【K8S 六】Harbor镜像仓库高可用方案(更新:2022-06-21)

置顶 已于 2023-11-30 11:54:57 修改
阅读量3.1k 收藏 11
点赞数
分类专栏: 云计算-容器云 文章标签: docker kubernetes harbor registry 高可用
于 2022-06-14 00:41:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/avatar_2009/article/details/125266411
版权

目录

制定方案 

安装Harbor

解决harbor使用DNS同步问题

安装Keepalive

配置镜像同步策略

主节点配置一次性拉取复制策略(非“复合方案”,请略过)

“主、备节点”设置“Push-based”复制模式和“事件驱动”触发模式推送镜像到

应用Harbor

制定方案 

 主备方案:

复合方案:

角色hostnameIP地址
主节点host-master192.168.10.190
备节点host-slave192.168.10.191
浮动IPreg.harbor.4a192.168.10.200

提示:如果代理VS使用域名而不是IP地址,这里的域名必须满足FQDN,hostname格式是不行的。

主备方案:

由于VIP的浮动,主备节点其实是互为主备;在部署harbor时,需要注意主备节点上的harbor.yml中hostname不要配置为浮动IP(reg.harbor.4a或192.168.10.200),应配置为各自IP或者hostname;

早先,将VIP的域名reg.harbor.4a配置到190和191上的harbor.yml中(hostname: reg.harbor.4a)导致一个问题:只有主节点可做为target被添加,用作镜像同步(也就是无法在主节点的仓库管理中创建备节点的target,即便添加了也无法连通)。

复合方案:

如果已经有一个Harbor仓库,而为了提高可用性,又部署了“主备集群”,为了方便使用旧库的镜像,在“主节点”设置“Pull-based”复制模式和“手动”触发模式一次性拉取镜像,同时“主备节点”均设置“Push-based”复制模式和“事件驱动”触发模式推送镜像。

因为在部署“主备节点”时,将hostname配置成了各自的IP或hostname,在使用时,我们却需要vip或其域名,故此需要在/etc/docker/daemon.json中配置"insecure-registries":

 "insecure-registries": ["reg.harbor.4a"], 

或者在“主备节点”增加/etc/docker/certs.d/reg.harbor.4a:

cp -a /etc/docker/certs.d/{host-master,reg.harbor.4a}

提示:增加证书的方式,随着主节点切换,需要切换操作台,如果要避免此种场景,则“主备节点”使用同一套证书

安装Harbor

HARBOR_ADDR_DNS="reg.harbor.4a"
HARBOR_ADDR_VIP="192.168.10.200"
HARBOR_HOST_NAME="master-node"
LOCAL_IPADDR="192.168.10.190"
PASSWD_4_HARBOR="your_passwd"
HARBOR_DATADIR="/data"
function install_harbor {
  echo "... begin  config harbor..."
  /usr/bin/cp -f  $script_dir/registry-offline/docker-compose-Linux-x86_64.1.25.4 /usr/local/bin/docker-compose
  if [ $? -eq 0 ]; then
    chmod 755 /usr/local/bin/docker-compose
    docker-compose --version 
  fi
  tar xvf $script_dir/registry-offline/harbor-offline-installer-v2.5.0.tgz -C /opt/ >/dev/null 2>&1
  if [ $? -eq 0 ]; then
    /usr/bin/cp -f $script_dir/k8s-offline/configfiles/harbor.yml /opt/harbor/
    sed -i "s/HARBOR_HOST_NAME/$HARABOR_HOST_NAME/g" /opt/harbor/harbor.yml
    sed -i "s/PASSWD_4_HARBOR/$PASSWD_4_HARBOR/g" /opt/harbor/harbor.yml
    sed -i "s/HARBOR_DATADIR/\\$HARBOR_DATADIR/g" /opt/harbor/harbor.yml
  fi
  echo "... end config harbor..."
  echo "... begin generate certification..."
  _gen_harbor_certs
  echo "... end generate certification..."
  echo "... begin  install harbor..."
  cd /opt/harbor/ && ./install.sh >/dev/null 2>&1
  echo "... end install harbor..."
  echo "... wait harbor starting..."
  while [ -n "$(docker-compose ps |grep starting)" ]; do
      sleep 5s
  done
  docker-compose ps
  echo "... harbir installed successfully..."

