kubernetes之helm部署harbor

最新推荐文章于 2024-05-24 13:51:34 发布
最新推荐文章于 2024-05-24 13:51:34 发布
阅读量1.2k 收藏 1
点赞数
文章标签: 运维 后端 git
原文链接:http://blog.51cto.com/m51cto/2343153
版权

安装 helm

Helm致力于成为k8s集群的应用包管理工具,希望像linux 系统的RPM DPKG那样成功;确实在k8s上部署复杂一点的应用很麻烦,需要管理很多yaml文件(configmap,controller,service,rbac,pv,pvc等等),而helm能够整齐管理这些文档:版本控制,参数化安装,方便的打包与分享等。

  • 建议积累一定k8s经验以后再去使用helm;对于初学者来说手工去配置那些yaml文件对于快速学习k8s的设计理念和运行原理非常有帮助,而不是直接去使用helm,面对又一层封装与复杂度。

为了安全,在helm客户端和tiller服务器间建立安全的SSL/TLS认证机制;tiller服务器和helm客户端都是使用同一CA签发的client cert,然后互相识别对方身份。建议通过本项目提供的ansible role安装,符合官网上介绍的安全加固措施,在delpoy节点运行:
首先克隆ansible playbook:

git clone https://github.com/donxan/ansible_helm.git

# 1.如果已安装,需要重新安装,使用 helm reset 清理
# 2.配置默认helm参数 vim /etc/ansible/roles/helm/vars/main.yml
# 3.执行安装
# ansible-playbook /etc/ansible/roles/helm/helm.yml

简单介绍下/roles/helm/tasks/main.yml中的步骤

[root@master software]# wget -qO- https://storage.googleapis.com/kubernetes-helm/helm-v2.12.1-linux-amd64.tar.gz | tar -zx  
[root@master software]# ls  
harbor linux-amd64 traefik  
[root@master software]# mv linux-amd64/helm /etc/ansible/bin/

  • 1-下载最新release的helm客户端到/etc/ansible/bin目录下,再由它自动推送到deploy的{{ bin_dir }}目录下

  • 2-由集群CA签发helm客户端证书和私钥,使用ansible部署时会自动签发。
  • 3-由集群CA签发tiller服务端证书和私钥
  • 4-创建tiller专用的RBAC配置,只允许helm在指定的namespace查看和安装应用
  • 5-安全安装tiller到集群,tiller服务启用tls验证
  • 6-配置helm客户端使用tls方式与tiller服务端通讯

    安装完成后,查看版本

    注意client,server的版本要一致,否则会报错,使用helm安装应用也会报错 

# helm version --tls
Client: &version.Version{SemVer:"v2.12.1", GitCommit:"02a47c7249b1fc6d8fd3b94e6b4babf9d818144e", GitTreeState:"clean"}
Server: &version.Version{SemVer:"v2.12.1", GitCommit:"02a47c7249b1fc6d8fd3b94e6b4babf9d818144e", GitTreeState:"clean"}

注意因使用了TLS认证,所以helm命令执行分以下两种情况

  • 执行与tiller服务有关的命令,比如 helm ls helm version helm install等需要加--tls参数
  • 执行其他命令,比如helm search helm fetch helm home等不需要加--tls
[root@master harbor-helm]# kubectl get po,svc -n kube-system -l app=helm
NAME                                READY     STATUS    RESTARTS   AGE
pod/tiller-deploy-d658b9c47-fqrx7   1/1       Running   0          4s

NAME                    TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)     AGE
service/tiller-deploy   ClusterIP   10.68.42.136   <none>        44134/TCP   4s

准备pv

这里使用了nfs pv,先到 NFS Server 上建立四個資料夾mkdir nfs{3..6},本次不需要配置pvc,后面会自动配置

for i in {3..6}; do
cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: PersistentVolume
metadata:
  name: pv00${i}
spec:
  capacity:
    storage: 100Gi
  accessModes:
    - ReadWriteOnce #需要注意
  persistentVolumeReclaimPolicy: Recycle
  nfs:
    path: /volume1/harbor/nfs${i}
    server: 192.168.2.4
EOF
done 

