红帽 Quay - 安装和基本配置篇

已于 2024-11-07 08:56:30 修改
阅读量1.2k 收藏 22
点赞数 19
文章标签: openshift 容器 docker
于 2024-09-18 16:01:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43902588/article/details/142279993
版权

OpenShift / RHEL / DevSecOps 汇总目录
说明:本文已经在 Red Hat Quay 3.12 环境中验证

文章目录

说明

红帽 Quay 支持两种安装部署方式:

  1. 以容器的方式安装运行,此时只要有 docker 或 podman 运行环境即可。本文针对的是这种安装运行方式。
  2. 以 Operator 方式安装运行,此时要有 Kubernetes 或 OpenShift 运行环境。

一个以容器方式运行 Quay 需要一下相关组件:

  1. Quay 运行环境
  2. Quay 需要的 PostgreSQL 和 Redis 环境
  3. Quay Config 环境(可选。能简化配置,一般建议使用)
  4. Clair 和对应 PostgreSQL 环境(可选)

安装 Quay 组件

  1. 执行命令,准备主机环境。说明:本文采用的是 RHEL 8 的主机。
export QUAY_HOST_IP=192.168.x.x
export QUAY_HOST_NAME=quay-server.example.com
echo "$QUAY_HOST_IP $QUAY_HOST_NAME" >> /etc/hosts
 
export QUAY=/data/quay
mkdir -p $QUAY/postgres-quay $QUAY/storage $QUAY/config
setfacl -m u:26:-wx $QUAY/postgres-quay
setfacl -m u:1001:-wx $QUAY/storage
 
firewall-cmd --permanent --add-port=80/tcp \
&& firewall-cmd --permanent --add-port=443/tcp \
&& firewall-cmd --permanent --add-port=5432/tcp \
&& firewall-cmd --permanent --add-port=5433/tcp \
&& firewall-cmd --permanent --add-port=6379/tcp \
&& firewall-cmd --reload
  1. 运行 Quay 需要的 PostgreSQL 服务。
podman login registry.redhat.io
podman run -d --rm --name postgresql-quay \
  -e POSTGRESQL_USER=quayuser \
  -e POSTGRESQL_PASSWORD=quaypass \
  -e POSTGRESQL_DATABASE=quay \
  -e POSTGRESQL_ADMIN_PASSWORD=adminpass \
  -p 5432:5432 \
  -v $QUAY/postgres-quay:/var/lib/pgsql/data:Z \
  registry.redhat.io/rhel8/postgresql-13:1-109
 
podman exec -it postgresql-quay /bin/bash -c 'echo "CREATE EXTENSION IF NOT EXISTS pg_trgm" | psql -d quay -U postgres'
  1. 运行 Quay 需要的 Redis 服务。
podman run -d --rm --name redis \
  -p 6379:6379 \
  -e REDIS_PASSWORD=strongpassword \
  registry.redhat.io/rhel8/redis-6:1-110
  1. 运行 Quay Config 服务。然后访问 http://quay-server.example.com:8080/,并用 quayconfig/secret 登录。
podman run --rm -it --name quay_config \
	-p 8080:8080 -p 8443:8443 \
	registry.redhat.io/quay/quay-rhel8:v3.12 config secret
  1. 在配置页面中提供以下配置参数:
配置参数
Server ConfigurationServer Hostnamequay-server.example.com
DatabaseDatabase TypePostgres
Database Serverquay-server.example.com
Usernamequayuser
Passwordquaypass
Database Namequay
RedisRedis Hostnamequay-server.example.com
Redis passwordstrongpassword
  1. 点击配置页面下方的 Validation。
  2. 下载配置,并将 config.yaml 文件复制到 $QUAY/config/config.yaml 中。或通过以下方式生成 config.yaml。
cat << EOF > $QUAY/config/config.yaml
BUILDLOGS_REDIS:
    host: $QUAY_HOST_NAME
    password: strongpassword
    port: 6379
CREATE_NAMESPACE_ON_PUSH: true
DATABASE_SECRET_KEY: a8c2744b-7004-4af2-bcee-e417e7bdd235
DB_URI: postgresql://quayuser:quaypass@$QUAY_HOST_NAME:5432/quay
DISTRIBUTED_STORAGE_CONFIG:
    default:
        - LocalStorage
        - storage_path: /datastorage/registry
DISTRIBUTED_STORAGE_DEFAULT_LOCATIONS: []
DISTRIBUTED_STORAGE_PREFERENCE:
    - default
FEATURE_MAILING: false
SECRET_KEY: e9bd34f4-900c-436a-979e-7530e5d74ac8
SERVER_HOSTNAME: $QUAY_HOST_NAME
SETUP_COMPLETE: true
SUPER_USERS:
  - quayadmin
USER_EVENTS_REDIS:
    host: $QUAY_HOST_NAME
    password: strongpassword
    port: 6379
EOF
  1. 运行 Quay 服务。然后访问 http://quay-server.example.com/,创建一个用户 quayadmin/password。
podman run -d --rm --name=quay \
	-p 80:8080 -p 443:8443 \
	-v $QUAY/config:/conf/stack:Z \
	-v $QUAY/storage:/datastorage:Z \
	registry.redhat.io/quay/quay-rhel8:v3.12
  1. 执行以下命令,向 Quay 推送 Image。
podman login --tls-verify=false $QUAY_HOST_NAME -u quayadmin -p password
podman pull quay.io/quay/busybox:latest
podman tag quay.io/quay/busybox:latest $QUAY_HOST_NAME/quayadmin/busybox:test
podman push --tls-verify=false $QUAY_HOST_NAME/quayadmin/busybox:test

