在Kubernetes集群中使用helm部署harbor

已于 2022-06-08 17:18:53 修改
阅读量3.3k 收藏 3
点赞数 1
分类专栏: Kubernetes 文章标签: harbor Kubernetes helm ingress harbor 500
于 2021-11-22 11:03:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiazichenxi/article/details/121467247
版权

文章目录

参考

  • https://github.com/bitnami/charts/tree/master/bitnami/harbor/#installing-the-chart

环境

CentOS Stream release 8
helm version v3.7.0
harbor 2.4.0
harbor chart 11.1.0 
Kubernetes v1.22.3

省略的前置部署

  • Kubernetes集群(使用containerd)
  • 分布式存储 GlusterFS+Heketi
  • nginx-ingress-controller

部署

# 添加bitnami源
helm repo add bitnami https://charts.bitnami.com/bitnami

# 下载chart,解压
helm pull bitnami/harbor
tar -zxvf harbor-11.1.0.tgz

# 拷贝tls证书
# 解压chart后在harbor/cert目录下有自带的自签名证书,对应虚构的域名core.harbor.domain
# 使用自己的域名k8s-harbor.xxx.com证书进行替换
cp k8s-harbor.xxx.com.pem harbor/cert/tls.crt
cp k8s-harbor.xxx.com.key harbor/cert/tls.key

# debug看看配置与自己的环境是否匹配,是否需要修改
helm install harbor ./harbor --dry-run|more

# 需要调整修改的部分
1. PVC需要指定storageClassName,要与自己本地的StorageClass匹配,本地部署的GlusterFS集群
2. PVC请求的存储空间大小大小自定义
3. Service类型由LoadBalancer改为ClusterIP

# 通过指定参数进行调整
helm install harbor ./harbor --dry-run --set \
global.storageClass="glusterfs-heketi",\ # glusterfs-heketi为本地的storageClassName
externalURL="https://k8s-harbor.xxx.com",\ # 由https://core.harbor.domain修改为实际使用的域名
service.type="ClusterIP",\ # Service类型由LoadBalancer改为ClusterIP
service.tls.commonName="k8s-harbor.xxx.com",\ # 不指定时,默认会自动生成对应域名core.harbor.domain的自签名证书,此处修改为自己实际使用的域名
persistence.persistentVolumeClaim.registry.size="1Gi",\ #自定义存储空间大小
persistence.persistentVolumeClaim.jobservice.size="200Mi",\ #自定义存储空间大小
persistence.persistentVolumeClaim.chartmuseum.size="1Gi",\ #自定义存储空间大小
persistence.persistentVolumeClaim.trivy.size="1Gi"

# 各项配置确认OK后,进行安装
helm install harbor ./harbor --set \
global.storageClass="glusterfs-heketi",\
externalURL="https://k8s-harbor.xxx.com",\
service.type="ClusterIP",\
service.tls.commonName="k8s-harbor.xxx.com",\
persistence.persistentVolumeClaim.registry.size="1Gi",\
persistence.persistentVolumeClaim.jobservice.size="200Mi",\
persistence.persistentVolumeClaim.chartmuseum.size="1Gi",\
persistence.persistentVolumeClaim.trivy.size="1Gi"

Ingress暴露服务

  • 创建k8s-harbor.xxx.com证书对应的secert
kubectl create secret tls xxx --key k8s-harbor.xxx.com.key --cert k8s-harbor.xxx.com.pem -n default # secret名称xxx自己定义
  • ingress策略
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress-nginx-harbor
  annotations:
# 此注解指定nginx连接后端服务也使用HTTPS,不配置默认就是HTTP
# 将nginx对body的限制调大,否则过大的镜像无法上传到harbor,报413错误
    nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"
    nginx.ingress.kubernetes.io/proxy-body-size: 900m
spec:
  ingressClassName: nginx
  rules:
  - host: k8s-harbor.xxx.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: harbor
            port: 
              number: 443
  tls:
  - hosts:
    - k8s-harbor.xxx.com
    secretName: xxx

