Там ещё мирроринг без интернета все никак ее допилят,  костылить приходится. Но вроде PR висит на review

В федоре сервис с пакетами умер, даже не посмотришь кто майнтенер сейчас

скажи урл плиз? Я на следующей неделе собираю крестовый поход на ребят из OLM

https://github.com/openshift/oc/pull/455


Кейс простой. Есть OKD в закрытом контуре. Интернета и бастион машины нет. Хочется слить нужные образа в папку, взять эту папку и залить уже внутри контура. Сейчас не хватает следующего:

1. Чтобы oc adm catalog mirror сливало в папку / заливало из папки.

oc adm release mirror уже умеет так, а oc adm catalog нет. Код там явно уже есть в тулзе, надо поправить по минимуму чтобы он вызывался.

2. Добавить в ImageContentSourcePolicy возможность указания insecure = true

Это объект активно юзает OperatorHub чтобы переопределять registry для операторов в каталоге. В объекте сейчас два параметра - что переопределять и на что:

https://docs.openshift.com/container-platform/4.5/rest_api/operator_apis/imagecontentsourcepolicy-operator-openshift-io-v1alpha1.html

При этом контейнерные тулзы на coreos требуют обязательного SSL на registry. Это не очень удобно и не всегда оправдано. Хочется также иметь возможность указать insecure: true и не требовать SSL. В настоящий момент эта проблема решается запиханным в Ignition переопределением всего /etc/containers/registries.conf. Причем пришлось очень сильно извратиться чтобы работала установка и пропихать это прямо в манифест bootstrap ноды. Будет гораздо удобнее, если вы сможете добавить параметр insecure и он будет уходить в /etc/containers/registries.conf

3.  Добавление префиксов

oc adm catalog mirror сливает достаточно много всего. Это всё захламляет docker registry. Хочется добавлять какой-то префикс, типа myregistry/redhat-operators/blabla/blabla, а не лить всё в корень. Вроде бы тикет в частности про это.

Я могу сразу тикеты писать или в каком-то более специализированном канале фидбэк выдавать, скажите как лучше :)

а о каком пакете идет речь? как назывался раньше? я только origin сейчас сходу нашел

так и назывался origin-clients

Есть такой. Там 3.11.2 последняя версия, 4.x там отродясь не было.

>возможность указания insecure = true

это для http или кастомных сертификатов? На http шансов мало :/

добавить опцию в объект и передавать эту опцию в registries.conf при генерации. Всё.

а вот тут и роется собака - напрямую registries.conf управлять нельзя и ребята из MCO не особо горят желанием фичи для юзкейса с http registry

Ясно, что надо поднимать свой CA, генерить сертификаты на все внутренние домены и т.п. Это и будет когда нибудь сделано. Но сейчас тупо поднять registry через docker run registry:2 и засетупить OKD не получится без поднятия CA.

да в том и поинт собсно )

чтобы было как-то и версия 4 тоже )

тикеты лучше всего. Обсудить можно тут или в #openshift-users в кубослаке (но там тоже не то чтобы особо много людей, разве что солюшен архитектов больше)

а тут сколько таковых?)

думаю двоих со сходными обязанности найдется :)

Ну вот простая логика. Там всего три параметра в registries.conf. ЧТо переопределять, на что и insecure. Два передаются из ImageContentSourcePolicy, а третий нет. Не думаю, что это очень большая трудоемость передавать три параметра, а не два.

Пока что вот так проблема решается:

variant: fcos
version: 1.0.0
storage:
  files:
    - path: /etc/containers/registries.conf
      overwrite: true
      contents:
        inline: |
          unqualified-search-registries = ["registry.local"]

          [[registry]]
          prefix = "registry.connect.redhat.com"
          location = "registry.local"

          [[registry]]
          prefix = "registry.redhat.io"
          location = "registry.local"

          [[registry]]
          prefix = "quay.io/openshift/okd"
          location = "registry.local/openshift/okd"

          [[registry]]
          prefix = "quay.io/openshift/okd-content"
          location = "registry.local/openshift/okd"

Написана питонячка, которая вставляет этот ignition в манифесты бутстрапа при установке.

variant: fcos
version: 1.0.0
storage:
  files:
    - path: /etc/containers/registries.conf
      overwrite: true
      contents:
        inline: |
          unqualified-search-registries = ["registry.local"]

          [[registry]]
          prefix = "registry.connect.redhat.com"
          location = "registry.local"

          [[registry]]
          prefix = "registry.redhat.io"
          location = "registry.local"

          [[registry]]
          prefix = "quay.io/openshift/okd"
          location = "registry.local/openshift/okd"

          [[registry]]
          prefix = "quay.io/openshift/okd-content"
          location = "registry.local/openshift/okd"

это усложнит тесты, да и все равно это не рекомендуется в реальных использованиях