容器映像登錄也能自建，Quay整合多種企業級進階功能

在容器調度指揮的部署應用當中，能否搭配健全的作業系統映像登錄服務，至關重要，而在Red Hat於2018年1月併購CoreOS之後，連帶也將Tectonic和Quay這兩套產品納入──企業級Kuberbetes解決方案Tectonic，以及容器作業系統CoreOS，均整合到OpenShift Container Platform，至於容器映像登錄系統（container registry）Quay，提供兩種解決方案：一種是代管服務Quay.io，目前提供4種訂閱方案，主攻小型DevOps團隊，或是本身尚不需要自行架設系統映像登錄的公司；另一種是企業級軟體系統Quay Enterprise，Red Hat將其列入該公司的產品線，名為Red Hat Quay，可相容於OpenShift及其他容器環境或調度指揮平臺。

Quay.io是Quay的代管服務環境，開發者可提交自己寫好的程式碼上去，進行容器的自動組建與儲存，以及容器映像的弱點安全掃描，也能整合GitHub、Bitbucket等版本控制系統。同時，這裡也支援機器人帳號的設置，能讓用戶鎖定自動存取的行為，並且稽核每次的部署。

若要使用Quay.io，可透過網際網路進行線上申租，分為下列四種計費模式：每月15美元的開發者、每月30美元的微型使用、每月60美元的小型使用，以及每月125美元、50個自用映像登錄倉庫起價的大型使用。

以容器映像登錄的功能來看，單就OpenShift本身僅提供基本的映像登錄機制，像是推送（Push）、拉取（Pull）、同步（Sync）、修整（Prune），以及組建觸發器（Build triggers）、基於不同使用者角色的存取控制。

若能同時搭配Red Hat Quay，企業可運用更多進階特色，像是可橫跨不同地理位置的執行個體進行複製（Geographic Replication，Georeplication）、映像回復（Image rollback）、可追蹤操作介面與API動作的事件記錄；在容器安全防護的部份，它也能整合開原碼的弱點掃描軟體套件Clair，可涵蓋Red Hat Enterprise Linux等多種作業系統。

用戶若要自行架設和管理容器映像登錄的服務，Red Hat Quay/Quay Enterprise提供多種進階功能，像是高可用度（支援多個執行個體同時執行，彼此相互備援與共同分攤負載）、跨區複製（在多個資料中心之間，同步複製容器映像）、容器映像的已知安全性弱點掃描，以及24小時全天候、全週的企業級技術支援。

若要在Quay Enterprise啟用容器映像弱點掃描功能，需搭配另一套開放原始碼的軟體Clair，作為引擎，而在Clair本身的初始組態當中，需先設定PostgresSQL資料庫，接著下載Clair映像檔、建立後續的系統組態。之後，需到Quay的網頁管理主控臺的組態頁面上，勾選啟用安全掃描器的項目，並輸入Clair的URL網址、建立Quay Enterprise與Clair之間的認證金鑰，予以儲存。

企業如果想要監控系統當中的每一個執行個體的活動，Red Hat Quay內建了開原碼監控軟體Prometheus的度量（Metrics）機制，可啟動暫時性與批次測量作業，提供簡易的監督與警示功能。

而在身分認證與授權的部份，Red Hat Quay能整合企業既有的身分基礎架構，像是LDAP、OAuth、OIDC（Open ID Connect）、Keystone，能對應企業的組織架構，並且授予整個團隊的相關存取權限，使其能夠管理特定的儲存庫。此外，這套系統也支援機器人帳號的設置，用戶能基於此種類型的帳號來自動部署軟體。

由於整個系統儲存了大量容器映像，為了便於識別映像的版本與用途，Quay提供了映像標籤附加（Image Tag）的功能，在映像儲存庫的標籤分頁當中，我們可以調整現行的標籤。在每一個標籤裡面，也能填入必要的指令列描述，以便拉取一般的容器映像，或經過擠壓合併的容器映像（Squashed Images）。

產品資訊

Red Hat Quay 2.9
●原廠：Red Hat
●建議售價：廠商未提供
●作業系統需求：Red Hat Enterprise Linux 7
●處理器需求：2顆虛擬處理器
●記憶體需求：4GB
●硬碟空間需求：30GB
●高可用性儲存配置：公有雲物件儲存服務（Amazon S3、Google Cloud Storage）、私有雲物件儲存系統（Ceph RADOS、OpenStack Swift）
●核心元件：MySQL或PostgreSQL資料庫、Redis鍵值資料庫、Quay容器登錄

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】