验证

查看pod状态

在这里插入图片描述

# 查找admin默认密码
kubectl get secret/harbor-core-envvars -o jsonpath='{.data.HARBOR_ADMIN_PASSWORD}'|base64 --decode

web登录

在这里插入图片描述

docker登录

# 拷贝证书
mkdir -p /etc/docker/certs.d/k8s-harbor.xxx.com
cp k8s-harbor.xxx.com.pem /etc/docker/certs.d/k8s-harbor.xxx.com/tls.crt
cp k8s-harbor.xxx.com.pem /etc/docker/certs.d/k8s-harbor.xxx.com/tls.cert
cp k8s-harbor.xxx.com.key /etc/docker/certs.d/k8s-harbor.xxx.com/tls.key

systemctl restart docker

在这里插入图片描述

containerd下载镜像

# containerd部分配置

    [plugins."io.containerd.grpc.v1.cri".registry]
      [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
          endpoint = ["https://registry-1.docker.io"]
        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."k8s-harbor.xxx.com"]
          endpoint = ["https://k8s-harbor.xxx.com"]
      [plugins."io.containerd.grpc.v1.cri".registry.configs]
        [plugins."io.containerd.grpc.v1.cri".registry.configs."k8s-harbor.xxx.com".auth]
          username = "admin"
          password = "xxx"

# 想要跳过tls就加上
        [plugins."io.containerd.grpc.v1.cri".registry.configs."k8s-harbor.xxx".tls]
          insecure_skip_verify = true

异常处理

docker登录时报错:
连接到core.harbor.domain

解决办法:
externalURL="https://k8s-harbor.xxx.com"修改为自己实际的域名

docker登录时报错:
Error response from daemon: Get https://k8s-harbor.xxx.com/v2/: received unexpected HTTP status: 500 Internal Server Error

查harbor-core日志:
[DEBUG] [/server/middleware/log/log.go:30]: attach request id 5c203603a23d0759bce912920b074044 to the logger for the request GET /service/token
[DEBUG] [/server/middleware/artifactinfo/artifact_info.go:53]: In artifact info middleware, url: /service/token?account=admin&client_id=docker&offline_token=true&service=harbor-registry
[DEBUG] [/core/auth/authenticator.go:145]: Current AUTH_MODE is db_auth
[DEBUG] [/server/middleware/security/basic_auth.go:47][requestID="5c203603a23d0759bce912920b074044"]: a basic auth security context generated for request GET /service/token
[DEBUG] [/core/service/token/token.go:36]: URL for token request: /service/token?account=admin&client_id=docker&offline_token=true&service=harbor-registry
[DEBUG] [/core/service/token/creator.go:230]: scopes: []
[DEBUG] [/core/service/token/authutils.go:50]: scopes: []
[ERROR] [/core/service/token/token.go:49]: Unexpected error when creating the token, error: unable to find PEM encoded data

解决办法:
请求时token创建失败,无法使用PEM编码数据,这是证书问题
建议最好使用正规CA证书,证书放入chart的cert目录下,同时docker客户端也要配置证书

docker登录时报错:
Error response from daemon: Missing client certificate tls.cert for key tls.key

解决办法:
缺少tls.cert
cp k8s-harbor.xxx.com.pem /etc/docker/certs.d/k8s-harbor.xxx.com/tls.cert

docker push报错:
error parsing HTTP 413 response body: invalid character '<' looking for beginning of value: "<html>\r\n<head><title>413 Request Entity Too Large</title></head>\r\n<body>\r\n<center><h1>413 Request Entity Too Large</h1></center>\r\n<hr><center>nginx</center>\r\n</body>\r\n</html>\r\n"

解决办法:
413错误一般是nginx限制了client body大小
查harbor nginx服务的配置:harbor/templates/nginx/configmap-https.yaml没做任何限制
        # disable any limits to avoid http 413 for large image uploads
        client_max_body_size 0;