在这里插入图片描述

配置 SSL

  1. 生成根证书。
$ openssl genrsa -out rootCA.key 2048
 
$ openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:REDHAT
Organizational Unit Name (eg, section) []:QUAY
Common Name (eg, your name or your server's hostname) []:quay-server.example.com
Email Address []: 
 
$ ls
rootCA.key  rootCA.pem
  1. 生成 SSL 证书。
$ openssl genrsa -out ssl.key 2048
 
$ openssl req -new -key ssl.key -out ssl.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BeiJing
Locality Name (eg, city) [Default City]:BeiJing
Organization Name (eg, company) [Default Company Ltd]:QUAY
Organizational Unit Name (eg, section) []:QUAY
Common Name (eg, your name or your server's hostname) []:quay-server.example.com
Email Address []:
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  1. 让根证书信任 SSL 证书。
$ cat << EOF > openssl.cnf
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = $QUAY_HOST_NAME
IP.1 = $QUAY_HOST_IP
EOF
 
$ openssl x509 -req -in ssl.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ssl.cert -days 356 -extensions v3_req -extfile openssl.cnf
  1. 复制 SSL 证书到 Quay 指定目录。
$ ls
openssl.cnf  rootCA.key  rootCA.pem  rootCA.srl  ssl.cert  ssl.csr  ssl.key
 
$ cp ssl.cert ssl.key $QUAY/config
$ chmod 640 $QUAY/config/ssl.key
  1. 在 Quay 的配置文件中添加 https 配置。
echo "PREFERRED_URL_SCHEME: https" >> $QUAY/config/config.yaml
  1. 重新运行 Quay 服务。
podman stop quay
podman run -d --rm -p 80:8080 -p 443:8443  \
   --name=quay \
   -v $QUAY/config:/conf/stack:Z \
   -v $QUAY/storage:/datastorage:Z \
   registry.redhat.io/quay/quay-rhel8:v3.12

从浏览器访问 Quay

  1. 确认可以从浏览器通过 https 访问 Quay 控制台。
    在这里插入图片描述

从 podman 访问 Quay

  1. 将根证书复制到 podman 运行节点。
ssh root@<OTHER-NODE> "echo $QUAY_HOST_IP $QUAY_HOST_NAME >> /etc/hosts"
scp rootCA.pem root@<OTHER-NODE>:/tmp
  1. 将跟证书设为 podman 信任的证书。
export QUAY_HOST_NAME=quay-server.example.com
mkdir /etc/containers/certs.d/$QUAY_HOST_NAME
cp /tmp/rootCA.pem /etc/containers/certs.d/$QUAY_HOST_NAME/ca.crt
  1. 验证无需 --tls-verify=false 参数即可登录并访问 Quay 服务。
podman login $QUAY_HOST_NAME -u quayadmin

