IBM z/OS Image de la plate-forme de conteneurs

L'image du conteneur pour IBM® Semeru Runtime® Certified Edition for z/OS®, 17 est disponible dans les registres de conteneurs IBM. Vous pouvez extraire l'image du Semeruz/OS conteneur 17 et vérifier l'image à l'aide du hachage cryptographique. Les images sont signées et vous pouvez vérifier la signature.

Exécution de l'image Semeru conteneur z/OS 17

Pour exécuter l'image Semeru conteneur z/OS 17, vous devez disposer de la configuration suivante :

Installation de z/OS Container Platform comme expliqué dans https://www.ibm.com/support/z-content-solutions/zos-container-platform/
Accès à IBM Container Registry comme expliqué dans https://ibm.github.io/ibm-z-oss-hub/main/main.html
IBM z/OS 2.5 ou 3.1 avec APAR PH59990 et OA66101

L'image du Semeruz/OS conteneur 17 est hébergée sur le IBM Cloud® Container Registry sous l'espace icr.io/zoscp/ibm-semeru-runtimes de noms.

Remarque : pour obtenir l'image du Semeruz/OS conteneur 17, ouvrez un dossier via https://www.ibm.com/mysupport/, en sélectionnant « z/OS Container Platform » (PID : 5655-MC3 ) comme option Produit. Remplacez <key> par la valeur de la clé d'autorisation qui vous a été fournie.

podman login -u iamapikey -p <key> icr.io

Vous pouvez extraire l'image du conteneur pour z/OS à partir de l' IBM Cloud Container Registry, en utilisant la commande suivante :

podman pull icr.io/zoscp/ibm-semeru-runtimes:certified-17-jdk-zos

Remarque : l'image nécessite un accès en lecture à BPX.FILEATTR.APF. Il est recommandé d'utiliser un identifiant d'administrateur d'images avec les permissions adéquates pour extraire les images Java™ dans /var/lib/podman/storage pour d'autres utilisateurs de Podman pour IBM z/OS ( Podman ). Pour plus d'informations, voir https://www.ibm.com/docs/en/zoscp/1.1.0?topic=platform-pushing-pulling-from-container-registry.

Vous pouvez ensuite vérifier la signature de l'image Semeruz/OS 17 comme expliqué dans la section suivante.

Vérification de la signature de l'image Semeru du z/OS conteneur 17

Pour vérifier la signature de l'image du conteneur, vous devez avoir configuré les éléments suivants :

Un environnement Linux®
gpg (installation via les packages de la distribution Linux )
skopeo (installation via les paquets de la distribution Linux )

La clé publique doit exister sur la machine d' Linux, qui est utilisée pour vérifier l'image conteneur d' z/OS, signée. Pour créer la clé publique, copiez le bloc de texte suivant exactement comme indiqué dans un éditeur de texte et enregistrez-le en tant que semeru-runtimes-public-gpgkey.gpg.

Importez la clé publique sur un système d' Linux s distinct pour vérifier la signature de l'image du conteneur :
```
gpg --import semeru-runtimes-public-gpgkey.gpg
```
Calculez l'empreinte digitale à l'aide de la commande suivante:
```
fingerprint=$(gpg --fingerprint --with-colons | grep fpr | tr -d 'fpr:')
```
Cette commande stocke l'empreinte digitale de la clé dans une variable d'environnement fingerprint, que la commande utilise pour vérifier la signature. Lorsque vous quittez votre session shell, la variable est supprimée. Vous pouvez le définir en relançant la commande lors de la prochaine connexion.
Créez un répertoire pour l'image et utilisez la commande skopeo pour extraire l'image dans le stockage local :
```
mkdir images
skopeo copy docker://icr.io/zoscp/ibm-semeru-runtimes:certified-17-jdk-zos dir:./images
```
Vous pouvez soit vous authentifier d'abord et faire une copie skopeo , soit utiliser directement --src-creds iamapikey:<entitlement key> pour extraire l'image docker.
La commande skopeo copy télécharge l'image sous la forme d'un ensemble de fichiers et les place dans le répertoire images (ou dans un autre répertoire de votre choix).
- Un fichier manifeste nommé images/manifest.json
- Un fichier de signature nommé images/signature-1
Vous référencez ces deux fichiers à l'étape suivante (dans la commande pour vérifier la signature).

Vérifiez la signature:

skopeo standalone-verify ./images/manifest.json icr.io/zoscp/ibm-semeru-runtimes:certified-17-jdk-zos ${fingerprint} ./images/signature-1

Vous obtenez une confirmation de la réussite de la vérification de la signature similaire au message suivant:

Signature verified with <FINGERPRINT> , digest sha256:0000000000000000000000000000000000000000000000000000000000000000

Une fois l'image extraite, elle est disponible sur le serveur. Vous pouvez vérifier les détails à l'aide de la commande suivante:

$ podman images

Les détails incluent l'espace de nom de référentiel à partir duquel l'image a été extraite et les détails d'image extraits spécifiques:

REPOSITORY           TAG        IMAGE ID      CREATED      SIZE
      icr.io/zoscp/ibm-semeru-runtimes     17       8ef69ad2a6bc   11 days ago   644 MB

Limitations et solutions de contournement connues

L'utilisation de l'image de conteneur d' z/OS s présente les limitations suivantes et nécessite des solutions de contournement pour résoudre ces limitations :

Au sein d'une instance de z/OS Container Platform, l'API java.nio.File.getFileStore() peut générer une exception java.io.IOException: Device not found si elle interroge un fichier hébergé sur un système de fichiers bind mount. Une solution potentielle consiste à migrer les fichiers vers un système de fichiers temporaire (tmpfs).
_BPXK_AUTOCVT=ON est défini dans les images de base et de conteneur Java z/OS . Ce paramètre ON peut introduire des comportements de gestion de codage différents pour les API java/nio . Pour éviter un comportement de traitement de codage différent, définissez _BPKX_AUTOCVT=OFF pour qu'il corresponde au paramètre par défaut dans les environnements z/OS non conteneurisés.