在容器調度指揮的部署應用當中,能否搭配健全的作業系統映像登錄服務,至關重要,而在Red Hat於2018年1月併購CoreOS之後,連帶也將Tectonic和Quay這兩套產品納入──企業級Kuberbetes解決方案Tectonic,以及容器作業系統CoreOS,均整合到OpenShift Container Platform,至於容器映像登錄系統(container registry)Quay,提供兩種解決方案:一種是代管服務Quay.io,目前提供4種訂閱方案,主攻小型DevOps團隊,或是本身尚不需要自行架設系統映像登錄的公司;另一種是企業級軟體系統Quay Enterprise,Red Hat將其列入該公司的產品線,名為Red Hat Quay,可相容於OpenShift及其他容器環境或調度指揮平臺。

Quay.io是Quay的代管服務環境,開發者可提交自己寫好的程式碼上去,進行容器的自動組建與儲存,以及容器映像的弱點安全掃描,也能整合GitHub、Bitbucket等版本控制系統。同時,這裡也支援機器人帳號的設置,能讓用戶鎖定自動存取的行為,並且稽核每次的部署。

   

若要使用Quay.io,可透過網際網路進行線上申租,分為下列四種計費模式:每月15美元的開發者、每月30美元的微型使用、每月60美元的小型使用,以及每月125美元、50個自用映像登錄倉庫起價的大型使用。

以容器映像登錄的功能來看,單就OpenShift本身僅提供基本的映像登錄機制,像是推送(Push)、拉取(Pull)、同步(Sync)、修整(Prune),以及組建觸發器(Build triggers)、基於不同使用者角色的存取控制。

若能同時搭配Red Hat Quay,企業可運用更多進階特色,像是可橫跨不同地理位置的執行個體進行複製(Geographic Replication,Georeplication)、映像回復(Image rollback)、可追蹤操作介面與API動作的事件記錄;在容器安全防護的部份,它也能整合開原碼的弱點掃描軟體套件Clair,可涵蓋Red Hat Enterprise Linux等多種作業系統。

用戶若要自行架設和管理容器映像登錄的服務,Red Hat Quay/Quay Enterprise提供多種進階功能,像是高可用度(支援多個執行個體同時執行,彼此相互備援與共同分攤負載)、跨區複製(在多個資料中心之間,同步複製容器映像)、容器映像的已知安全性弱點掃描,以及24小時全天候、全週的企業級技術支援。

若要在Quay Enterprise啟用容器映像弱點掃描功能,需搭配另一套開放原始碼的軟體Clair,作為引擎,而在Clair本身的初始組態當中,需先設定PostgresSQL資料庫,接著下載Clair映像檔、建立後續的系統組態。之後,需到Quay的網頁管理主控臺的組態頁面上,勾選啟用安全掃描器的項目,並輸入Clair的URL網址、建立Quay Enterprise與Clair之間的認證金鑰,予以儲存。

企業如果想要監控系統當中的每一個執行個體的活動,Red Hat Quay內建了開原碼監控軟體Prometheus的度量(Metrics)機制,可啟動暫時性與批次測量作業,提供簡易的監督與警示功能。

而在身分認證與授權的部份,Red Hat Quay能整合企業既有的身分基礎架構,像是LDAP、OAuth、OIDC(Open ID Connect)、Keystone,能對應企業的組織架構,並且授予整個團隊的相關存取權限,使其能夠管理特定的儲存庫。此外,這套系統也支援機器人帳號的設置,用戶能基於此種類型的帳號來自動部署軟體。

由於整個系統儲存了大量容器映像,為了便於識別映像的版本與用途,Quay提供了映像標籤附加(Image Tag)的功能,在映像儲存庫的標籤分頁當中,我們可以調整現行的標籤。在每一個標籤裡面,也能填入必要的指令列描述,以便拉取一般的容器映像,或經過擠壓合併的容器映像(Squashed Images)。

產品資訊

Red Hat Quay 2.9
●原廠:Red Hat
●建議售價:廠商未提供
●作業系統需求:Red Hat Enterprise Linux 7
●處理器需求:2顆虛擬處理器
●記憶體需求:4GB
●硬碟空間需求:30GB
●高可用性儲存配置:公有雲物件儲存服務(Amazon S3、Google Cloud Storage)、私有雲物件儲存系統(Ceph RADOS、OpenStack Swift)
●核心元件:MySQL或PostgreSQL資料庫、Redis鍵值資料庫、Quay容器登錄

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容