IBM z/OS 컨테이너 플랫폼 이미지

IBM® Semeru Runtime® Certified Edition for z/OS®, 17 용 컨테이너 이미지는 IBM 컨테이너 레지스트리에서 이용 가능합니다. 17z/OS 컨테이너 Semeru 이미지를 풀 수 있으며, 암호화 해시를 사용하여 이미지를 검증할 수 있습니다. 이미지에 서명이 되어 있으며, 서명을 확인할 수 있습니다.

17z/OS 컨테이너 Semeru 이미지 실행

17z/OS 컨테이너 Semeru 이미지를 실행하려면 다음을 설정해야 합니다:

https://www.ibm.com/support/z-content-solutions/zos-container-platform/ 에 설명된 대로 z/OS Container Platform 설치
https://ibm.github.io/ibm-z-oss-hub/main/main.html 에 설명된 대로 IBM Container Registry 에 대한 액세스
IBM z/OS 2.5 또는 3.1 PH59990 및 OA66101

컨테이너 이미지 z/OS Semeru 17 은 icr.io/zoscp/ibm-semeru-runtimes 네임스페이스 아래에 IBM Cloud® Container Registry 호스팅됩니다.

참고: 17 z/OS 컨테이너 Semeru 이미지를 얻으려면, " z/OS 컨테이너 플랫폼"(PID: 5655-MC3 )을 제품 옵션으로 선택하여 케이스를 열어주세요 https://www.ibm.com/mysupport/. <key>를 제공받은 권한 키 값으로 대체하십시오.

podman login -u iamapikey -p <key> icr.io

다음 명령을 사용하여 IBM Cloud Container Registry 에서 z/OS 용 컨테이너 이미지를 가져올 수 있습니다

podman pull icr.io/zoscp/ibm-semeru-runtimes:certified-17-jdk-zos

참고: 이 이미지는 BPX.FILEATTR.APF 에 대한 읽기 권한이 필요합니다. Podman 올바른 권한이 있는 이미지 관리자 ID를 사용하여 IBM z/OS ( Podman )의 다른 사용자를 위해 Java™ 이미지를 /var/lib/podman/storage 로 가져오는 것이 좋습니다. 자세한 내용은 https://www.ibm.com/docs/en/zoscp/1.1.0?topic=platform-pushing-pulling-from-container-registry.

그런 다음 다음 섹션에서 설명하는 대로 17 Semeruz/OS 이미지의 서명을 확인할 수 있습니다.

17z/OS 컨테이너 Semeru 이미지의 서명 검증

컨테이너 이미지의 서명을 확인하려면 다음 설정이 필요합니다

Linux® 환경
gpg ( Linux 배포판의 패키지를 통해 설치)
스코페오( Linux 배포 패키지를 통해 설치)

공개 키는 서명된 z/OS 컨테이너 이미지를 검증하는 데 사용되는 Linux 머신에 존재해야 합니다. 공개 키를 작성하려면 텍스트 편집기에 표시된 대로 정확하게 다음 텍스트 블록을 복사하고 semeru-runtimes-public-gpgkey.gpg로 저장하십시오.

컨테이너 이미지의 서명을 검증하기 위해 별도의 Linux 시스템에 공개 키를 가져옵니다
```
gpg --import semeru-runtimes-public-gpgkey.gpg
```
다음 명령으로 지문을 계산하십시오.
```
fingerprint=$(gpg --fingerprint --with-colons | grep fpr | tr -d 'fpr:')
```
이 명령은 키의 지문을 fingerprint환경 변수에 저장합니다. 이 환경 변수는 명령이 서명을 확인하는 데 사용합니다. 쉘 세션을 종료하면 변수가 삭제됩니다. 다음 번 로그인 시에 명령을 다시 실행하여 설정할 수 있습니다.
이미지의 디렉토리를 만들고 skopeo 명령을 사용하여 이미지를 로컬 저장소로 가져옵니다:
```
mkdir images
skopeo copy docker://icr.io/zoscp/ibm-semeru-runtimes:certified-17-jdk-zos dir:./images
```
먼저 인증한 후 skopeo 복사하거나 --src-creds iamapikey:<entitlement key> 을 사용하여 직접 도커 이미지를 가져올 수 있습니다.
skopeo copy 명령은 이미지를 파일 집합으로 다운로드하여 이미지 디렉터리(또는 선택한 다른 디렉터리)에 배치합니다.
- 이름이 images/manifest.json 인 Manifest 파일
- 이름이 images/signature-1 인 서명 파일
다음 단계 (서명을 확인하는 명령에서) 에서 이 두 파일을 모두 참조합니다.

서명을 확인하십시오.

skopeo standalone-verify ./images/manifest.json icr.io/zoscp/ibm-semeru-runtimes:certified-17-jdk-zos ${fingerprint} ./images/signature-1

다음 메시지와 유사한 서명의 성공적인 검증에 대한 확인 메시지가 표시됩니다.

Signature verified with <FINGERPRINT> , digest sha256:0000000000000000000000000000000000000000000000000000000000000000

이미지를 가져온 후에는 서버에서 이미지를 사용할 수 있습니다. 다음 명령을 사용하여 세부사항을 확인할 수 있습니다.

$ podman images

세부사항에는 이미지를 가져온 저장소 네임스페이스 및 가져온 특정 이미지 세부사항이 포함됩니다.

REPOSITORY           TAG        IMAGE ID      CREATED      SIZE
      icr.io/zoscp/ibm-semeru-runtimes     17       8ef69ad2a6bc   11 days ago   644 MB

알려진 제한사항 및 임시 해결책

z/OS 의 컨테이너 이미지 사용에는 다음과 같은 제한 사항이 있으며, 이러한 제한 사항을 해결하려면 해결 방법이 필요합니다

z/OS 컨테이너 플랫폼 인스턴스 내에서 java.nio.File.getFileStore() API가 바인드 마운트 파일 시스템에서 호스팅되는 파일을 쿼리하는 경우 java.io.IOException: Device not found 예외가 발생할 수 있습니다. 잠재적인 해결 방법은 파일을 임시 파일 시스템(tmpfs)으로 마이그레이션하는 것입니다.
_BPXK_AUTOCVT=ON 는 z/OS 기본 및 Java 컨테이너 이미지에서 설정됩니다. 이 ON 설정은 java/nio API에 대해 다른 인코딩 처리 동작을 도입할 수 있습니다. 다른 인코딩 처리 동작을 방지하려면 _BPKX_AUTOCVT=OFF 를 컨테이너화되지 않은 z/OS 환경의 기본 설정과 일치하도록 설정하십시오.