Rahtin integroidun rekisterin käyttö

Kuvien manuaalinen välimuistiin tallennus

Kuvia on mahdollista tallentaa manuaalisesti välimuistiin Rahtissa. Tästä voi olla hyötyä, jos haluat poistaa ulkoisen riippuvuuden tai parantaa suorituskykyä.

Prosessi on yksinkertainen:

Asenna ja kirjaudu sisään OC:lla.
Yhdistä päätteen avulla Rahtin rekisteriin:
```
sudo docker login -p $(oc whoami -t ) -u unused image-registry.apps.2.rahti.csc.fi
```
Vaihtoehtoisesti voit siirtyä tähän osoitteeseen: https://oauth-openshift.apps.2.rahti.csc.fi/oauth/token/display pyytääksesi tokenin. Kun yhteys on muodostettu, näytä ja kopioi token. Komento on seuraava:
```
sudo docker login -p <YOUR_TOKEN> -u unused image-registry.apps.2.rahti.csc.fi
```
Info

Jos saat virheen, varmista että olet kirjautunut sisään. Jos suoritat komennon oc whoami, komennon pitäisi palauttaa käyttäjätunnuksesi.
Merkitse työnnettävä kuva:
```
sudo docker tag almalinux:10 image-registry.apps.2.rahti.csc.fi/{YOUR_RAHTI_PROJECT_NAME}/almalinux:<tag>
```
Korvaa {YOUR_RAHTI_PROJECT_NAME} projektisi nimellä. Huomaa, että YOUR_RAHTI_PROJECT_NAME tarkoittaa tässä Rahti-projektin nimeä (eli nimiavaruuden nimeä), eikä viittaa CSC-projektiin.

Työnnä kuvasi:

sudo docker push image-registry.apps.2.rahti.csc.fi/{YOUR_RAHTI_PROJECT_NAME}/almalinux:<tag>

Sinun pitäisi nähdä kuvasi projektissasi: Image Streams

Vaihtoehtoisesti voit hakea kuvia etärekisteristä komennolla docker image ls [OPTIONS] [REPOSITORY[:TAG]]

Vianmääritys

Jos saat tämän virheen yrittäessäsi työntää kuvaasi:

unknown: unexpected status from HEAD request to https://image-registry.apps.2.rahti.csc.fi/v2/{YOUR_RAHTI_PROJECT_NAME}/{YOUR_IMAGE_NAME}/manifests/sha256:834e7b0d913dd73e8616810c2c3a199cd8a3618e981f75eea235e0920d601ce4: 500

Sinun täytyy luoda ImageStream ennen työntämistä.

Suorita tämä komento:

oc create imagestream {YOUR_IMAGE_NAME}

oc on oltava asennettuna paikallisesti koneellesi.

Manuaalisesti välimuistiin tallennettujen kuvien käyttö

Siirry projektisi deploymenteihin ja muokkaa sitä.

Edit deployment

Siirry Images-osioon ja varmista, että valinta "Deploy images from an image stream tag" on valittuna. Valitse lopuksi uusi kuva.

Use cached image

Rahtin integroidun rekisterin käyttöoikeuksien hallinta

Rahti tarjoaa tarkkarajaisen hallinnan integroidun kuvarekisterin käyttöoikeuksiin, jolloin voit hallita oikeuksia käyttäjän tunnistautumisen perusteella.

Rahtin käyttäjänä voit valita, kuinka laajasti tallentamasi kuvat ovat saatavilla eri käyttötapauksissa.

Käyttötapaus 1: Julkisesti vedettävät kuvat internetin kautta

Tämä menetelmä mahdollistaa kaikkien kuvien vetämisen Rahti-projektissa kenen tahansa internetissä olevan toimesta.

