Red Hat Quay 发行注记

Red Hat Quay 3

Red Hat Quay

Red Hat OpenShift Documentation Team

摘要

Red Hat Quay 发行注记

前言

Red Hat Quay 容器 registry 平台为任何基础架构上的容器和云原生工件提供安全存储、分发和管理。它可作为独立组件或 OpenShift Container Platform 上的 Operator 提供。Red Hat Quay 包括以下功能和优点:

  • 粒度安全管理
  • 任何规模快速、强大
  • High velocity CI/CD
  • 自动化安装及启动
  • 企业身份验证和基于团队的访问控制
  • OpenShift Container Platform 集成

Red Hat Quay 会定期发布,包括新功能、程序错误修正和软件更新。要为独立和 OpenShift Container Platform 部署升级 Red Hat Quay,请参阅升级 Red Hat Quay

重要

Red Hat Quay 只支持回滚到以前的 z-stream 版本,如 3.7.2 → 3.7.1。不支持回滚到以前的 y-stream 版本(3.7.0 → 3.6.0)。这是因为 Red Hat Quay 更新可能包含在升级到 Red Hat Quay 的新版本时应用的数据库 schema 升级。数据库架构升级不被视为向后兼容。

基于 Operator 的部署或基于虚拟机的部署不支持降级到以前的 z-streams。降级应只在极端情况下进行。回滚 Red Hat Quay 部署的决定必须与 Red Hat Quay 支持和开发团队一起做出。如需更多信息,请联系红帽 Quay 支持。

Red Hat Quay 的文档会随每个发行版本一起版本。最新的 Red Hat Quay 文档可在 Red Hat Quay 文档 页面获得。目前,版本 3 是最新的主版本。

注意

在版本 2.9.2 之前,Red Hat Quay 被称为 Quay Enterprise。2.9.2 及之前的版本的文档在 Red Hat Quay 2.9 产品文档中 存档。

第 1 章 Red Hat Quay 发行注记

以下小节详细介绍了 yz 流发行版本信息。

1.1. RHBA-2024:0382 - Red Hat Quay 3.10.3 发行版本

2024 年 1 月 31 日发布

Red Hat Quay 版本 3.10.3 现在包括在 Clair 4.7.2 中。此更新包括的程序错误修正信息包括在 RHBA-2024:0382 公告中。

1.1.1. Red Hat Quay 3.10.3 程序错误修复

  • PROJQUAY-4849.在以前的版本中,exporter 无法更新主清单列表中的子清单的生命周期结束。因此,因为垃圾回收,这会在从数据库中删除标签后尝试通过标签拉取 Docker 镜像,这会导致异常。这个问题已解决。
  • PROJQUAY-6007.在以前的版本中,Operator 会尝试创建一个临时的假路由来检查集群是否支持 Route API。当路由和 TLS 组件被标记为 unamanged 时,这个检查无法执行,因为这些组件应该由用户手动管理。这个问题已解决。

1.2. RHBA-2024:0102 - Red Hat Quay 3.10.2 发行版本

2024 年 1 月 16 日发布

Red Hat Quay 版本 3.10.2 现在包括在 Clair 4.7.2 中。此更新包括的程序错误修正信息包括在 RHBA-2024:0102 公告中。

1.2.1. Red Hat Quay 3.10.2 新功能

在这个版本中,支持 IBM Cloud 对象存储。如需更多信息,请参阅 IBM Cloud Object Storage

1.2.2. Red Hat Quay 3.10.2 程序错误修复

1.2.3. 已知问题

  • 在对存储库名称使用以下词语的命名约定时发现了一个已知问题:

    构建触发器标签

    当这些词语用于存储库名称时,用户无法访问存储库,且无法永久删除存储库。尝试删除这些软件仓库会返回以下错误: Failed to delete repository <repository_name>, HTTP404 - Not Found。

    这个问题还没有临时解决方案。用户不应在其存储库名称中使用 构建触发器标签

1.3. RHBA-2023:7819 - Red Hat Quay 3.10.1 release

2023 年 12 月 14 日发布

Red Hat Quay 版本 3.10.1 现在包括在 Clair 4.7.2 中。此更新包括的程序错误修正信息包括在 RHBA-2023:7819 公告中。

1.3.1. Red Hat Quay 3.10.1 程序漏洞修复

  • PROJQUAY-5452 - 在访问直接链接时 Breadcrumbs 不正确
  • PROJQUAY-6333 - [New UI] 团队中的具有 "member" 或 "creator" 角色的用户无法看到 "Teams and Membership" 标签页
  • PROJQUAY-6336 - Quay 3.10 新 UI 在 Create team 向导过程中无法将普通用户添加到 quay 新团队中
  • PROJQUAY-6369 - 搜索输入框无法在永久删除新 UI 的默认权限向导中工作