}

function _gen_harbor_certs {
  if [ ! -d /etc/ssl/certs/harbor-certs/ ]; then
    mkdir -p /etc/ssl/certs/harbor-certs/
    cd /etc/ssl/certs/harbor-certs/
    # 生成ca证书私钥ca.key
    openssl genrsa -out ca.key 4096
    # 生成ca证书ca.crt
    openssl req -x509 -new -nodes -sha512 -days 36500  -subj "/CN=$HARBOR_HOST_NAME"  -key ca.key  -out ca.crt

    # 生成服务器证书
    ## 生成服务器证书私钥
    openssl genrsa -out server.key 4096
    ## 生成服务器证书
    openssl req  -new -sha512  -subj "/CN=$HARBOR_HOST_NAME"  -key server.key  -out server.csr
    ## 生成 x509 v3 扩展名文件
    _create_v3
    ## 使用v3.ext生成服务器证书
    openssl x509 -req -sha512 -days 36500 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
  fi
  if [ ! -d /etc/docker/certs.d/$HARBOR_HOST_NAME ]; then
    mkdir -p /etc/docker/certs.d/$HARBOR_HOST_NAME
    mkdir -p /etc/docker/certs.d/$HARBOR_ADDR_DNS
    /usr/bin/cp -f /etc/ssl/certs/harbor-certs/server.crt /etc/docker/certs.d/$HARBOR_HOST_NAME
    /usr/bin/cp -f /etc/ssl/certs/harbor-certs/server.crt /etc/docker/certs.d/$HARBOR_ADDR_DNS
  fi
}

function _create_v3 {
cat > /etc/ssl/certs/harbor-certs/v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth 
subjectAltName = @alt_names
[alt_names]
DNS.1=$HARBOR_HOST_NAME
DNS.1=$HARBOR_ADDR_DNS
IP.1=$HARBOR_ADDR_VIP
IP.2=$LOCAL_IPADDR
EOF
}

解决harbor使用DNS同步问题

修改/opt/harbor/docker-compose.yml ,在corejobservice两个服务中,添加/etc/hosts卷映射,使用host的/etc/hosts,以便可以解析到reg.harbor.4a。如果不配置则会报错:

Jun  8 11:59:20 172-103-1-1-dynamic.midco.net core[10724]: 2022-06-08T03:59:20Z 
[ERROR] [/pkg/reg/adapter/native/adapter.go:126]: 
failed to ping registry http://192.168.10.190: Get "https://reg.harbor.4a/service/token?service=harbor-registry": 
dial tcp: lookup reg.harbor.4a on 127.0.0.11:53: read udp 127.0.0.1:45456->127.0.0.11:53: i/o timeout

所以如果Harbor配置的hostname是IP地址则跳过本步骤。

grep -B13 hosts /opt/harbor/docker-compose.yml  
    shm_size: '1gb'
  core:
    image: goharbor/harbor-core:v2.5.0
    container_name: harbor-core
    env_file:
      - ./common/config/core/env
    restart: always
    cap_drop:
      - ALL
    cap_add:
      - SETGID
      - SETUID
    volumes:
      - /etc/hosts:/etc/hosts
--
  jobservice:
    image: goharbor/harbor-jobservice:v2.5.0
    container_name: harbor-jobservice
    env_file:
      - ./common/config/jobservice/env
    restart: always
    cap_drop:
      - ALL
    cap_add:
      - CHOWN
      - SETGID
      - SETUID
    volumes:
      - /etc/hosts:/etc/hosts

