小四
作者:华龙飞。主要负责 Red Hat 产品与技术栈的培训交付,客户主要涉及金融、通信、汽车、医疗等行业。热爱并研究开源技术,熟悉 RHEL各版本,SuSE Linux各版本,热衷研究云原生与DevOps相关技术。曾负责多家银行数据中心OpenStack平台与VMware平台集成项目,某银行数据中心主机双核异构集成项目,某软件开发中心Linux开放系统集成等。
常用私有容器镜像仓库:
Harbor v1/v2:由 VMware 主导开发,并从 CNCF 云原生计算基金会孵化成功。Red Hat Quay v3:由 Red Hat 开源的私有容器镜像仓库,类似于 CoreOS 的 Quay。registry v2:Docker 公司发布的 v2 版本容器镜像仓库镜像,可直接运行提供服务。docker-distribution:由 docker-distribution RPM 软件包提供,systemd 方式运行。Red Hat 支持的容器镜像仓库:
Red Hat Container Registry:registry.access.redhat.com
该仓库为公共镜像仓库,用于托管 Red Hat 产品的镜像,无需身份验证。但请注意,虽然此容器镜像仓库是公共的,但 Red Hat 的大多数容器镜像规定要求用户拥有激活的 Red Hat 产品订阅,并且他们遵守产品的终端用户协议(EUA)。只有基于 Red Hat Enterprise Linux Universal Base Images (UBI) 的镜像可从该镜像仓库中自由地重新发布。Red Hat terms-based registry:registry.redhat.io
该仓库为私有镜像仓库,用于托管 Red Hat 产品的镜像,并且需要身份验证。从该仓库拉取镜像时,需提供 Red Hat Customer Portal 凭证(credential)进行身份验证。对于共享环境,如 OpenShift 或 CI/CD 管道,可创建 service account 或身份验证令牌(token),以避免暴露个人凭据。Red Hat partner registry:registry.connect.redhat.com
该仓库为私有镜像仓库,用于托管来自认证合作伙伴的第三方产品的镜像。它还需提供 Red Hat Customer Portal 凭证进行身份验证。它们可能受制于合伙伙伴的认购或许可。Quay.io:
Red Hat 还管理 Quay.io 容器镜像仓库,任何人都可以注册一个免费帐户,并发布自己的容器镜像。Red Hat 对任何托管在 Quay.io 上的容器镜像都没有提供保证。大多数用户使用 Quay.io 作为一个公共镜像仓库,但是组织(organization)也可以购买允许使用 Quay.io 作为私有镜像仓库。👉 关于 Red Hat 容器镜像仓库的说明可参考 Red Hat Container Registry Authentication[1]
Red Hat 容器镜像安全:
Red Hat Container Catalog[2](RHCC)可提供构建 S2I 构建镜像的基础容器镜像,也可直接提供 S2I 构建镜像,Red Hat Container Catalog 通过 https://registry.redhat.io 作为容器镜像拉取与推送的 portal。
该容器镜像仓库中的镜像通过 Container Health Index 进行安全性评估,可根据不同的评估结果选取开发者所需要的镜像,一般选择安全等级为 A 或 B 的镜像,以下以 Go Toolset 镜像为例确定其安全等级:
关于 Red Hat 容器镜像安全等级说明[3],如下所示:
Red Hat 安全评级说明文档可参考 Understanding Red Hat security ratings[4]容器镜像的安全评分与分级可参考 Security Scoring and Grading for Container Images[5]
Red Hat Quay v3 私有容器镜像仓库部署:
Red Hat Quay 容器镜像仓库的高级特性:
镜像安全扫描(image security scanning)
基于角色的访问(role-based access)
组织与团队管理(organization and team management)
镜像自动化构建(image build automation)
审计(auditing)
异地复制(geo-replication)
高可用(high availability)
该文档使用 basic 方式容器部署,非 HA 方式。
