Google Distributed Cloud(GDC)エアギャップ アプライアンスの Artifact Registry(SAR)は、GDC デプロイをサポートおよび管理します。GDC 限定公開 Artifact Registry には、システム アーティファクトが保存されます。システム アーティファクトには、次のようなさまざまな形式があります。
- GKE Enterprise、KubeVirt、GDC マネージド サービスのコンテナ イメージ
- オペレーティング システム(OS)イメージ
- ファームウェアの形式
- ゴールデン仮想マシン(VM)テンプレート
- Helm チャート
Artifact Registry は、インストール、アップグレード、リソースのライフサイクルなど、さまざまな GDC システム オペレーションに安全かつスケーラブルな方法で参加します。
アーティファクトの配布
アーティファクトの配布は、レジストリ間でアーティファクトを配布するプロセスです。Artifact Registry システム内には、アーティファクトを相互に配布する必要がある Harbor レジストリのインスタンスが存在する場合があります。アーティファクト配布を使用して、次の操作を行います。
- ブートストラップ ノードの Harbor レジストリから、組織のインフラストラクチャ クラスタの Harbor レジストリにアーティファクトを配布します。
- 組織のインフラストラクチャ クラスタの Harbor レジストリから、フリート管理クラスタの Harbor レジストリにサービス バンドルを配布します。
- ソース レジストリからローカル ストレージにアーティファクトを pull し、宛先レジストリに push します。
- フェイルオーバー レジストリを使用して Kubernetes と Harbor をデプロイします。このレジストリは、Kubernetes と Harbor に必要なコンテナ イメージを保存し、組織のインフラストラクチャ ノードで
systemdサービスとして実行されます。
システムの上限について
GDC の SAR の機能と上限について説明します。SAR は、一定期間リリース アーティファクトをサポートし、ストレージ容量に制限があります。SAR の可用性と稼働時間に関する情報も確認できます。詳細については、システムの上限についてをご覧ください。
システム アーティファクトを変更する
GDC でシステム アーティファクトを変更して、デプロイを管理および調整します。システム アーティファクトを変更するには、新しい Docker コンテナ イメージをブートストラップ マシンまたは組織のインフラストラクチャ クラスタにアップロードする必要があります。その後、gdcloud artifacts コマンドを使用して、パッケージの管理、イメージのビルド、パッチ適用、デプロイの最適化などのアクションを実行できます。詳細については、システム アーティファクトを変更するをご覧ください。
アーティファクトの変更を監査する
監査ログは、組織のインフラストラクチャ クラスタ内のシステム アーティファクトに対して実行された変更とオペレーションを追跡します。これらのログにアクセスして表示するには、Grafana を使用します。詳細については、システム アーティファクトの変更を監査するをご覧ください。
アーティファクトを push および pull する
GDC でシステム アーティファクトを手動で push と pull できます。プラットフォーム管理者(PA)がデータベース サービスなどのオプション機能を有効にするようリクエストした場合、または新しいアーティファクトでパッチを適用してバグや停止を修正する必要がある場合は、新しいシステム アーティファクトを push します。
GDC は、Harbor から最新のアーティファクトを自動的に pull します。ただし、場合によってはアーティファクトを手動で pull する必要があります。これらのオペレーションの詳細については、クラスタからコンテナ イメージを push および pull するをご覧ください。
アップグレード中に SAR を管理する
GDC で SAR のストレージ容量を拡張します。これは、レジストリの容量が不足した場合に、アップグレード中に必要になることがあります。このプロセスでは、現在のストレージ使用量を確認し、永続ボリューム クレームにパッチを適用してストレージ割り当てを増やします。変更を有効にするには、Artifact Registry を再起動する必要があります。詳細については、Artifact Registry のサイズを変更するをご覧ください。
GDC パッケージの検証では、ルート認証局(CA)を使用してリリースキー証明書を検証します。そのため、ルート CA 証明書を定期的にローテーションすることが重要になります。リリース通知またはアップグレードの実行時に表示される可能性のある警告メッセージで指示された場合は、ルート CA をローテーションする必要があります。詳しくは、パッケージ検証証明書をローテーションするをご覧ください。