配置 Clair 扫描

  1. 运行 Clair 需要的 PostgreSQL 数据库。
mkdir -p $QUAY/postgres-clairv4
setfacl -m u:26:-wx $QUAY/postgres-clairv4
 
podman run -d --name postgresql-clairv4 \
  -e POSTGRESQL_USER=clairuser \
  -e POSTGRESQL_PASSWORD=clairpass \
  -e POSTGRESQL_DATABASE=clair \
  -e POSTGRESQL_ADMIN_PASSWORD=adminpass \
  -p 5433:5432 \
  -v $QUAY/postgres-clairv4:/var/lib/pgsql/data:Z \
  registry.redhat.io/rhel8/postgresql-13:1-109
  1. 在 Clair Config 中的 Security Scanner 中提供以下配置,然后再次下载配置文件。
    在这里插入图片描述
    或者在 connfig.yaml 中添加以下内容:
SECURITY_SCANNER_V4_ENDPOINT: http://clairv4:8081
SECURITY_SCANNER_V4_PSK: aTNnNThlZGgzMmg0Yg==
  1. 创建 Clair 所需配置文件 config.yaml。
$ export KEY="aTNnNThlZGgzMmg0Yg=="
$ mkdir -p /etc/clairv4/config/
$ cat << EOF > /etc/clairv4/config/config.yaml
http_listen_addr: :8081
introspection_addr: :8089
log_level: info
indexer:
  connstring: host=$QUAY_HOST_NAME port=5433 dbname=clair user=clairuser password=clairpass sslmode=disable
  scanlock_retry: 10
  layer_scan_concurrency: 5
  migrations: true
matcher:
  connstring: host=$QUAY_HOST_NAME port=5433 dbname=clair user=clairuser password=clairpass sslmode=disable
  max_conn_pool: 100
  migrations: true
  indexer_addr: clair-indexer
notifier:
  connstring: host=$QUAY_HOST_NAME port=5433 dbname=clair user=clairuser password=clairpass sslmode=disable
  delivery_interval: 1m
  poll_interval: 5m
  migrations: true
auth:
  psk:
    key: "$KEY"
    iss: ["quay"]
# tracing and metrics
trace:
  name: "jaeger"
  probability: 1
  jaeger:
    agent:
      endpoint: "localhost:6831"
    service_name: "clair"
metrics:
  name: "prometheus"
EOF
  1. 运行 Clair 服务。
podman run -d --name clairv4 \
  -p 8081:8081 -p 8089:8089 \
  -e CLAIR_CONF=/clair/config.yaml \
  -e CLAIR_MODE=combo \
  -v /etc/clairv4/config:/clair:Z \
  registry.redhat.io/quay/clair-rhel8:v3.12
  1. 将容器镜像导入到 Quay 后可以看到。

参考

https://quay.github.io/quay-docs/master/deploy_quay/index.html
https://docs.redhat.com/en/documentation/red_hat_quay/3.12/html-single/proof_of_concept_-_deploying_red_hat_quay/index
https://docs.redhat.com/en/documentation/red_hat_quay/3.12/html-single/vulnerability_reporting_with_clair_on_red_hat_quay/index#clair-standalone-configure

