay 3.7Quay 3.6

Docker v1 支持

已弃用

公开发行

公开发行

FEATURE_UI_V2

技术预览

-

-

FEATURE_LISTEN_IP_VERSION

公开发行

-

-

LDAP_SUPERUSER_FILTER

公开发行

-

-

LDAP_RESTRICTED_USER_FILTER

公开发行

-

-

FEATURE_SUPERUSERS_FULL_ACCESS

公开发行

-

-

GLOBAL_READONLY_SUPER_USERS

公开发行

-

-

FEATURE_RESTRICTED_USERS

公开发行

-

-

RESTRICTED_USERS_WHITELIST

公开发行

-

-

配额管理和强制

公开发行

公开发行

-

Red Hat Quay 构建增强

公开发行

公开发行

-

Red Hat Quay 作为上游 registry 的代理缓存

公开发行

技术预览

-

geo-replication - Red Hat Quay Operator

公开发行

公开发行

-

高级 Clair 配置

公开发行

公开发行

-

支持 Microsoft Azure Government(MAG)

公开发行

公开发行

-

FEATURE_HELM_OCI_SUPPORT

已弃用

已弃用

已弃用

MySQL 和 MariaDB 数据库支持

已弃用

已弃用

已弃用

开放容器项目(OCI) Media 类型

公开发行

公开发行

公开发行

使用 Clair 进行 Java 扫描

技术预览

技术预览

技术预览

镜像 API

已弃用

已弃用

公开发行

4.5.1. 已弃用的功能

  • 对 Docker v1 的支持现已弃用,并将在以后的 Red Hat Quay 发行版本中删除。用户现在必须选择启用 Docker v1 支持。用户应将 Docker v1 格式的任何存储镜像迁移到 OCI 镜像格式,以避免潜在的数据丢失。