[root@master pv]# kubectl get pv
NAME      CAPACITY   ACCESS MODES   RECLAIM POLICY   STATUS      CLAIM                     STORAGECLASS   REASON    AGE
pv001     10Gi       RWX            Retain           Bound       default/myclaim                                    21h
pv002     100Gi      RWX            Retain           Bound       default/nginx-svc-claim                            20h
pv003     100Gi      RWO            Recycle          Available                                                      12s
pv004     100Gi      RWO            Recycle          Available                                                      12s
pv005     100Gi      RWO            Recycle          Available                                                      12s
pv006     100Gi      RWO            Recycle          Available                                                      11s

使用helm安装harbor到kubernetes上

当Persistent Volume准备完成后,隆Harbor helm chart代码:

git clone https://github.com/goharbor/harbor-helm
cd harbor-helm
git checkout 0.3.0 #目前最新的分支是0.3.0

更新依赖,使用 Helm 部署 Harbor
values.yaml包含很多配置参数,根据需要修改。参考官方文档

helm dependency update
elm install . --debug --name hub --set externalDomain=harbor.abcgogo.com --tls

使用kubectl查看 Harbor 是否部署成功

[root@master harbor-helm]# kubectl get pod -o wide | grep harbor            
hub-harbor-adminserver-77dc5bb8c4-xchm7     1/1       Running   4          7h        172.20.4.95    192.168.2.12   <none>
hub-harbor-chartmuseum-77895d6c6-wxh7q      1/1       Running   0          7h        172.20.2.101   192.168.2.11   <none>
hub-harbor-clair-6575949b87-wrgs7           1/1       Running   4          7h        172.20.4.97    192.168.2.12   <none>
hub-harbor-database-0                       1/1       Running   0          6h        172.20.2.103   192.168.2.11   <none>
hub-harbor-jobservice-7c5f74d9d-jrrxr       1/1       Running   2          7h        172.20.3.83    192.168.2.13   <none>
hub-harbor-notary-server-75f64bfcd-7tlts    1/1       Running   0          7h        172.20.3.82    192.168.2.13   <none>
hub-harbor-notary-signer-7fbf77648d-4485x   1/1       Running   0          7h        172.20.4.96    192.168.2.12   <none>
hub-harbor-registry-674c7f487d-5xzqt        1/1       Running   0          7h        172.20.2.102   192.168.2.11   <none>
hub-harbor-ui-759b87c94c-kg7gj              1/1       Running   1          6h        172.20.4.99    192.168.2.12   <none>

可以使用kubectl get pod,svc,ingress -o wide | grep harbor<br/>查看更多信息,因之前配置了traefik,所以这里使用traefik ingree,这里已经配置成功。
kubernetes之helm部署harbor
dns服务器上配置harbor.abcgogo.com的dns,也可以修改本地hosts
接著可以使用浏览器查看Harbor Web UI,默认登录账号密码:admin/Harbor12345
kubernetes之helm部署harbor

开始使用harbor

确认Helm部署的Harbour没问题后,可以开始使用Harbor。以下将说明如何让Docker Client如何存取私有的Registry以及一些基本操作。

首先,要让Docker能存取私有的注册表需要对Docker做一些小小的设定,而设定方式有以下两种方式:

  1. 使用自带的凭证(CA):为了安全性考量,私有的注册表自带凭证。当Docker Client与私有的注册表进行沟通时都需要使用此凭证,而这也是目前Docker官方推荐的做法;
  2. 设置不安全的注册表:直接设定为不安全的注册表,因为安全性的考量目前此方法官方并不推荐。

而两种方法选择其中一种设定即可。

设定凭证(CA)