dawnsky.liu
关注
java8看不到源码-quay-crane-schedule-evaluator:用于评估集装箱组码头起重机分配问题计划的Java库
06-04
>quay-crane-schedule-evaluator</ artifactId > < version >0.1.0</ version > </ dependency > 您还可以从GitHub 中的发布选项卡下载 jar。 如何使用 创建一个AssignmentExactEvaluator实例。 构造...
bitbucket-quay-connector:使用Appsody构建的BitbucketQuay Webhooks中间件
05-26
QUAY_HOST必需-您的码头主机的URL(例如:quay-host.com)。 QUAY_CA_FILE可选-如果未对Quay的根CA进行公开签名,则需要将其设置为已添加到该项目根目录中的cert.pem的名称。 (示例:QUAY_CA_FILE = ...
RedHat 开源企业镜像项目 Quay
qq_24794401的博客
11-30 930
Quay 简介 Quay 是一个registry,存储,构建部署容器的镜像仓库。它分析您镜像中的安全漏洞,可帮助您减轻潜在的安全风险问题。此外,它提供地理复制BitTorrent分发,以提高分布式开发站点之间的性能,并提高灾难恢复的弹性冗余性。 Quay 现状 Quay 可以配合红帽OpenShift企业版使用,提供一个企业级镜像仓库功能。 一个好消息,上月中旬红帽推出了 Quay ...
OpenShift 4 - 安装 ODF 并部署红帽 Quay (1 Worker)
多恩斯基的博客
04-08 1658
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.10 环境中验证 由于新版 Quay 需要使用 OpenShift Data Foundation 提供 对象存储,本文是针对新版 Quay Operator 3.6.4 安装说明修正。 文章目录安装配置 OpenShift Data Foundation安装 ODF Operator配置 Noobaa安装 Quay验证测试 Quay参考 安装配置 OpenShift Data Foundation 安装 ODF Ope
OpenShift 4 - 安装 ODF 并部署红帽 Quay (3 Worker)
多恩斯基的博客
07-20 861
安装过程要安装 OpenShift Data Foundation(ODF) + Quay 环境,因此需要一个至少有3个worker节点的正式 OpenShift 集群。
Quay(0) - 安装一个单实例 Quay 环境
多恩斯基的博客
04-10 1396
本文使用 mirror-registry 开源项目安装一个单实例 RedHat Quay 环境。mirror-registry 开源项目是作为安装离线 OpenShift 使用的 Mirror Registry。
Quay (1) -Quay Operator配置Quay环境
多恩斯基的博客
07-22 1611
文章目录Quay介绍安装Red Hat Quay Operator配置Query运行环境访问Quay,操作镜像参考 Quay介绍 红帽 Quay 容器镜像仓库具有存储功能,可支持您轻松地构建、分布部署容器。通过自动化、身份验证授权系统,提高镜像存储库的安全性。Quay 既可搭配 OpenShift 使用,也可单独使用。 时间机器:Red Hat Quay提供了存储库中所有标签的两周可配置历史记录,并能够通过图像回滚将标签还原到以前的状态。 地域复制:连续的地理分布可提高性能,确保您的内容始终在最需要的
quay-operator:用于部署管理码头的操作员
03-30
码头操作员 在Kubernetes上合理部署。 欢迎 v1分支上提供了码头操作员的原始版本。 在master分支上开发了称为TNG或v2的下一代运算符。...$ kubectl create -n openshift-marketplace -f ./deploy/quay-operator.catal
Quay-Entreprise-for-k8s:码头的舵图
04-29
K8码头企业 码头的舵图 安装头盔 这是Helm的官方文档。 初始化头盔并安装耕Install机 准备好Helm之后,您可以初始化本地CLI,还可以通过以下步骤将Tiller安装到... helm install --debug ./Quay-Entreprise-for-k8s
PyPI 官网下载 | pubtools_quay-0.8.1-py2.py3-none-any.whl
02-05
安装使用`pubtools_quay`时,开发者可以使用Python的包管理工具pip,通过命令`pip install pubtools_quay-0.8.1-py2.py3-none-any.whl`来安装这个轮子文件。安装完成后,就可以在Python代码中导入并使用库提供的...
quay.io/calico/node:v2.6.10