Julkaise vain valitut kuvat

Jos haluat julkaista vain yhden tai useamman tietyn kuvan, katso Käyttötapaus 3

Käyttöönotto: Käytä jotakin seuraavista komennoista salliaksesi kenelle tahansa kuvien vetämisen Rahti-projektistasi:

oc policy add-role-to-user "system:image-puller" "system:anonymous" -n <project>
# OR
oc policy add-role-to-group "system:image-puller" "system:unauthenticated" -n <project>

Poistaminen käytöstä: Käytä jotakin seuraavista komennoista peruuttaaksesi yllä olevat muutokset:

oc policy remove-role-from-user "system:image-puller" "system:anonymous" -n <project>
# OR
oc policy remove-role-from-group "system:image-puller" "system:unauthenticated" -n <project>

Käyttötapaus 2: Vedettävät kuvat kaikille Rahtin käyttäjille, ryhmille, serviceaccounteille ja projekteille

Tämä menetelmä mahdollistaa kaikkien projektin kuvien vetämisen kenelle tahansa tunnistautuneelle Rahti-käyttäjälle, mukaan lukien muut projektit ja serviceaccountit Rahtin sisällä.

Käyttöönotto: Käytä seuraavaa komentoa salliaksesi kenelle tahansa kuvien vetämisen Rahti-projektistasi:

oc policy add-role-to-group "system:image-puller" "system:authenticated" -n <project>

Poistaminen käytöstä: Käytä seuraavaa komentoa peruuttaaksesi yllä olevat muutokset:

oc policy remove-role-from-group "system:image-puller" "system:authenticated" -n <project>

Käyttötapaus 3: Tarkkarajainen hallinta tietyn kuvan julkiseen julkaisemiseen (suositeltu)

Tämä menetelmä tarjoaa hienojakoisen hallinnan, jonka avulla voit julkaista vain valitut imagestreamit tunnistautumattomille käyttäjille internetissä. Se on turvallisempi vaihtoehto kuin käyttötapaus 1, koska se julkaisee vain sen, minkä nimenomaisesti valitset.

Käyttöönotto: Tätä varten sinun täytyy luoda mukautettu rooli ja rolebinding Rahti-projektiisi.

# Select your project
oc project my-project

# Creating custom role
# oc create role <ROLE_NAME> --verb=get --resource=imagestreams.image.openshift.io/layers --resource-name=<IMAGE_NAME>
oc create role my-image-puller --verb=get --resource=imagestreams.image.openshift.io/layers --resource-name=MY_IMAGE_NAME # Repeat the option --resource-name to select more Imagestreams

# Create custom rolebinding
# oc create rolebinding <RB_NAME> --role=<ROLE_NAME> --user="system:anonymous"
oc create rolebinding my-image-puller --role=my-image-puller --user="system:anonymous" # Alternative to --user, you can use --group="system:unauthenticated"

Poistaminen käytöstä: Käytä seuraavia komentoja peruuttaaksesi yllä olevat muutokset:

# Delete the role and rolebinding

oc delete rolebinding my-image-puller
oc delete role my-image-puller

Käyttötapaus 4: Kuvien julkaiseminen yhdestä Rahti-projektista toiseen Rahti-projektiin (ristiinnimiavaruusveto)

Tämä menetelmä mahdollistaa sen, että yksi Rahti-projekti voi vetää kuvia toisesta projektista. Tästä on hyötyä, kun eri nimiavaruuksien täytyy jakaa peruskuvia.

Käyttöönotto: Tätä varten sinun täytyy sallia, että tietty serviceaccount toisesta nimiavaruudesta voi vetää kuvan.

oc policy add-role-to-group -n <project-that-has-the-image> "system:image-puller" "system:serviceaccounts:<project-that-pulls-the-image>"

Poistaminen käytöstä: Käytä seuraavaa komentoa peruuttaaksesi yllä olevat muutokset:

oc policy remove-role-from-group -n <project-that-has-the-image> "system:image-puller" "system:serviceaccounts:<project-that-pulls-the-image>"