因为我们部署的Harbour是有自带凭证(CA),所以需要再Docker Client加入凭证,这样Docker Client才有办法存取到私有的注册表。

首先,在Kubernetes Master使用以下指令取得凭证

pv006     100Gi      RWO            Recycle          Bound     default/redis-data-hub-redis-master-0                                  12h
[root@master harbor-helm]# kubectl get secret/hub-harbor-ingress -o jsonpath="{.data.ca\.crt}" | base64 --decode 
-----BEGIN CERTIFICATE-----
adfadsfaAwIBAgIRAJmXXxn40kWHcoOj6dfjtgIwDQYJKoZIhvcNAQELBQAw
FDESMBAGA1UEAxMJaGFyYm9yLWNhMB4XDTE5MDExNTA4MzExMloXDTI5MDExMjA4
MzExMlowFDESMBAGA1UEAxMJaGFyYm9yLWNhMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEA34RNLkEvdHQDufGgZRJmL3Tki6IJyPnKQc0PdtIZvKYCSMut
wyiOeS/VEk/GNtEMet1+Vf6EbclnH0kR6aHl4t11S/9C1kSwRwm48lTkeDKk79Q8
4p/z8GfFW25BTLLcDE9BjdE71Zl4vKX3Spf9iFUWmKiSDi682xXC66/CUjGlyts3
AZOXpGUdmgOGKWNGQ0EBWThVo1krytj/6qKLt7sB08+/KzUSMX+k9Dl5G6yN/7Lt
rwmAPW3KqZY6ZqYvSb7Big/9xgCE2lO3C/rVOQIDAQABo0IwQDAOBgNVHQ8BAf8E
BAMCAqQwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMA8GA1UdEwEB/wQF
MAMBAf8wDQYJKoZIhvcNAQELBQADggEBAHoqJZDqAiMkcbO273n9GjWTXQgqBIkb
mBltkXU1oWa6wDrF/ZrTU25RUftDZ1QPYGsXRGpz/9pODcGDVDPK+45QH2Fjtldj
KOycOWIEdolFP6aDuqxiSaRrC6XjM9fyPSRSjS3kSHVQJ91c7PwD+9v1U6kwNkvh
CsfwerqerwerwsdfMr8eLvjpKitaHQLHkgqOIDquxV8dNIMSzvfGJw77lzhJ3ere
y+UgzIBpPLc8FpsuwjKmBnSDjOvj8OWGmJyTBM2KfDC1dk+ZXTsErpY=
-----END CERTIFICATE-----

取得凭证后,在每一台Docker Client加入以下凭证:

mkdir -p /etc/docker/certs.d/harbor.abcgogo.com/
cat <<EOF > /etc/docker/certs.d/harbor.abcgogo.com/ca.crt
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
EOF

修改完成后,重新启动docker.service:

systemctl daemon-reload
systemctl restart docker.service

更快捷高效的方法,使用for循环同步ca:

for host in `seq 11 14`;do
rsync -av /etc/docker/certs.d/harbor.abcgogo.com/ca.crt root@192.168.2.${host}:/etc/docker/certs.d/harbor.abcgogo.com/
ssh root@192.168.2.${host} "systemctl daemon-reload && systemctl restart docker.service"
done

通过命令行登录测试:

[root@master harbor-helm]# docker login harbor.abcgogo.com
Username: admin
Password: 
Login Succeeded

在kubernetes中使用harbor,为了避免输入账号密码,需要创建secret

以下操作在master上执行:
1)创建secret 

 kubectl create secret docker-registry harbor-secret --docker-server=harbor.abcgogo.com --docker-username=admin --docker-password=Harbor123

创建完成后,可以用以下命令查看:

 # kubectl get secret

推送镜像到harbor

[root@master harbor-helm]# docker tag tomcat harbor.abcgogo.com/aikerlinux/tomcat:latest
[root@master harbor-helm]# docker push harbor.abcgogo.com/aikerlinux/tomcat:latest
The push refers to a repository [harbor.abcgogo.com/aikerlinux/tomcat]