1.4. RHBA-2023:7341 - Red Hat Quay 3.10.0 发行版本

2023 年 11 月 28 日发布

Red Hat Quay 版本 3 现在包括在 Clair 4.7.2 中。此更新包括的程序错误修正信息包括在 RHSA-2023:7341RHSA-2023:7575 公告中。

1.5. Red Hat Quay 发行节奏

随着 Red Hat Quay 3.10 的发布,产品已开始将其发行节奏和生命周期与 OpenShift Container Platform 保持一致。因此,Red Hat Quay 版本现在在 OpenShift Container Platform 最新版本大约四周内正式发布(GA)。客户无法期望 Red Hat Quay 的支持生命周期阶段与 OpenShift Container Platform 版本保持一致。

如需更多信息,请参阅 Red Hat Quay 生命周期政策

1.6. Red Hat Quay 的新功能和增强

对 Red Hat Quay 进行了以下更新。

1.6.1. IBM Power、IBM Z、IBM® LinuxONE 支持

在这个版本中,支持 IBM Power (ppc64le)、IBM Z (s390x)和 IBM® LinuxONE (s390x)架构。

1.6.2. 命名空间自动运行

使用 Red Hat Quay 3.10,Red Hat Quay 管理员可以在命名空间(用户和机构)上设置自动运行策略。此功能允许根据指定条件在命名空间中自动删除镜像标签。在本发行版本中,添加了两个策略:

  • 根据标签数量自动修剪镜像。
  • 根据标签的年龄自动运行。

auto-pruning 功能允许 Red Hat Quay 机构所有者根据上述策略自动修剪内容来保持存储配额。

有关实现此功能的更多信息,请参阅 Red Hat Quay 命名空间自动运行概述

1.6.3. Red Hat Quay UI v2 的改进

在 Red Hat Quay 3.8 中,一个新的 UI 作为一个技术预览功能。在 Red Hat Quay 3.10 中,对 UI v2 进行了以下改进:

  • 在这个版本中,为 Red Hat Quay 机构添加了一个 Settings 页面。Red Hat Quay 管理员可以从此页面编辑其首选项、账单信息和设置机构类型。
  • 在这个版本中,为 Red Hat Quay 存储库添加了一个 Settings 页面。通过在 config.yaml 文件中将 FEATURE_UI_V2_REPO_SETTINGS 设置为 true 来启用此页面。此页面允许用户创建和设置机器人权限、创建事件和通知、设置存储库可见性和删除存储库。
  • 在这个版本中,Red Hat Quay v2 UI 上提供了批量管理机器人帐户存储库访问权限。用户现在可以使用 v2 UI 将机器人帐户轻松添加到多个存储库中。
  • 在这个版本中,默认用户存储库或命名空间会包括 Robot accounts 选项卡。这使得用户可以轻松地创建自己的机器人帐户。
  • 在这个版本中,添加了以下警报信息来确认机器人帐户的创建或失败,以及机器人帐户和权限更新:

    • 成功更新的存储库权限
    • 成功创建了机器人帐户,其机器人名:<organization_name> + <robot_name>

      或者,如果您试图 创建与另一个名称相同的机器人帐户,您可以收到以下错误:Error create robot account

    • 成功删除机器人帐户
  • 在这个版本中,在 v2 UI 中添加了一个团队和成员资格 页面。Red Hat Quay 管理员可以从此页面执行以下操作:

    • 创建新团队
    • 管理或创建新团队成员
    • 设置存储库权限
    • 搜索特定团队
    • 查看团队、团队成员或团队协作者
  • 在这个版本中,在 v2 UI 中添加了一个 Default 权限 页面。本页允许 Red Hat Quay 管理员设置存储库权限。
  • 在这个版本中,在 v2 UI 中添加了一个 Tag History 页面。另外,Red Hat Quay 管理员可以为存储库添加和管理标签,并为存储库中指定标签设置过期日期。

有关浏览 v2 UI 和启用或使用的更多信息,请参阅 使用 Red Hat Quay v2 UI

1.6.4. Clair 的清单垃圾回收

在以前的版本中,当上传新清单和层时,Clair 的索引器数据库会持续增长。这可能会导致 Red Hat Quay 部署的以下问题:

  • 增加存储要求
  • 性能问题
  • 增加存储管理负担,要求管理员监控使用情况并开发扩展策略

在这个版本中,添加了新的配置字段 SECURITY_SCANNER_V4_MANIFEST_CLEANUP。当此字段设置为 true 时,Red Hat Quay 垃圾回收收集器会删除不是由其他标签或清单引用的清单。因此,清单报告会从 Clair 的数据库中删除。

1.6.5. 管理 Red Hat Quay 机器人帐户

在 Red Hat Quay 3 之前,所有用户都能够创建具有无限访问权限的机器人帐户。在这个版本中,Red Hat Quay 管理员可以通过禁止用户创建新的机器人帐户来管理机器人帐户。

如需更多信息,请参阅禁用机器人帐户

1.7. 新的 Red Hat Quay 配置字段

以下配置字段已添加到 Red Hat Quay 3 中。

1.7.1. manifests 配置字段的 Clair 垃圾回收

  • SECURITY_SCANNER_V4_MANIFEST_CLEANUP.当设置为 true 时,Red Hat Quay 垃圾回收收集器会删除不是由其他标签或清单引用的清单。

    默认:True

1.7.2. 禁用机器人帐户配置字段

  • ROBOTS_DISALLOW: 当设置为 true 时,机器人帐户会阻止所有交互,以及被创建

    默认False

1.7.3. 命名空间自动运行配置字段

为 auto-pruning 功能添加了以下配置字段:

  • FEATURE_AUTO_PRUNE: 当设置为 True 时,启用与自动运行标签相关的功能。

    Default: False

1.7.4. Red Hat Quay v2 UI 存储库设置配置字段

  • FEATURE_UI_V2_REPO_SETTINGS: 当设置为 True 时,在 Red Hat Quay v2 UI 中启用存储库设置。

    Default: False

1.8. Red Hat Quay Operator

为 Red Hat Quay Operator 进行了以下更新:

  • config 编辑器已从 OpenShift Container Platform 部署的 Red Hat Quay Operator 中删除。因此,quay-config-editor pod 不再部署,用户无法检查配置编辑器路由的状态。另外,Config Editor Endpoint 不再在 Red Hat Quay Operator Details 页面中生成。

    拥有从 3.7、3.8 或 3.9 升级到 3 的现有 Red Hat Quay Operator 用户必须手动删除 Red Hat Quay 配置编辑器,方法是删除 部署route、 servicesecret 对象。有关此过程的详情,请参考 删除 Red Hat Quay Operator 上的配置编辑器对象

    默认情况下,会为每个 QuayRegistry 实例部署配置编辑器,这有助于与 registry 的配置建立审计跟踪。有权访问命名空间、配置编辑器 secret 和配置编辑器路由的任何人都可以使用编辑器更改 Red Hat Quay 的配置,并且其身份没有登录系统。删除配置编辑器会强制通过 QuayRegistry 资源的 config bundle 属性进行所有更改,该属性指向一个 secret,然后受到原生 Kubernetes 审核和日志记录的影响。

1.9. Red Hat Quay 3.10 已知问题和限制

以下小节介绍了 Red Hat Quay 3 的已知问题和限制。

1.9.1. Red Hat Quay 3.10 已知问题

  • 在使用 Cosign 签名推送镜像标签时,auto-pruning 功能存在一个已知问题。在某些情况下,例如,当每个镜像标签使用不同的 Cosign 密钥时,自动修剪器 worker 会删除镜像签名,并只保留镜像标签。这是因为 Red Hat Quay 会将镜像标签和签名视为两个标签。这个功能的预期行为是 auto-pruner 应该将镜像标签和签名视为一个项目,仅计算镜像标签,以及以修剪标签的方式配置自动修剪器 worker 时,也会修剪签名。以后的 Red Hat Quay 版本中会解决这个问题。(PROJQUAY-6380)
  • 目前,对自动运行策略操作的审计(包括创建、更新或删除策略)不可用。这是一个已知问题,并将在以后的 Red Hat Quay 版本中解决。(PROJQUAY-6228)
  • 目前,除了普通存储库外,自动运行 worker 会修剪 ReadOnly 和 mirror 存储库。不应自动修剪只读和镜像存储库。这是一个已知问题,并将在以后的 Red Hat Quay 版本中解决。(PROJQUAY-6235)
  • 当将 Red Hat Quay Operator 从版本 3.7、3.8 或 3.9 升级到 3 时,用户必须手动删除 Red Hat Quay 配置编辑器,方法是删除 部署route、 servicesecret 对象。有关此过程的详情,请参考 删除 Red Hat Quay Operator 上的配置编辑器对象
  • 当使用 Red Hat Quay v2 UI 创建新团队时,用户无法在一个新团队中添加普通用户。这只在设置新团队时发生。作为临时解决方案,您可以在创建团队后添加用户。机器人帐户不受此问题的影响。这是一个已知问题,并将在以后的 Red Hat Quay 版本中解决。(PROJQUAY-6336)
  • 有时,在创建新的默认权限设置时,Create default permissions 按钮会被禁用。作为临时解决方案,您可以在 Create 默认权限 向导中尝试调整 Applied 以 设置。这是一个已知问题,并将在以后的 Red Hat Quay 版本中解决。(PROJQUAY-6341)

