-
Konfigurointi
-
Rahtin integroidun rekisterin käyttö
Rahtin integroidun rekisterin käyttö
Kuvien manuaalinen välimuistiin tallennus
Rahtissa on mahdollista tallentaa kuvia manuaalisesti välimuistiin. Tästä voi olla hyötyä ulkoisen riippuvuuden poistamisessa tai suorituskyvyn parantamisessa.
Prosessi on yksinkertainen:
-
Yhdistä päätteen avulla Rahtin rekisteriin:
Vaihtoehtoisesti voit siirtyä tähän osoitteeseen: https://oauth-openshift.apps.2.rahti.csc.fi/oauth/token/display pyytääksesi tokenin. Kun yhteys on muodostettu, näytä token ja kopioi se. Komento on seuraava:
Info
Jos saat virheilmoituksen, varmista että olet kirjautunut sisään. Jos suoritat komennon
oc whoami, komennon pitäisi palauttaa käyttäjänimesi. -
Merkitse kuva, jonka haluat työntää:
Korvaa {YOUR_RAHTI_PROJECT_NAME} projektisi nimellä. Huomaa, että YOUR_RAHTI_PROJECT_NAME tarkoittaa tässä Rahti-projektin nimeä (eli nimiavaruuden nimeä), eikä viittaa CSC-projektiin. -
Työnnä kuvasi:
Sinun pitäisi nähdä kuvasi projektissasi:

Vaihtoehtoisesti voit kysellä etärekisterin kuvia komennolla docker image ls [OPTIONS] [REPOSITORY[:TAG]]
Vianmääritys
Jos saat tämän virheen yrittäessäsi työntää kuvaasi:
unknown: unexpected status from HEAD request to https://image-registry.apps.2.rahti.csc.fi/v2/{YOUR_RAHTI_PROJECT_NAME}/{YOUR_IMAGE_NAME}/manifests/sha256:834e7b0d913dd73e8616810c2c3a199cd8a3618e981f75eea235e0920d601ce4: 500
Sinun täytyy luoda ImageStream ennen työntämistä.
Suorita tämä komento:
oc täytyy olla asennettuna paikallisesti koneellesi.
Kuvien vetäminen Rahtista
Voit vetää minkä tahansa Rahtin integroidussa rekisterissä tallennetun kuvan paikalliselle koneellesi, tallentaa sen siirrettävänä arkistona tai työntää sen ulkoiseen rekisteriin.
- Yhdistä Rahtin rekisteriin (sama kirjautuminen kuin työntämisessä):
Listataksesi projektissasi saatavilla olevat kuvat ja tagit:
- Vedä kuva paikalliselle koneellesi:
sudo docker pull image-registry.apps.2.rahti.csc.fi/{YOUR_RAHTI_PROJECT_NAME}/{YOUR_IMAGE_NAME}:<tag>
- (Valinnainen) Tallenna kuva
.tar-arkistona:
sudo docker save -o {YOUR_IMAGE_NAME}.tar image-registry.apps.2.rahti.csc.fi/{YOUR_RAHTI_PROJECT_NAME}/{YOUR_IMAGE_NAME}:<tag>
Manuaalisesti välimuistiin tallennettujen kuvien käyttö
Siirry projektisi deploymenteihin ja muokkaa sitä.

Siirry Images-osioon ja varmista, että vaihtoehto "Deploy images from an image stream tag" on valittuna. Valitse lopuksi uusi kuva.