推送成功后,可以通过web查看
kubernetes之helm部署harbor
从harbor获取image

docker pull harbor.abcgogo.com/aikerlinux/tomcat:latest

转载于:https://blog.51cto.com/m51cto/2343153

weixin_34095889
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s上部署harbor并暴露访问
03-14
使用cfssl工具配置证书并在kubernetes部署harbor并暴露访问。
k8s-kubernetes-- helm部署应用
Gong_yz的博客
03-16 2005
续上节,使用helm部署实验ingress-nginx、metrics-server、storageclass、kubeapps等应用
Helmkubernetes上安装部署
Daniel_D的博客
09-12 4570
这里是不需要存在的目录Helmkubernetes上安装部署简介安装helm_2.13.1安装tiller总结还是要写的!!! Helmkubernetes上安装部署 简介 helmkubernetes的包管理工具,用于简化部署和管理 Kubernetes 应用。用来管理charts——预先配置好的安装包资源。 Helm和charts的主要作用: 应用程序封装 版本管理 依赖检查 便于应用...
helm部署harbor
最新发布
唯有热爱才能抵消一切
05-24 525
helm部署harbor
Kubernetes Helm部署
qq_43164571的博客
04-15 1229
认识Helm 每次我们要部署一个应用都需要写一个配置清单(维护一套yaml文件),但是每个环境又不一样。部署一套新的环境成本是真的很高。如果我们能够使用类似于yum的工具来安装我们的应用的话那就太好了。Helm就相当于kubernetes环境下的yum包管理工具。 Helm重要概念 chart:是helm的一个程序包。包含了创建Kubernetes的一个应用实例的必要信息 repository: charts仓库,http/https服务 config:包含了应用发布配置信息 release:是一个
kubernetes实践:helm安装harbor
wangpengtai的博客
07-09 1963
GitHub:Helm Chart for Harbor 1. 添加harbor的helm库 helm repo add harbor https://helm.goharbor.io 2. 将harbor下载到本地 helm fetch harbor/harbor tar xf harbor-1.1.1.tgz 3. 自定义配置 默认的values.yaml基本不需要多大改动,只有极个别的需...
kubernetes 1.142 部署.docx
01-19
kubernetes1.14 部署文档 包括 nfs持久化存储,nginx-ingress,helm,harbor本地仓库,可视化UI,prometheus监控
kubez-ansible:通过Ansible为kubernetes提供快速部署工具
03-25
环境维护CNI Flannel Calico显色指数docker containerd基本应用Helm3 Nginx Ingress Ceph provisioner Nfs provisioner Grafana Prometheus Kibana Fluentd Elasticsearch HPA Kubez-autoscaler插件应用Gerrit ...
harbor-helm:部署海港的掌舵图
05-12
先决条件Kubernetes集群1.18+ 头盔2.10.0+安装添加头盔存储库helm repo add harbor https://helm.goharbor.io配置图表可以在安装过程中通过--set标志设置以下各项,也可以通过直接编辑values.yaml配置(需要先下载...
kubeapps-plus:KubeApps 应用商店的定制版本,通过 Web UI 方式在 Kubernetes 集群中部署和管理基于 Helm Chart 的应用程序
04-15
KubeApps Plus 是 的定制版本,基于 Web UI 界面在 Kubernetes 集群中部署和管理基于 Helm Chart 的应用程序。 是由 发布的 Kubernetes 应用商店,KubeApps Plus 当前的主要定制包括前端重写、中文支持和纯离线支持...
Kubernetes 基于 helm 安装 harbor
IT
08-12 5484