安装Keepalive

HOST_NAME="host-master"
IFACE_NAME=bond0
HARBOR_ADDR_VIP="192.168.10.200"
function keepalived_install {
  yum -y install $script_dir/keepalived/*
  if [ $? -eq 0 ]; then
    mv /etc/keepalived/keepalived.conf{,.bak}
    /usr/bin/cp -f $script_dir/keepalived.conf /etc/keepalived/
    /usr/bin/cp -f $script_dir/check_harbor.sh /etc/keepalived/check_harbor.sh
    chmod a+x /etc/keepalived/check_harbor.sh
    sed -i "s/HOST_NAME/$HOST_NAME/g" /etc/keepalived/keepalived.conf
    sed -i "s/IFACE_NAME/$IFACE_NAME/g" /etc/keepalived/keepalived.conf
    sed -i "s/HARBOR_ADDR_VIP/$HARBOR_ADDR_VIP/g" /etc/keepalived/keepalived.conf
    read -p "install master node,[yes/no]:" confim
    if [ "$confim" = "yes" ];then
      sed -i "s/ROLE_NAME/MASTER/g" /etc/keepalived/keepalived.conf
      sed -i "s/PRIO_NUM/100/g" /etc/keepalived/keepalived.conf
    else
      sed -i "s/ROLE_NAME/BACKUP/g" /etc/keepalived/keepalived.conf
      sed -i "s/PRIO_NUM/50/g" /etc/keepalived/keepalived.conf
    fi
  fi

  systemctl restart keepalived
  systemctl status keepalived -l
  sleep 5s
  ip add show $IFACE_NAME
}

 keepalived.conf文件:

vrrp_script check_harbor {
        script "/etc/keepalived/check_harbor.sh"
        interval 10   # 间隔时间,单位为秒,默认1秒
        fall 2        # 脚本几次失败转换为失败
        rise 2        # 脚本连续监测成功后,把服务器从失败标记为成功的次数
        timeout 5
        init_fail
} 
global_defs {
        router_id HOST_NAME
        enable_script_security
        lvs_sync_daemon IFACE_NAME VI_1
}
vrrp_instance VI_1 {
        state  ROLE_NAME
        interface IFACE_NAME
        virtual_router_id 31    # 如果同一个局域网中有多套keepalive,那么要保证该id唯一   
        priority PRIO_NUM             
        advert_int 1            
        authentication {
                auth_type PASS        
                auth_pass k8s-testing
        }
        virtual_ipaddress {
                HARBOR_ADDR_VIP
        }
        track_script {
                check_harbor
        }
}

check_harbor.sh探测脚本:

#!/bin/bash
#count=$(docker-compose -f /opt/harbor/docker-compose.yml ps -a|grep healthy|wc -l)
# 不能频繁调用docker-compose 否则会有非常多的临时目录被创建:/tmp/_MEI*
count=$(docker ps |grep goharbor|grep healthy|wc -l)
status=$(ss -tlnp|grep -w 443|wc -l)
if [ $count -ne 9 -a  ];then
   exit 8
elif [ $status -lt 2 ];then
   exit 9
else
   exit 0
fi

配置镜像同步策略

主节点配置一次性拉取复制策略(非“复合方案”,请略过)

在“主节点”设置“Pull-based”复制模式和“手动”触发模式一次性拉取镜像。首先,admin登录在“主节点”Harbor,首先添加旧仓库:系统管理-仓库管理-新建目标,如下图所示:

然后,创建复制策略:系统管理-复制管理-创建策略,如图:

“主、备节点”设置“Push-based”复制模式和“事件驱动”触发模式推送镜像到

在主备节点,各自使用admin登录Harbor,系统管理-仓库管理-新建目标,将对方的hostname或IP添加目标,如下图所示:

注:提供者千万不要选择Harbor,否则push会失败,报如下错误:

 [ERROR] [/replication/operation/controller.go:108]: the execution 1 failed: failed to do the prepare work for pushing/uploading resources: http error: code 404, message <!DOCTYPE HTML>……

注:如果远程注册表使用自签名或不受信任的证书,必须取消选中该复选框。否则报错:
Jun 13 17:20:30 172-103-2-1-dynamic.midco.net core[3289]: 2022-06-13T09:20:30Z [ERROR] [/lib/http/error.go:54]: 
{"errors":[{"code":"UNKNOWN","message":"unknown: Get \"https://192.168.10.200/api/version\": x509: certificate signed by unknown authority"}]} 

接下来在“主备节点”各自创建复制策略: 

应用Harbor

我们使用http方式访问harbor时,需要在docker的/etc/docker/daemon.json中配置"insecure-registries": ["reg.harbor.4a"]

