Quay (3) - 访问权限管理

《OpenShift 4.x HOL教程汇总》

说明：在开始本文操作前需完成《 Quay(1) - 用Quay Operator配置Quay环境》和《 Quay (2) - 镜像常规操作》。

用户权限

配置用户

1. 使用管理员登录Quay，在Quay控制台上进入“Super User Admin Panel”。
   
2. 在“Red Hat Quay Management”页面中的Users标签中点击“+ Create User”按钮添加以下三个用户。

 myviewuser    myviewuser@example.com
 myedituser    myedituser@example.com
 myotheruser   myotheruser@example.com

3. 由于每个用户的缺省密码是自动生成的，因此需通过每一项菜单中的“Change Password”将登录密码修改为“password”。
   

配置组织

1. 再次进入REPOSITOIES，点击“Create New Organication”。
   
2. 在“Create New Organization”页面中创建名为myfirstquayorg的组织。
   
3. 在myfirstquayorg组织中创建2个Repository，名称和属性如下。创建后myfirstquayorg组织的Repositories页面如下：

hello-php-private/Private
hello-php-public/Public

配置Team和Membership

1. 在myfirstquayorg组织进入"Teams and Membership”，创建名为adminteam和userteam的2个Team。在创建Team过程中不需要在“Add permissions”对话框中配置访问权限。完成后myfirstquayorg组织的Team and Membership如下图：
   
   说明：上图中的Team Role含义如下。
   
2. 点击adminteam右侧图标，在菜单中进入“Manage Team Memberships”。在搜索栏中找到myedituser，然后添加到adminteam中。
   
3. 点击userteam右侧图标，在菜单中进入“Manage Team Memberships”。在搜索栏中找到myviewuser，然后添加到userteam中。

配置Team对Repository的访问权限

1. 点击adminteam右侧图标，在菜单中进入“Set Repository Permissions”。
   
2. 在“Set Permission”窗口中为hello-php-public和hello-php-private设置Admin的Permission。
   
3. 使用相同的过程设置userteam，不过这次只选中hello-php-public，并分配Read权限。
4. 最后配置Team的角色，在按照下图设置将adminteam的“TEAM ROLE”为Creator，将userteam的“TEAM ROLE”为Member。
   

设置Repository的缺省访问权限

为属于myfirstquayorg组织的Repository设置缺省的访问权限。

1. 进入myfirstquayorg组织的Default Permissions，然后增加2个Default Permission，分别为userteam分配Read权限、为adminteam分配Admin权限。
   

验证

1. 用quay/password登录Quay。在myfirstquayorg中创建名为hello-php-default的Private Repository。
2. 用myedituser/password登录Quay，确认可以看到3个Repository。说明：其中hello-php-public和hello-php-private的访问权限是在“配置Team对Repository的访问权限”中设置的adminteam的权限，而hello-php-default的访问权限是在myfirstquayorg中通过设置的Default Permissions获得的。
   
3. 用myviewuser/password登录Quay，确认可以看到2个Repository。说明：其中hello-php-public的访问权限是在“配置Team对Repository的访问权限”中设置的userteam权限，而hello-php-default的访问权限是在myfirstquayorg中通过设置的Default Permissions获得的。

使用Robot Account

Quay的Robot是Service Accounts，它不对应实际人员，其他软件可以使用Robot Account访问Quay，例如在CI/CD过程中访问Quay。

1. 用quay/password登录Quay，然后进入myfirstquayorg组织。
2. 在“Robot Accounts”中点击“Create Robot Account”按钮。
3. 在对话框中提供以下配置，然后点击"Create robot account”按钮。
   Name：myrobot
   Description: Account used for access to myfirstquayorg
   
4. 分配hello-php-private的Write权限，然后点击“Add permissions”按钮。
   
5. 在Robot Accounts页面中点击“myfirstquayorg+myrobot”条目右侧的图标，然后进入“View Credentials”。此时在弹出对话框可以看到下图的Username和Token。
   

验证

1. 用quay/password登录Quay。

$ podman login -u quay -p password ${QUAY} --tls-verify=false

2. 将quay/hello-php:v0.2镜像拉倒本地。

$ podman pull ${QUAY}/quay/hello-php:v0.2 --tls-verify=false

3. 对镜像重命名和标签后再将镜像推到myfirstquayorg下。

$ podman tag ${QUAY}/quay/hello-php:v0.2 ${QUAY}/myfirstquayorg/hello-php-private:v0.2 
$ podman tag ${QUAY}/quay/hello-php:v0.2 ${QUAY}/myfirstquayorg/hello-php-default:v0.2 
$ podman push ${QUAY}/myfirstquayorg/hello-php-private:v0.2 --tls-verify=false
$ podman push ${QUAY}/myfirstquayorg/hello-php-default:v0.2 --tls-verify=false

4. 退出Quay。

$ podman logout ${QUAY} 

5. 删除本地镜像。

for i in $(podman images -q); do podman rmi $i --force; done

6. 用Robot Account登录Quay。

$ sudo podman login $QUAY --tls-verify=false
Username: myfirstquayorg+myrobot
Password:
Login Succeeded!

7. 执行命令，拉取hello-php-default镜像。确认报错，这是因为没有给Robot Account设置访问hello-php-default镜像的权限。

$ podman pull $QUAY/myfirstquayorg/hello-php-default:v0.2 --tls-verify=false
Trying to pull quayecosystem-quay-quay-enterprise.apps.cluster-beijing-959a.beijing-959a.example.opentlc.com/myfirstquayorg/hello-php-default:v0.2...
  unauthorized: access to the requested resource is not authorized
Error: error pulling image "quayecosystem-quay-quay-enterprise.apps.cluster-beijing-959a.beijing-959a.example.opentlc.com/myfirstquayorg/hello-php-default:v0.2": unable to pull quayecosystem-quay-quay-enterprise.apps.cluster-beijing-959a.beijing-959a.example.opentlc.com/myfirstquayorg/hello-php-default:v0.2: unable to pull image: Error initializing source docker://quayecosystem-quay-quay-enterprise.apps.cluster-beijing-959a.beijing-959a.example.opentlc.com/myfirstquayorg/hello-php-default:v0.2: Error reading manifest v0.2 in quayecosystem-quay-quay-enterprise.apps.cluster-beijing-959a.beijing-959a.example.opentlc.com/myfirstquayorg/hello-php-default: unauthorized: access to the requested resource is not authorized

8. 执行命令，拉取hello-php-private的镜像。确认成功获取hello-php-private镜像，这是因为有给Robot Account设置访问hello-php-default镜像的权限。

podman pull $QUAY/myfirstquayorg/hello-php-private:v0.2 --tls-verify=false
Trying to pull quayecosystem-quay-quay-enterprise.apps.cluster-beijing-959a.beijing-959a.example.opentlc.com/myfirstquayorg/hello-php-private:v0.2...
Getting image source signatures
Copying blob 11e9f32eaf6e done
Copying blob 6cb6e4d94045 done
Copying blob 2206ab0383e8 done
Copying blob 23debac483b0 done
Copying blob f94f448e8c1a done
Copying blob 2f70609541f2 done
Copying blob a3ed95caeb02 done
Copying blob a3ed95caeb02 done
Writing manifest to image destination
Storing signatures
b2c324e9953551d34f452246ef05f545252c7088e2f9579d413f55e04dfed502

查看Repository的所有访问权限

1. 进入一个Repository的配置，例如myfirstquayorg / hello-php-public，在Settings中可以查看该Repository的所有访问权限，包括User、、Team和Robot的Read、Write、Admin权限。