1.9.2. Red Hat Quay 3.10 限制

  • 在本发行版本中,IBM Power (ppc64le)和 IBM Z (s390x)不支持以下功能:

    • geo-Replication
    • IPv6 单堆栈/双堆栈
    • 镜像 registry
    • Quay 配置编辑器 - Mirror, MAG, Kinesis, Keystone, GitHub Enterprise, OIDC
    • 红帽Quay V2 用户界面
    • 部署 Red Hat Quay - 支持高可用性,但不支持以下内容:

      • 在独立部署中备份和恢复
      • 将独立迁移到 Operator 部署
  • 机器人帐户对于存储库镜像是必需的。将 ROBOTS_DISALLOW 配置字段设置为 true 可中断镜像配置。以后的 Red Hat Quay 版本中会解决这个问题

1.10. Red Hat Quay 程序错误修复

  • PROJQUAY-6184.为 Create robot account modal 添加缺少的 props
  • PROJQUAY-6048.启用配额的 UI 性能不佳
  • PROJQUAY-6010.由于导入,registry 配额总 worker 无法启动
  • PROJQUAY-5212.Quay 3.8.1 无法镜像 Docker Hub 中的 OCI 镜像
  • PROJQUAY-2462.考虑将 removed_tag_expiration_s 的类型从整数改为 bigint
  • PROJQUAY-2803。当清单被垃圾回收时,Quay 应该通知 Clair
  • PROJQUAY-5598.日志审计会尝试以只读模式写入数据库
  • PROJQUAY-4126.Clair 数据库增长
  • PROJQUAY-5489。将工件推送到带有或作为二进制文件的 Quay 会导致 502
  • PROJQUAY-3906。Quay 可以在推送镜像 get error "Quota was exceeded on namespace" 后看到控制台上的推送镜像。

1.11. Red Hat Quay 功能跟踪器

在 Red Hat Quay 中添加了新的特性,其中的一些功能当前还只是一个技术预览。技术预览功能是实验性的功能,它不适用于生产环境。

之前版本中的一些功能已被弃用或删除。弃用的功能仍然包含在 Red Hat Quay 中,但计划在以后的发行版本中删除,且不建议在新的部署中使用。有关 Red Hat Quay 中已弃用和删除功能的最新列表,请参阅表 1.1。表后列出了更详细的、已弃用和删除的功能信息。

表 1.1. 技术预览

功能Quay 3.10Quay 3.9Quay 3.8

禁用机器人帐户

公开发行

-

-

Red Hat Quay 命名空间自动运行概述

公开发行

-

-

单站点复制删除

公开发行

公开发行

-

Splunk 日志转发

公开发行

公开发行

-

Nutanix Object Storage

公开发行

公开发行

-

FEATURE_UI_V2

技术预览

技术预览

技术预览

FEATURE_LISTEN_IP_VERSION

公开发行

公开发行

公开发行

LDAP_SUPERUSER_FILTER

公开发行

公开发行

公开发行

LDAP_RESTRICTED_USER_FILTER

公开发行

公开发行

公开发行

FEATURE_SUPERUSERS_FULL_ACCESS

公开发行

公开发行

公开发行

GLOBAL_READONLY_SUPER_USERS

公开发行

公开发行

公开发行

FEATURE_RESTRICTED_USERS

公开发行

公开发行

公开发行

RESTRICTED_USERS_WHITELIST

公开发行

公开发行

公开发行

Red Hat Quay 作为上游 registry 的代理缓存

公开发行

公开发行

公开发行

使用 Clair 的 Java 扫描

技术预览

技术预览

技术预览

法律通告

Copyright © 2024 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.