当我们使用https时,也要有相同的配置,否则需要将harbor的证书放到/etc/docker/certs.d/reg.harbor.4a下,维护起来较麻烦。

虽然,我们启用https,创建了证书,但是不能完全屏蔽http:

itachi-uchiha
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Harbor镜像仓库安装包v2.10.0版本(harbor-offline-installer-v2.10.0.tgz)
01-29
harbor镜像离线安装包最新版本下载包 用于安装harbor镜像仓库 下载后解压会得到harbor镜像仓库安装所需的所有文件 ...结合gitalbCICD自动化集成部署使用harbor镜像仓库存储生成的镜像版本,更好的维护项目镜像
docker-harbor镜像部署到k8s集群-node部署时需harbor认证
06-29
"docker-harbor镜像部署到k8s集群-node部署时需harbor认证" docker-harbor镜像部署到k8s集群-node部署时需harbor认证,这是一种常见的云原生部署场景。下面我们将详细地解释该过程中涉及到的知识点。 1. 部署YAML...
Harbor高可用集群设计及部署(基于离线安装方式)
因上努力,果上随缘。但行好事,莫问前程。
07-28 2705
架构解析】将Harbor的redis缓存组件、PostgreSQL数据库组件迁移到系统外部做高可用,使用外部共享存储实现多个Harbor实例的数据共享,Harbor实例可横向扩展。
企业级仓库Harbor高可用方案
mnasd的博客
09-26 2494
Harbor 是 VMware公司开源的企业级 Docker Registry 项目,其日标是帮助用户迅速搭建一个企业级的 Docker Registry 仓库服务。它以Docker公司开源的Registr为基础,提供了管理UI。基于角色的访问控制(Role Based AcessControl、AD/LDAP集成、以及审计日志(Audtloging)等企业用户需求的功能。通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源DockerDistrbution。
k8s学习--k8s集群使用容器镜像仓库Harbor
最新发布
lwxvgdv的博客
05-31 1169
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
Harbor高可用(haproxy和keepalived)
Raymond的博客
03-01 1094
本示例中的Harbor高可用集群部署将基于以下环境进行。图1-1 Harbor高可用架构表1-1 高可用Kubernetes集群规划。
Harbor高可用部署使用
梵修
08-02 1206
Harbor高可用方案大致可以分为下面两种,一种依赖共享存储来保存镜像数据,另一种基于不同Harbor服务器间的镜像复制实现。
harbor高可用部署
wyl9527的博客
12-10 1585
harbor镜像仓库部署地址 上面的链接地址描述了如何部署一个单机版的harbor私有镜像仓库。下面介绍高可用版本harbor的部署。从harbor的官网可以看到,harbor依赖一些基础组件,如果做高可用,则需要对依赖的租出组件redis,postgresql,nginx等。 本文采用的高可用方案Harbor的双主复制,该方案比较简单,需要搭建至少两个Harbor节点,并且节点之间能够互相复制,然后通过VIP代理Harbor节点提供外部访问。 示意图如下: 准备工作 我这里使用了2..
k8s】--insecure-registry详解 ( 访问仓库、https、http)
m0_45406092的博客
12-15 6360
insecure-registryDocker中用来临时绕过TLS认证证书认证的参数,可以在开发、测试过程中节省时间和精力。但是在生产环境中,为了保证系统的安全性,我们需要关闭这个参数。如果确实有必要经常使用这个参数,我们可以选择使用内部CA证书来实现相对的安全性。在使用–insecure-registry时,我们需要时刻注意安全风险,并采取相应的防范措施。
k8s-harbor-presentation:关于港口工程的介绍
05-12
cd k8s-harbor-presentation git submodule add https://github.com/hakimel/reveal.js.git revealjs cp revealjs/demo.html index.html cp revealjs/{package * ,gruntfile.js} . 发展 npm install npm start 打印 ...
k8s集群部署Harbor镜像仓库
01-02
本地镜像存储: Harbor提供了一个本地的、私有的镜像存储库,允许你在本地集群内管理和存储容器镜像。这减少了对公共Docker Hub等外部仓库的依赖,提高了镜像的安全性和可控性。 安全性管理: Harbor支持对镜像进行...