Rahtin integroidun rekisterin käyttöoikeuksien hallinta
Rahti tarjoaa tarkkarajaisen hallinnan integroidun kuvarekisterin käyttöoikeuksiin, jolloin voit hallita oikeuksia käyttäjän tunnistautumisen perusteella.
Rahtin käyttäjänä voit valita, kuinka laajasti tallentamasi kuvat ovat saatavilla eri tilanteissa.
Käyttötapaus 1: Julkisesti vedettävät kuvat internetin kautta
Tämä menetelmä mahdollistaa, että kaikki kuvat Rahti-projektissa voidaan vetää kenen tahansa internetissä olevan toimesta.
Julkaise vain valitut kuvat
Jos haluat julkaista vain yhden tai useamman tietyn kuvan, katso Käyttötapaus 3
- Näin otat käyttöön: Käytä jotakin seuraavista komennoista salliaksesi kenelle tahansa kuvien vetämisen Rahti-projektistasi:
oc policy add-role-to-user "system:image-puller" "system:anonymous" -n <project>
# OR
oc policy add-role-to-group "system:image-puller" "system:unauthenticated" -n <project>
- Näin poistat käytöstä: Käytä jotakin seuraavista komennoista peruuttaaksesi yllä olevat muutokset:
oc policy remove-role-from-user "system:image-puller" "system:anonymous" -n <project>
# OR
oc policy remove-role-from-group "system:image-puller" "system:unauthenticated" -n <project>
Käyttötapaus 2: Vedettävät kuvat kaikille Rahtin käyttäjille, ryhmille, serviceaccounteille ja projekteille
Tämä menetelmä mahdollistaa, että kaikki projektin kuvat voidaan vetää kenen tahansa tunnistautuneen Rahti-käyttäjän toimesta, mukaan lukien muut projektit ja serviceaccountit Rahtin sisällä.
- Näin otat käyttöön: Käytä seuraavaa komentoa salliaksesi kenelle tahansa kuvien vetämisen Rahti-projektistasi:
- Näin poistat käytöstä: Käytä seuraavaa komentoa peruuttaaksesi yllä olevat muutokset:
Käyttötapaus 3: Tarkkarajainen hallinta tietyn kuvan julkiseen julkaisemiseen (suositeltu)
Tämä menetelmä tarjoaa hienojakoisen hallinnan, jonka avulla voit julkaista vain valitut imagestreamit tunnistautumattomille käyttäjille internetissä. Se on turvallisempi vaihtoehto kuin käyttötapaus 1, koska se julkaisee vain sen, minkä nimenomaisesti valitset.
- Näin otat käyttöön: Tätä varten sinun täytyy luoda mukautettu rooli ja rolebinding Rahti-projektiisi.
# Select your project
oc project my-project
# Creating custom role
# oc create role <ROLE_NAME> --verb=get --resource=imagestreams.image.openshift.io/layers --resource-name=<IMAGE_NAME>
oc create role my-image-puller --verb=get --resource=imagestreams.image.openshift.io/layers --resource-name=MY_IMAGE_NAME # Repeat the option --resource-name to select more Imagestreams
# Create custom rolebinding
# oc create rolebinding <RB_NAME> --role=<ROLE_NAME> --user="system:anonymous"
oc create rolebinding my-image-puller --role=my-image-puller --user="system:anonymous" # Alternative to --user, you can use --group="system:unauthenticated"
- Näin poistat käytöstä: Käytä seuraavia komentoja peruuttaaksesi yllä olevat muutokset:
# Delete the role and rolebinding
oc delete rolebinding my-image-puller
oc delete role my-image-puller
Käyttötapaus 4: Kuvien julkaiseminen yhdestä Rahti-projektista toiseen Rahti-projektiin (ristiin nimiavaruuksien välillä tapahtuva vetäminen)
Tämä menetelmä mahdollistaa, että yksi Rahti-projekti voi vetää kuvia toisesta projektista. Tästä on hyötyä, kun eri nimiavaruuksien täytyy jakaa peruskuvia.
- Näin otat käyttöön: Tätä varten sinun täytyy sallia tietyn toisen nimiavaruuden
serviceaccountin vetää kuva.
oc policy add-role-to-group -n <project-that-has-the-image> "system:image-puller" "system:serviceaccounts:<project-that-pulls-the-image>"
- Näin poistat käytöstä: Käytä seuraavaa komentoa peruuttaaksesi yllä olevat muutokset: