$ podman login registry.redhat.io
Username:<your_registry_account_username>
Password:<your_registry_account_password>
×
OpenShift 镜像仓库概述
OpenShift Dedicated 可以从您的源代码构建镜像、部署它们并管理其生命周期。它提供了一个内部集成的容器镜像仓库,可以部署在您的 OpenShift Dedicated 环境中以本地管理镜像。本概述包含与 OpenShift Dedicated 常用镜像仓库的参考信息和链接,重点关注 OpenShift 镜像仓库。
OpenShift 镜像仓库常用术语表
本词汇表定义了仓库内容中使用的常用术语。
- 容器
-
轻量级且可执行的镜像,包含软件及其所有依赖项。由于容器虚拟化了操作系统,因此您可以在数据中心、公共或私有云或本地主机上运行容器。
- 镜像仓库
-
镜像仓库是相关容器镜像和标识镜像的标签的集合。
- 镜像仓库
-
镜像仓库是保存 OpenShift Dedicated 镜像镜像的仓库。
- 命名空间
-
命名空间隔离单个集群内的资源组。
- Pod
-
Pod 是 Kubernetes 中最小的逻辑单元。Pod 由一个或多个在工作节点上运行的容器组成。
- 私有仓库
-
仓库是实现容器镜像仓库 API 的服务器。私有仓库是需要身份验证才能允许用户访问其内容的仓库。
- 公共仓库
-
仓库是实现容器镜像仓库 API 的服务器。公共仓库是公开提供其内容的仓库。
- Quay.io
-
Red Hat 提供和维护的公共 Red Hat Quay 容器仓库实例,它为 OpenShift Dedicated 集群提供大多数容器镜像和操作符。
- OpenShift 镜像仓库
-
OpenShift 镜像仓库是 OpenShift Dedicated 提供的用于管理镜像的仓库。
- 仓库身份验证
-
要将镜像推送到私有镜像仓库并从中拉取镜像,仓库需要使用凭据对其用户进行身份验证。
- 路由
-
公开服务以允许用户和 OpenShift Dedicated 实例外部的应用程序访问 Pod。
- 缩容
-
减少副本数量。
- 扩容
-
增加副本数量。
- 服务
-
服务公开一组 Pod 上运行的应用程序。
集成的 OpenShift 镜像仓库
OpenShift Dedicated 提供一个内置的容器镜像仓库,它作为集群上的标准工作负载运行。该仓库由基础架构操作符配置和管理。它为用户提供了一种开箱即用的解决方案来管理运行其工作负载的镜像,并且在现有集群基础架构之上运行。此仓库可以像任何其他集群工作负载一样进行扩容或缩容,并且不需要特定的基础架构配置。此外,它集成到集群用户身份验证和授权系统中,这意味着创建和检索镜像的访问权限是通过定义镜像资源上的用户权限来控制的。
该仓库通常用作在集群上构建的镜像的发布目标,以及用作在集群上运行的工作负载的镜像来源。当新的镜像被推送到仓库时,集群会收到新镜像的通知,其他组件可以对更新的镜像做出反应并使用它。
镜像数据存储在两个位置。实际的镜像数据存储在可配置的存储位置,例如云存储或文件系统卷。镜像元数据(通过标准集群 API 公开并用于执行访问控制)存储为标准 API 资源,特别是镜像和镜像流。
第三方镜像仓库
OpenShift Dedicated可以使用来自第三方注册表的镜像创建容器,但这些注册表不太可能提供与集成式OpenShift镜像注册表相同的镜像通知支持。在这种情况下,OpenShift Dedicated将在镜像流创建时从远程注册表获取标签。要刷新已获取的标签,请运行oc import-image <stream>。检测到新镜像后,将发生前面描述的构建和部署反应。
身份验证
OpenShift Dedicated可以使用用户提供的凭据与注册表通信以访问私有镜像仓库。这允许OpenShift Dedicated向私有仓库推送和拉取镜像。
使用Podman进行注册表身份验证
某些容器镜像注册表需要访问授权。Podman是一个开源工具,用于管理容器和容器镜像以及与镜像注册表交互。您可以使用Podman验证您的凭据,拉取注册表镜像,并将本地镜像存储在本地文件系统中。以下是使用Podman验证注册表的通用示例。
步骤
-
使用Red Hat生态系统目录搜索Red Hat仓库中的特定容器镜像,并选择所需的镜像。
-
点击获取此镜像以查找您的容器镜像的命令。
-
运行以下命令并输入您的用户名和密码进行身份验证以登录
-
运行以下命令下载镜像并将其保存到本地
$ podman pull registry.redhat.io/<repository_name>
Red Hat Quay注册表
如果您需要企业级容器镜像注册表,Red Hat Quay可作为托管服务和可在您自己的数据中心或云环境中安装的软件提供。Red Hat Quay的高级功能包括地理复制、镜像扫描和回滚镜像的能力。
访问Quay.io网站设置您自己的托管Quay注册表帐户。之后,请按照Quay教程登录Quay注册表并开始管理您的镜像。
您可以像访问任何远程容器镜像注册表一样从OpenShift Dedicated访问您的Red Hat Quay注册表。
其他资源
启用身份验证的Red Hat注册表
Red Hat生态系统目录的“容器镜像”部分中提供的所有容器镜像都托管在镜像注册表registry.redhat.io上。
注册表registry.redhat.io需要身份验证才能访问OpenShift Dedicated上的镜像和托管内容。迁移到新注册表后,现有注册表将在一段时间内可用。
|
OpenShift Dedicated从 |
新注册表使用标准OAuth机制进行身份验证,方法如下:
-
身份验证令牌。由管理员生成的令牌是服务帐户,使系统能够针对容器镜像注册表进行身份验证。服务帐户不受用户帐户更改的影响,因此令牌身份验证方法可靠且具有弹性。这是生产集群唯一支持的身份验证选项。
-
Web用户名和密码。这是您用于登录
access.redhat.com等资源的标准凭据集。虽然可以使用此身份验证方法与OpenShift Dedicated配合使用,但不支持用于生产部署。将此身份验证方法限制在OpenShift Dedicated之外的独立项目中。
您可以使用您的凭据(用户名和密码或身份验证令牌)使用podman login访问新注册表上的内容。
所有镜像流都指向使用安装拉取密钥进行身份验证的新注册表。
您必须将您的凭据放在以下任一位置:
-
openshift命名空间。您的凭据必须存在于openshift命名空间中,以便openshift命名空间中的镜像流可以导入。 -
您的主机。您的凭据必须存在于您的主机上,因为Kubernetes在拉取镜像时会使用您主机上的凭据。
其他资源