红帽推出Quay 3.11引入智慧授权、生命周期管理与AWS集成

发布时间:2024-03-25  

世界领先的开源解决方案供应商公司日前宣布将于本月正式推出。该版本将更新权限管理和镜像生命周期自动化功能,以实现更高效的全面管理。

本文引用地址:

重要更新内容包括:

●   团队与OIDC(OpenID Connect)小组的同步

●   在存储库级别修整策略

●   新的用户界面提供更多Quay功能

●   通用AWS STS支持

●   Quay操作器增强

增强用户组控制

借助,用户可以根据OIDC提供商服务(如Azure Active Directory Service)所定义的分组来管理权限。此更新使Quay 管理员和组织负责人可以更有效地定义访问级别:OIDC中的群组成员可以集中识别多个系统中的用户及其角色,在Quay中,不论用户组规模如何,都能轻松向用户组添加或删除权限。例如,名为“developer”的OIDC组可用于新工程师团队授予使用CI/CD管道和向其Quay组织推送镜像的权限,而不更改Quay中的组织设置。

1711373227356127.png

1711373250179215.png

在Quay组织中,团队是一组用户,他们可以根据自己的角色拉取、推送、更新镜像或管理组织。OIDC组同步功能可将团队定义与OIDC提供商中的组名进行对比,以自动识别团队成员。

灵活实现自动化镜像生命周期管理

在上一版本的基础上,引入了存储库特定的规则,用于修整组织级策略之外的策略,或者取代组织级策略。这进一步细化了镜像生命周期的定义。例如,在一个组织内部,多个存储库托管应用堆栈的不同组件。修整策略可以在组织级别定义,以便在镜像使用超过一年后自动删除。借助Quay 3.11,用户现在可以为存放测试和暂存镜像的存储库定义额外的策略,这些策略可能会规定在30日后删除夜间构建的镜像。这也将减少在过期镜像中发现的漏洞,从而提高安全性。

在新用户界面中探索更多功能

该版本还在新用户界面中加入了更多Quay功能,以支持更多工作流。现在,用户可以管理自己的镜像构建,也可以查看组织内的审核事件。

1711373304118825.png

这一更新版本还引入了使用正则表达式对多个标签、存储库和组织进行高效搜索的功能。此外,用户还可以在新的用户界面中使用根据用户的系统设置自动启用的夜间模式。

通过AWS服务增强安全性

现在,用户可以通过AWS的安全令牌服务 (Secure Token Service)更安全地将Quay与AWS S3连接。通过STS,用户不再需要借助长期以来一直使用的AWS访问密钥和秘钥才能让Quay访问AWS服务,而是可以依靠红帽Quay和AWS IAM系统之间的自动令牌交换机制。这些令牌有时效性,并由Quay自动刷新,因此,令牌泄露造成的影响有限。这是红帽Quay团队根据客户反馈(要求在他们的环境中强制使用STS)而实现的。

操作增强

Quay操作器现在可用于在Kubernetes层面微调资源消耗请求和限制。Quay堆栈中的每个受管组件(包括Quay自身、Clair、二者的PostgreSQL实例、Redis和镜像工作器)都可以配置单独的资源请求和限制值:

spec:

components:

-   kind: clair

managed: true

overrides:

resources:

limits:

cpu: "5" #Limiting to 5 CPUs (vs. 4 default)

memory: "18Gi"  # Limiting to 18 Gibibytes of memory (vs. 16 Gi default)

requests:

cpu: "4" #Requesting 4 CPUs (vs. 2 default)

这有助于调整Quay组件运行所需向集群请求的最低资源,一般来说,这对在更小、资源更紧张的集群上运行非常有用。限值也可以调整,这适用于极大规模的部署项目,如上例所示。

红帽Quay 3.11版本还解决了操作器管理的Quay部署组件的自定义副本设置与Pod水平自动扩缩器设置相冲突的问题。现在,这些设置都可以调整,而且HPA 也会相应地遵守这些设置。这样,如果需要超出默认数量的Quay和Clair Pod实例,不再必须禁用自动扩缩功能。。

其他增强

需要部署大型项目的客户通常希望在PostgreSQL端使用Quay将连接汇集到一起。pgBouncer是广受欢迎的PostgreSQL连接池之一,而且用户也希望确认pgBounceer能够与Quay一起使用。红帽Quay 3.11支持使用pgBouncer,而且我们的QA团队使用CrunchyDB Postgres对其进行了测试。Quay的静态漏洞分析器的能力也得到了增强,旨在提高资源利用率。

未来展望

Quay在2024年之后的路线图非常值得关注。我们希望在今年完成向新用户界面的迁移,并完全移除基于Angular的旧界面。我们计划增强核心注册表功能,以改进容器镜像生命周期和工作流管理,并实现自动化,例如不可变标签、默认标签过期策略,以及基于漏洞或不正确/缺失签名拒绝拉取的策略。我们还计划在Quay端改进OpenShift集群上用户和工作负载的大规模身份验证。最后,我们希望在Quay和Clair断开运行时,能更轻松地将漏洞数据库转移到离线环境。

文章来源于:电子产品世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>