07-04
quay.io/calico/node:v2.6.10 镜像包,可通过docker进行load加载。
红帽宣布发布企业容器仓库开源项目 Quay
云原生实验室
11-15 1228
今天,红帽推出了 Quay 项目的开源项目,该项目是代表 Red Hat Quay Quay.io 的代码的上游项目。根据 Red Hat 的开源承诺,Project Quay 是新开源的,代表了自 2013 年以来 CoreOS(现在是 Red Hat)围绕 Quay 容器注册表进行的多年工作的高潮。Quay 是市场上第一个私人托管注册中心,于 2013 年底启动。由于专注于开发人员的经验...
推荐使用:Quay Operator - 优化的Kubernetes上Quay容器注册表部署
最新发布
gitblog_00100的博客
06-24 316
推荐使用:Quay Operator - 优化的Kubernetes上Quay容器注册表部署 去发现同类优质开源项目:https://gitcode.com/ Quay Operator是一款专为Kubernetes设计的,用于在集群上优雅部署Quay容器注册表的工具。它秉持着充分利用Kubernetes功能、声明式管理应用简化默认操作的核心原则,旨在让容器镜像管理分发变得更加简单高效。 项目...
Red Hat Quay v3 镜像仓库原理与实现
云原生实验室
03-06 1134
作者:华龙飞。主要负责 Red Hat 产品与技术栈的培训交付,客户主要涉及金融、通信、汽车、医疗等行业。热爱并研究开源技术,熟悉 RHEL各版本,SuSE Linux各版本,热衷研究云原...
OpenShift 4 - 镜像漏洞扫描软件 Clair
多恩斯基的博客
12-30 1234
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.9环境中验证 文章目录Clair 是什么?在 OpenShift 安装 Clair 环境安装 Clair 客户端使用 Clair 对容器镜像进行扫描参考 Clair 是什么? Clair 最早是 CoreOS 公司开发的一个容器镜像漏洞扫描工具,后来 CoreOS 被红帽收购,Clair 成为 Red Hat 主导的容器镜像安全漏洞扫描的开源软件 。 作为一款开源软件,Clair 即可单独运行,也可集成到其他软件中运行。
OpenShift 4 - 基于 MinIO 安装 Red Hat Quay 镜像仓库
多恩斯基的博客
08-17 747
本文适合在单机 OpenShift 环境安装 Red Hat Quay 镜像仓库。 另外《OpenShift 4 - 安装 ODF 并部署红帽 Quay (1 Worker)》也可以在单节点部署。 而《OpenShift 4 - 安装 ODF 并部署红帽 Quay (3 Worker)》可以在 3 节点的集群上部署
linux 服务器ubuntu vs redhat 2014,在CentOS/RHEL/Ubuntu上安装配置Red Hat Quay的方法
weixin_33462804的博客
05-03 380
本文介绍在CentOS/RHEL/Ubuntu操作系统上安装配置Red Hat Quay Registry的方法,本文主要讨论用于设置单个实例Quay Registry的步骤,此设置用于POC目的。硬件最低要求是:内存:4GB、CPU:2、磁盘空间:30GB、至少10GB的磁盘空间用于docker存储(运行3个容器)、至少10GB的磁盘空间用于Quay本地存储(CEPH或其他本地存储可能需要更多...
OpenShift Quay 是 Red Hat 提供的企业级容器镜像仓库
weixin_40426261的博客
06-09 540
OpenShift Quay 是 Red Hat 提供的企业级容器镜像仓库,内置了多种功能,包括镜像存储、镜像管理安全扫描等。为了确保容器镜像的安全性,Quay 集成了 Clair 作为镜像安全扫描工具。以下是对 OpenShift Quay Clair 技术的详细总结。概述是 Red Hat 提供的企业级容器镜像仓库,提供镜像存储、管理安全扫描等功能。支持高可用性、多租户、镜像签名镜像复制等企业级功能。集成了 Clair 作为镜像安全扫描工具,检测容器镜像中的已知漏洞。
排名前 8 位的容器仓库
爱死亡机器人
10-22 1574
尤其是因为它提供了一个巨大的公共注册表,您可以使用它来部署来自大小供应商的应用程序,还可以交付您自己的应用程序。与云服务中的其他大牌一样,您可能会被锁定在 GCR 中,具体取决于您使用的 Google Cloud 产品。它不像 AWS 或 Azure 那样拥有丰富的功能,但 Google Cloud 的 GCR 是云提供商“三大巨头”之一提供的物有所值的产品。然而,Azure 最大的卖点是它的注册表异地复制。因此,容器注册表既充当容器存储库的集合,又充当您管理部署映像的可搜索目录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值