このページは Cloud Translation API によって翻訳されました。

システムアーティファクトを変更する

システムアーティファクトは、Google Distributed Cloud（GDC）エアギャップアプライアンスシステムをサポートし、GDC デプロイを管理します。GDC 限定公開 Artifact Registry には、システムアーティファクトが保存されます。システムアーティファクトには、次のようなさまざまな形式があります（ただしこれらに限定されません）。

Anthos、KubeVirt、GDC マネージドサービスのコンテナイメージ
オペレーティングシステム（OS）イメージ
ファームウェアの形式
ゴールデン仮想マシン（VM）テンプレート
Helm チャート

Artifact Registry は、インストール、アップグレード、リソースのライフサイクルなど、さまざまな GDC システムオペレーションに安全かつスケーラブルで改ざん防止された方法で参加します。

始める前に

システムアーティファクトを変更するには、診断アクセス権を取得する必要があります。診断アクセスは、お客様が問題に遭遇したときに安全にサポートするために必要な特権アクセスモードです。このアクセス権を付与するには、チケットを作成する必要があります。

Docker イメージをアップロードする

システムアーティファクトを変更するには、新しい Docker イメージをアップロードする必要があります。アップロード方法は、コンテナイメージを push する次の 2 つのレジストリのどちらかによって異なります。

コンテナイメージをブートストラップマシンの Artifact Registry にアップロードします。
管理クラスタの Artifact Registry にコンテナイメージをアップロードします。

以降のセクションでは、2 つのレジストリタイプのアップロード手順について説明します。

ブートストラップマシンの Artifact Registry

ブートストラップマシンの Artifact Registry にコンテナイメージをアップロードするには、次の操作を行います。

重大な問題が修正された変更済みの Docker イメージがあることを確認します。
新しいイメージをエアギャップ環境のブートストラップノードに転送します。
ブートストラップノードにログインします。
ブートストラップ時にブートストラップマシンで Artifact Registry のアドレスを見つけて、REGISTRY_IP 環境変数として設定します。
```
REGISTRY=$(kubectl get harborcluster harbor -n harbor-system -o=jsonpath='{.spec.externalURL}')

REGISTRY_IP=${REGISTRY#https://}
```
Artifact Registry にアクセスするための認証情報を取得します。次のコマンドを使用して、管理者アカウントとパスワードを取得します。
```
ADMIN_PASS=$(kubectl -n harbor-system get secret harbor-admin \
    -o jsonpath="{.data.secret}" | base64 -d)
```
Artifact Registry にログインします。
```
docker login $REGISTRY_IP -u admin -p $ADMIN_PASS
```
Artifact Registry へのログインが成功したことを確認する Login Succeeded メッセージが出力されます。
新しいイメージにタグを付けます。
```
docker image tag CONTAINER_IMAGE_URL \
    $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAG
```
次のように置き換えます。
- CONTAINER_IMAGE_URL: ローカルコンテナイメージ URL（gcr.io/repository/image:tag など）。
- PROJECT_NAME: Artifact Registry プロジェクト名。
- IMAGE_NAME: コンテナイメージの名前。
- TAG: コンテナイメージタグ。
新しいイメージを Artifact Registry に push します。
```
docker image push $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAG
```

管理クラスタの Artifact Registry

コンテナイメージを管理クラスタの Artifact Registry にアップロードする手順は次のとおりです。

重大な問題が修正された変更済みの Docker イメージがあることを確認します。
新しいイメージを、ルート kubeconfig ファイルを使用してエアギャップ環境の管理クラスタにルートアクセス権を持つノードに転送します。
管理クラスタの kubeconfig ファイルパスを環境変数としてエクスポートします。
```
export ADMIN_CLUSTER_KUBECONFIG=KUBECONFIG_FILE_PATH
```
KUBECONFIG_FILE_PATH は、kubeconfig ファイルのパスに置き換えます。

クラスタ内の Artifact Registry アドレスを見つけて、REGISTRY_IP 環境変数として設定します。

REGISTRY=$(kubectl --kubeconfig $ADMIN_CLUSTER_KUBECONFIG get harborcluster harbor -n harbor-system -o=jsonpath='{.spec.externalURL}')

REGISTRY_IP=${REGISTRY#https://}

REGISTRY_IP に 10.200.0.36:10443 などの有効な URL が含まれていることを確認します。
```
echo ${REGISTRY_IP}
```

認証局（CA）証明書が存在するかどうかを確認します。

ls -al /etc/docker/certs.d/${REGISTRY_IP}/ca.crt

証明書が存在しない場合は、作成して構成します。

mkdir -p /etc/docker/certs.d/${REGISTRY_IP}/

chmod 755  /etc/docker/certs.d/${REGISTRY_IP}/

echo $(kubectl get secret harbor-cert-secret -n istio-system -o jsonpath='{.data.ca\.crt}' --kubeconfig $ADMIN_CLUSTER_KUBECONFIG) | openssl base64 -A -d >  /etc/docker/certs.d/${REGISTRY_IP}/ca.crt

chmod 755  /etc/docker/certs.d/${REGISTRY_IP}/ca.crt

Artifact Registry にアクセスするための認証情報を取得します。次のコマンドを使用して、管理者アカウントとパスワードを取得します。
```
ADMIN_PASS=$(kubectl --kubeconfig $ADMIN_CLUSTER_KUBECONFIG \
    -n harbor-system get secret harbor-admin \
    -o jsonpath="{.data.secret}" | base64 -d)
```
Artifact Registry にログインします。
```
docker login $REGISTRY_IP -u admin -p $ADMIN_PASS
```
Artifact Registry へのログインが成功したことを確認する Login Succeeded メッセージが出力されます。
新しいイメージにタグを付けます。
```
docker image tag CONTAINER_IMAGE_URL \
    $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAG
```
次のように置き換えます。
- CONTAINER_IMAGE_URL: ローカルコンテナイメージ URL（gcr.io/repository/image:tag など）。
- PROJECT_NAME: Artifact Registry プロジェクト名。
- IMAGE_NAME: コンテナイメージの名前。
- TAG: コンテナイメージタグ。
新しいイメージを Artifact Registry に push します。
```
docker image push $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAG
```