所以可以简单的增加 Pod 的副本,确保组件分布到多个 Worker 节点,并利用 K8S 的 Service 机制来保证 Pod 之间的连通性。部署harbor仓库,ingress-nginx使用nodeport方式暴露自身,需要在externalURL中配置其 NodePort 端口号。浏览器访问harbor,使用节点IP+nodePort方式访问,使用默认用户名密码。复制ca.crt到docker客户端所在机器。复制ca.crt到docker客户端所在机器。推送镜像到harbor仓库。...
k8s中helm的使用
qq_29860591的博客
01-06 2532
什么是 Helm在没使用 helm 之前,向 kubernetes 部署应用,我们要依次部署 deployment、svc 等,步骤较繁琐。况且随着很多项目微服务化,复杂的应用在容器中部署以及管理显得较为复杂,helm 通过打包的方式,支持发布的版本管理和控制,很大程度上简化了 Kubernetes 应用的部署和管理Helm 本质就是让 K8s 的应用管理(Deployment,Serv...
关于harbor私有仓库忘记登录密码
小啊宇的博客
12-01 2436
第一种方法 寻找harbor.cfg文件里面有设置默认账户admin的登录密码 [root@ ~]# find / -type f -name harbor.cfg /root/package/harbor/harbor.cfg 进入文件 查找关键字 vim /root/package/harbor/harbor.cfg 按Esc 输入/harbor_admin_password 回车就找到了密码 尝试登录Harbor 如果登录失败 可能是后期更改过密码 尝试方法二 第二种方法 找到存放密码的
Helm部署Harbor
风向决定发型丶的博客
12-28 4489
文章中用到的harbor存储是hostpath,根据harbor官网提示,需要提前创建pv和pvc,既然选择了hostpath,那么就需要将pod固定到某一个node上面,本文所有的资源副本都是1,harbor的所有pod放在同一个namespace,并且需要将namespace固定到某个node上,具体步骤见正文。
如何利用HelmKubernetes上快速部署Cloud Foundry?
Docker的专栏
10-12 1296
Cloud Foundry是业界领先的PaaS云平台,可以为应用提供高可用的运行平台,现在很多运行商都在使用Cloud Foundry为用户提供应用服务,如IBM、AWS等。自Cloud Foundry面世以来便一直使用BOSH来创建和更新生产服务。BOSH是一条开源工具链,用于对大规模分布式服务进行发行版工程处理、部署和生命周期管理。它包含一个云提供商接口(CPI),如VMWare,通过调用CP
helm部署kubernetes-dashboard(1.10.1)
wnfff的博客
12-12 2633
helm部署kubernetes-dashboard一. helm部署kubernetes-dashboard1.1 下载kubernetes-dashboard chart包1.2 自定义配置文件2.3 安装kubernetes-dashboard2.4 更新2.5 查看token2.6 登录二. helm部署metrics-server(推荐)2.1 下载metrics-server char...
helm搭建K8S系列三:Helm部署详细教程(含代码)
StarOS_Test的博客
10-27 6087
前言 也许在未来,应用研发人员只需要关注应用研发即可,底层的Docker、K8S技术并不需要应用研发人员去掌握,底层IT与研发平台将是完全隔离的。 比如我所知道的,新型的云原生研发工具StarOS,完全隔离底层IT,编程环境信手拈来,资源也无需申请,全SAAS化。 目前是迭代阶段,纯免费,有需要的朋友们,可以去体验一下。 也许未来的招聘要求,是研发人员需要掌握新型研发工具的使用。 接上一篇,继续来看Helm搭建K8S的详细教程。 helm搭建K8S步骤三、给 Tiller 授权 因为.
kubernetes实战(十二):k8s使用helm持久化部署redmine集成openLDAP
weixin_30876945的博客
11-27 287
1、基本概念   此次安装的有Jenkins、Gitlab、Redmine,我公司目前使用的是独立于k8s集群之外单独部署的Jenkins等服务,此文章会介绍三种服务基于k8s的部署方式,之后集成之前部署的openLDAP实现统一认证。之后将进行简单持续集成持续部署的演示,最后再结合我公司的项目进行实战操作,应付出现的各种使用场景。 2、使用Helm安装redmine [root@...
如何在k8s中部署harbor
05-25
Kubernetes部署 Harbor 可以使用 Helm Chart 来简化部署过程。以下步骤提供了一个基本的指南: 1. 首先需要安装 Helm 工具。可以参考官方文档进行安装:https://helm.sh/docs/intro/install/ 2. 下载 Harbor...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值