harbor-offline-installer-v2.3.1.tgz
08-24
harbor-offline-installer-v2.3.1.tgz
harbor-offline-installer-v2.3.0.tgz
07-12
docker 私服,harbor-V2.3.0
harbor-offline-installer-v2.0.2.tgz
08-10
当前最新版harbor 官网https://github.com/goharbor/harbor/releases/tag/v2.0.2,可以先尝试从官方下载,如果中断或者下载失败,可以下载此版本。harbor-offline最新版2.0.2 避免龟速下载安装
K8S:kubeadm搭建K8S+Harbor 私有仓库
09-07
K8S:kubeadm搭建K8S+Harbor 私有仓库所需要的安装包,含有:docker-compose、harbor-offline-installer-v1.2.2、v1.20.11、dashboard、recommended.yaml
Harbor搭建和使用
qq_32238611的博客
04-27 2274
Harbor搭建和使用 背景 项目组之前使用的镜像仓库机器被释放,所以需要搭建自己的镜像仓库。本文主要记录下如何搭建Harbor镜像仓库。 环境准备 本次用于搭建harbor镜像仓库的机器配置如下(这个是在我自己机器搭建的,客户端和服务器都是用的一台机器,开发环境使用的suse服务器) 操作系统 macOS Monterey 内存 16GB 磁盘 512GB CPU 4 机器需要安装docker以及docker-compose,我本地的版本如下,这边对应的版本要求可以自己参考Ha
Harbor的部署和使用
weixin_47085247的博客
02-27 985
它以Docker公司开源的registry为基础,提供了管理UI,基于角色的访问控制(Role Based Access Control),AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。简单说来,Harbor封装了Dockerregistry v2,帮用户提供了许多便捷管理的特性,方便用户操作。启动docker前,一定要关闭防火墙!
Centos 部署k8s集群
CodeAsWind
02-28 5806
主机信息: master节点: 节点功能Master、etcd、Registry; 主机名: master ; IP地址:192.168.80.161 node节点: 节点功能Node1; 主机名:node1; IP地址:192.168.80.162 1: 设置机器的主机名 master主机上执行: hostnamectl --static set-hostname master...
vmware Harbor 镜像复制功能试用
kozazyh的专栏
05-01 8351
vmware Harbor 复制功能试用Harbor基于策略的Docker镜像复制功能,可在不同的数据中心、不同的运行环境之间同步镜像,并提供友好的管理界面,大大简化了实际运维中的镜像管理工作.功能简介在功能设计方面,Harbor仍然以“项目”为中心, 通过对项目配置“复制策略”,标明需要复制的项目以及镜像。管理员在复制策略中指明目标实例,即复制的“目的地”,并对它的地址和连接时使用的用户名密码进...
k8s拉取harbor仓库镜像失败
12-10
以下是解决k8s拉取harbor仓库镜像失败的方法: 1. 确认harbor仓库地址是否正确,可以通过在浏览器中访问该地址来确认。 2. 确认k8s节点是否可以访问harbor仓库地址,可以通过在k8s节点上使用curl命令测试。 ```shell curl http://<harbor仓库地址>/v2/ ``` 如果返回类似于以下内容,则表示可以正常访问: ``` {"name":"harbor.example.com","version":"v2.0.0","logo":"","desc":""} ``` 3. 确认k8s节点是否配置了harbor仓库的认证信息,可以通过以下命令查看: ```shell kubectl get secret <harbor认证信息名称> --namespace=<命名空间> -o yaml ``` 如果没有认证信息,则需要创建一个secret对象并将认证信息添加到其中。 4. 确认k8s节点是否配置了harbor仓库的地址,可以通过以下命令查看: ```shell kubectl get configmap <harbor地址配置名称> --namespace=<命名空间> -o yaml ``` 如果没有配置地址,则需要创建一个configmap对象并将地址添加到其中。 5. 确认k8s节点是否配置了harbor仓库的CA证书,可以通过以下命令查看: ```shell kubectl get secret <harbor CA证书名称> --namespace=<命名空间> -o yaml ``` 如果没有配置CA证书,则需要将CA证书添加到secret对象中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值