Использование частного реестра
Для пользователей, желающих получить больший контроль над своей средой хостинга образов, Ключ-АСТРОМ предлагает возможность реплицировать образы и подписи в частные реестры.
Мы рекомендуем использовать закрытый реестр для оптимальной производительности и отсутствия рисков, связанных с ограничением скорости передачи данных, в высоконагруженных и динамичных средах. Кроме того, для соответствия стандартам безопасности и обеспечения целостности программного обеспечения при одновременном снижении рисков, связанных с цепочкой поставок, рекомендуется использовать сканирование образов и проверку подписей с помощью образов Ключ-АСТРОМ.
Реплицируя образы Ключ-АСТРОМ в свой личный реестр, вы можете легко объединить отличную производительность доставки с гарантией безопасности, подписи и неизменности образов. Кроме того, мы предоставляем мультиархитектурные образы для обеспечения совместимости на различных платформах с поддержкой архитектур ARM64 (AArch64) и x86-64 в Linux.
На этой странице представлены инструкции по использованию подписанных и неизменяемых образов контейнеров Ключ-АСТРОМ, размещенных в частном реестре.
Предустановка
Прежде чем начать, убедитесь, что выполнены следующие предварительные условия:
необходимоВерсия Ключ-АСТРОМ Operator — v0.11 или более поздняя.необходимоЦелевые архитектуры ЦП: ARM64 (AArch64) и/или x86-64.необходимоРазрешить исходящий трафик в публичный реестрнеобходимоЧастный реестр с сохраненными образами Ключ-АСТРОМ
Инструкции по хранению образов Ключ-АСТРОМ в вашем частном реестре см. в разделе Хранение образов Ключ-АСТРОМ в частных реестрах.
Создайте секретный запрос
Если образы контейнеров Ключ-АСТРОМ обслуживаются частным реестром, требующим аутентификации, секретный ключ извлечения требуется, если выполняется любое из следующих условий:
- DynaKube настроен на полную наблюдаемость (облачный полнофункциональный мониторинг)
- DynaKube настроен для наблюдения за приложениями (мониторинг только приложений) с включенным драйвером CSI
| Ключ-АСТРОМ Operator версий 0.14 и 0.15 включает логику, обеспечивающую правильное и функциональное развертывание компонентов мониторинга, что делает настройку секретного извлечения обязательной для всех вариантов наблюдения (режимов мониторинга).
С Ключ-АСТРОМ Operator версии 0.14.0, поле |
Секретный запрос (поле customPullSecret в конфигурации DynaKube) обычно используется для аутентификации в закрытом реестре и доступа к его артефактам (образам). Ниже приведены более подробные требования к секретному запросу:
- Если настроен облачный полнофункциональный мониторинг или мониторинг только приложений с драйвером CSI, драйверу CSI требуется секретный ключ для доступа к частному реестру, поскольку он пытается напрямую загрузить образ модулей кода Ключ-АСТРОМ из частного реестра.
Чтобы создать секретный запрос, следуйте этой документации Kubernetes о том, как создать секретный запрос Kubernetes на основе существующих учетных данных или путем предоставления учетных данных в командной строке.
Развертывание Ключ-АСТРОМ Operator с использованием образов из частного реестра
В этом разделе описывается развертывание Ключ-АСТРОМ Operator с образом контейнера, полученным из частного реестра.
Ключ-АСТРОМ Operator состоит из нескольких компонентов (оператор, веб-перехватчик, драйвер CSI), все из которых используют один и тот же образ astromkey-operator с определенными конфигурациями развертывания для каждого компонента.
| Helm | Manifest | ||
|---|---|---|---|
Следующая команда устанавливает Ключ-АСТРОМ Operator и настраивает образы контейнеров для извлечения из частного реестра (например, «registry.my-company.com»), устанавливая значения imageRef.repository, imageRef.tag, и customPullSecret (распространяется на imagePullSecrets PodSpecs):
В качестве альтернативы уже существующую установку можно модернизировать следующим образом:
|
Чтобы избежать подверженного ошибкам редактирования больших файлов YAML, мы рекомендуем использовать Helm для генерации манифеста через helm template.
Однако если вы предпочитаете вносить изменения напрямую, обязательно отрегулируйте поля |
Настройте DynaKube для использования образов из частного реестра
Чтобы указать Ключ-АСТРОМ Operator использовать образы контейнеров из приватного реестра, просто настройте секретный ключ customPullSecret для извлечения данных через поле аутентификации в реестре и соответствующие поля image в настраиваемом ресурсе DynaKube. Настроенные образы будут развернуты в вашем кластере Kubernetes для настройки компонентов мониторинга.
В следующем фрагменте кода DynaKube показано, как настроить полнофункциональную систему мониторинга Cloud-Native с использованием образов контейнеров Ключ-АСТРОМ из частного реестра.
| apiVersion: astromkey.com/v1beta5
kind: DynaKube metadata: name: dynakube namespace: astromkey spec: ... customPullSecret: <secretName> oneAgent: cloudNativeFullstack: ... image: <your-private-registry>/astromkey-oneagent:<tag> codeModulesImage: <your-private-registry>/astromkey-codemodules:<tag> # version: # no effect - see note below ... activeGate: ... image: <your-private-registry>/astromkey-activegate:<tag> ... |
Обратите внимание, что поле version не имеет никакого эффекта, если заданы поля image и/или .codeModulesImage
После настройки обязательных полей пользовательский ресурс DynaKube необходимо применить к кластеру Kubernetes.
Дополнительную информацию о поле customPullSecret, полях image или пользовательском ресурсе DynaKube см. в дополнительных примерах ниже.
Приложение и наблюдаемость Kubernetes
В следующем фрагменте пользовательского ресурса описывается, как настроить DynaKube для наблюдения за приложениями и наблюдения за Kubernetes с помощью образов контейнеров из вашего личного реестра:
| apiVersion: astromkey.com/v1beta5
kind: DynaKube metadata: name: dynakube namespace: astromkey spec: ... customPullSecret: <secretName> oneAgent: applicationMonitoring: ... codeModulesImage: <your-private-registry>/astromkey-codemodules:<tag> # version: # has no effect ... activeGate: ... image: <your-private-registry>/astromkey-activegate:<tag> ... |
