システムアーティファクトを変更する

このページでは、Google Distributed Cloud（GDC）エアギャップアプライアンスでシステムアーティファクトを変更する方法について説明します。

GDC でシステムアーティファクトを変更して、デプロイを管理および調整します。

始める前に

システムアーティファクトを変更するには、診断アクセス権を取得し、必要な ID とアクセスロールへのアクセス権が必要です。

診断アクセスは、お客様が問題に遭遇したときに安全にサポートするために必要な特権アクセスモードです。このアクセス権を付与するには、チケットを作成する必要があります。
システム Artifact Registry デバッガ: すべての Harbor リソースに対する読み取り / 書き込みアクセス権があります。セキュリティ管理者に、システムアーティファクトレジストリデバッガ（sar-debugger）クラスタロールを付与するよう依頼します。
システム Artifact Registry harbor-system シークレット Debugger: harbor-system Namespace でデバッガアクセス権を持っています。セキュリティ管理者に、システムアーティファクトレジストリ harbor-system シークレットデバッガ（sar-harbor-system-secret-debugger）ロールを付与するよう依頼します。

Docker イメージをアップロードする

システムアーティファクトを変更するには、新しい Docker イメージをアップロードする必要があります。アップロード方法は、コンテナイメージを push する次の 2 つのレジストリのどちらかによって異なります。

コンテナイメージをブートストラップマシンの Artifact Registry にアップロードします。
コンテナイメージを組織インフラストラクチャクラスタの Artifact Registry にアップロードします。

以降のセクションでは、2 つのレジストリタイプのアップロード手順を示します。

ブートストラップマシンにコンテナイメージをアップロードする

ブートストラップマシンでコンテナイメージを Artifact Registry にアップロードするには、次の操作を行います。

重大な問題が修正された変更済みの Docker イメージがあることを確認します。
新しいイメージを GDC 環境のブートストラップノードに転送します。
ブートストラップノードにログインします。
ブートストラップ時にブートストラップマシンで Artifact Registry のアドレスを見つけて、REGISTRY_IP 環境変数として設定します。
```
REGISTRY=$(kubectl get harborcluster harbor -n harbor-system -o=jsonpath='{.spec.externalURL}')

REGISTRY_IP=${REGISTRY#https://}
```
Artifact Registry にアクセスするための認証情報を取得します。管理者アカウントとパスワードを取得します。
```
ADMIN_PASS=$(kubectl -n harbor-system get secret harbor-admin \
    -o jsonpath="{.data.secret}" | base64 -d)
```
Artifact Registry にログインします。
```
docker login $REGISTRY_IP -u admin -p $ADMIN_PASS
```
Artifact Registry へのログインが成功したことを確認する Login Succeeded メッセージが出力されます。
新しいイメージにタグを付けます。
```
docker image tag CONTAINER_IMAGE_URL \
    $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAG
```
次のように置き換えます。
- CONTAINER_IMAGE_URL: ローカルコンテナイメージ URL（gcr.io/repository/image:tag など）。
- PROJECT_NAME: Artifact Registry プロジェクト名。
- IMAGE_NAME: コンテナイメージの名前。
- TAG: コンテナイメージタグ。
新しいイメージを Artifact Registry に push します。
```
docker image push $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAG
```

コンテナイメージを組織のインフラストラクチャクラスタにアップロードする

org インフラストラクチャクラスタの Artifact Registry にコンテナイメージをアップロードする手順は次のとおりです。

重大な問題が修正された変更済みの Docker イメージがあることを確認します。
新しいイメージを、ルート kubeconfig ファイルを使用してルートアクセス権を持つノードに転送し、エアギャップ環境の組織インフラストラクチャクラスタに転送します。
組織インフラストラクチャクラスタ kubeconfig パスを環境変数としてエクスポートします。
```
export ORG_INFRA_KUBECONFIG=KUBECONFIG_FILE_PATH
```
KUBECONFIG_FILE_PATH は、kubeconfig ファイルのパスに置き換えます。

クラスタ内の Artifact Registry アドレスを見つけて、REGISTRY_IP 環境変数として設定します。

REGISTRY=$(kubectl --kubeconfig $ORG_INFRA_KUBECONFIG get harborcluster /
harbor -n harbor-system -o=jsonpath='{.spec.externalURL}')

REGISTRY_IP=${REGISTRY#https://}

REGISTRY_IP に 10.200.0.36:10443 などの有効な URL が含まれていることを確認します。
```
echo ${REGISTRY_IP}
```

認証局（CA）証明書が存在するかどうかを確認します。

ls -al /etc/docker/certs.d/${REGISTRY_IP}/ca.crt

証明書が存在しない場合は、作成して構成します。

mkdir -p /etc/docker/certs.d/${REGISTRY_IP}/

chmod 755  /etc/docker/certs.d/${REGISTRY_IP}/

echo $(kubectl get secret harbor-cert-secret -n istio-system -o jsonpath='{.data.ca\.crt}' --kubeconfig $ORG_INFRA_KUBECONFIG) | openssl base64 -A -d >  /etc/docker/certs.d/${REGISTRY_IP}/ca.crt

chmod 755 /etc/docker/certs.d/${REGISTRY_IP}/ca.crt

Artifact Registry にアクセスするための認証情報を取得します。次のコマンドを使用して、管理者アカウントとパスワードを取得します。
```
ADMIN_PASS=$(kubectl --kubeconfig $ORG_INFRA_KUBECONFIG \
    -n harbor-system get secret harbor-admin \
    -o jsonpath="{.data.secret}" | base64 -d)
```
Artifact Registry にログインします。
```
docker login $REGISTRY_IP -u admin -p $ADMIN_PASS
```
Artifact Registry へのログインが成功したことを確認する Login Succeeded メッセージが出力されます。
新しいイメージにタグを付けます。
```
docker image tag CONTAINER_IMAGE_URL \
    $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAG
```
次のように置き換えます。
- CONTAINER_IMAGE_URL: ローカルコンテナイメージ URL（gcr.io/repository/image:tag など）。
- PROJECT_NAME: Artifact Registry プロジェクト名。
- IMAGE_NAME: コンテナイメージの名前。
- TAG: コンテナイメージタグ。
新しいイメージを Artifact Registry に push します。
```
docker image push $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAG
```