Red Hat Quay v3 私有容器镜像仓库组件:
Database:MySQL 或 PostgreSQL 数据库,主要存储镜像的元数据信息,而非镜像存储。
Redis:键值型存储,存储实时构建日志与 Quay 的向导。
Quay:容器镜像仓库,主要运行 quay 容器服务,该服务由多个组件组成。
**Clair**:静态容器镜像扫描工具,可识别安全隐患与修复问题(fixes)。
部署的容器镜像与版本:
MySQL:registry.access.redhat.com/rhscl/mysql-57-rhel7:latest[6]
Redis:registry.assess.redhat.com/rhscl/redis-32-rhel7:latest[7]
Quay:quay.io/redhat/quay:v3.3.0
注意:拉取该容器镜像前必须先使用相应账号登录 Quay,如下脚本所示。
使用 docker 运行各个单容器方式的部署脚本请 参考此处[8]。
🚀 推荐:
使用 podman 运行单 pod 集成以上所有容器方式的部署脚本请 参考此处[9](未集成 Clair)。
该方式中 quay-aio pod 将所有容器限制在同一 network namespace 中,Quay 的配置、部署与访问涉及众多端口,使用单容器运行于宿主机上将生成多条 iptables filter 与 nat 表规则,而集成在单 pod 中更加便于管理。
以第二种方式为例,首先执行 quay-pod-manage config 命令,再进行以下配置。
部署前首次配置 Quay 时,需通过 Web 页面将 Quay 与 MySQL 对接,指定仓库 FQDN 及对接的 Redis 数据库地址,若使用 pod 方式部署,其地址即为 pod 所在 network namespace 的 ip 地址,并最终下载 quay 的 .tar.gz 配置文件。
运行以上命令可能出现的报错(现已解决):
报错 1:由于 /mnt/quay/config/ssl.key 权限问题导致无法启动 quay-master 容器,更改其权限为 0644 即可。
报错 2:由于 /mnt/quay/storage/ 所有者问题导致无法从客户端推送容器镜像至镜像仓库中,更改目录的所有者为 1001 即可,该用户为 quay-master 容器中主进程的运行用户,必须对宿主机映射的目录具有写权限。
Web UI 中的配置过程如下所示:
登录 Quay 并完成认证:
生成 Quay 配置文件:
配置并生成 Quay 配置文件:
下载 quay 的配置压缩文件后,可执行 quay-pod-manage deploy 命令完成 Quay 的部署。
若部署失败可执行 quay-pod-manage destroy 命令销毁 pod。
若运行 Quay 的 quay-master 容器状态异常,可执行 quay-pod-manage recover 命令恢复故障的容器。
登录与验证 Quay 私有容器镜像仓库:
用户名:admin 密码:1qazZSE$
Podman 客户端登录 Quay:
使用基于 Docker registry API 的 OCI distribution API 登录并访问 Quay 容器镜像仓库,Red Hat 推荐使用基于 RHEL 的容器工具,即 Podman、Buildah 与 Skopeo 来访问该 API。
$ sudo mkdir /etc/docker/certs.d/
$ sudo scp root@
/etc/docker/certs.d/
$ vim ~/.config/containers/registries.conf
unqualified-search-registries = [<quay_registry_fqdn>]
# 该地址形如 registry.lab.example.com[[registry]]
location = “<quay_registry_fqdn>” insecure = true blocked = false# 配置普通用户的 Quay 私有容器镜像仓库地址$ podman login
–username admin –password 1qazZSE$ \
—log-level=debug
# 成功登录 Quay 私有容器镜像仓库,并开启 debug 模式。Docker 客户端登录 Quay(可选):
IT168企业级
让一部分人先看到企业IT的未来
微信公众号ID :IT168qiye
-
扫码下载安卓APP
-
微信扫一扫关注我们
微信扫一扫打开小程序
手Q扫一扫打开小程序
-
返回顶部
发表评论