那限制应该是在ingress侧
ingress策略添加以下注解,然后重新创建ingress即可
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress-nginx-harbor
  annotations:
    nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"
    nginx.ingress.kubernetes.io/proxy-body-size: 900m
_Leo
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
skywalking-kubernetes:Apache SkyWalking Kubernetes部署Helm Chart
02-03
skywalking-kubernetes:Apache SkyWalking Kubernetes部署Helm Chart
Containerd对接Harbor拉取与上传镜像
m0_47116305的博客
06-28 5458
Containerd对接Harbor拉取与上传镜像
containerd文翻译系列(九)主机
02-07 711
云原生大火之下,仍没有发现containerd文文档,所以开始动手翻译一下。欢迎不吝指正。此为第九篇,主要介绍镜像主机配置详情。
helm部署harbor
qq_35573061的博客
02-28 318
1、简介Harbor 是一个开放源代码容器镜像注册表,可通过基于角色权限的访问控制来管理镜像,还能扫描镜像的漏洞并将映像签名为受信任。Harbor 是 CNCF 孵化项目,可提供合规性,性能和互操作性,以帮助跨 Kubernetes 和 Docker 等云原生计算平台持续,安全地管理镜像。2、特性管理:多租户、可扩展安全:安全和漏洞分析、内容签名与验证。
bitnami-docker-harbor-core:用于Harbor Core的Bitnami Docker映像
02-23
什么是Harbor Core? Harbor Core是Harbor的主要组件之一,Harbour是一个云本地注册表,用于存储,签名和扫描内容。 它包括令牌和Webhook管理等核心功能。 TL; DR $ curl -LO https://raw.githubusercontent.com/bitnami/bitnami-docker-harbor-portal/master/docker-compose.yml $ curl -L https://github.com/bitnami/bitnami-docker-harbor-portal/archive/master.tar.gz | tar xz --strip=1 --wildcards ' *-master/config ' $ docker-compose up 请注意,我们正在从Harbor Portal组件存
docker-harbor
jackiosNeal的博客
09-24 62
Harbor Harbor主要功能 (1)基于角色访问的控制(RBAC) 在企业,通常有不同的开发团队负责不同的额项目,镜像像代码一样,每个人角色不同需求也不同,因此就需要访问权限控制,根据角色分配相应的权限。 例如,开发人员需要对项目构建就用到读写权限(push/pull)测试人员只需要读权限(pull) ,运维人员需要管理镜像仓库,具备分配能力,项目经理具有所有权限 (2)镜像复制 可以将仓库的景象同步到远程的Harbor,类似M...
跳过安全认证
wangqiaowq的博客
08-09 115
151 insecure_skip_verify = true # 是否跳过安全认证。
程序员都在学的docker--搭建harbor私有仓库与管理
kimowinter的博客
09-27 1197
文章目录一、 harbor概述1.1 harbor的特性1.2 Harbor.cfg 配置文件解析二、 部署Harbor私有仓库实验目的实验环境 一、 harbor概述 Harbor是VMware公司的开源级的企业级DockerRegistry(仓库)项目,项目地址为 https://github.com/vmware/harbor. Harbor的目标是帮助用户迅速搭建一个企业级的DockerRegistry服务。 Harbor以docker公司开源的registry为基础,提供了管理UI,基于角色的访问
在k8s使用Helm安装harbor并将Chart推送到私有仓库harbor
weixin_44681307的博客
12-22 799
注意,harbor从2.8.0开始已经不支持chartmuseum了,而是改为了OCI ,鉴于新版本不太成熟和使用人太少,所以当前,我们安装2.6.2版本。注意:如果你的harbor是之前docker-compose安装的,还需要额外做一个动作,让它支持chart。Harbor的chartmuseum可以让Helm直接将chart包推送到harbor里,但是。1)下载harbor的chart包。2)修改默认values.yaml。到harbor浏览器后台。检查plugins列表。升级本地release。
[Harbor] Kubernetes对接Harbor私有镜像仓库 (运行时: containerd)
Greyplayground
10-25 1702
ingress-nginx的拉起为例,演示K8S和Harbor的对接
关于arrch64环境下bitnami/harbor-portal的安装部署
feishahui的专栏
04-14 503
2.下载bitnami/harbor-portal基础镜像,并。1.在arrch64环境下安装docker服务(略)4.处理docker-compse.yml文件。5.配置bitnami-nginx的https。7.配置bitnami-registry文件夹。3.解压缩,创建配置挂在卷的文件。6.自行制作ssl文件。
bitnami-docker-harbor-clair:用于Harbor Clair的Bitnami Docker映像
04-05
什么是海港克莱尔? Harbor Clair是Harbor的可选组件,Harbour是一个云本地注册表,用于存储,签名和扫描内容。 将Clair添加到Harbor部署使用户能够在其Docker映像上运行漏洞扫描。 Clair是一个开源项目,用于静态分析应用程序容器的漏洞 TL; DR 该容器是一部分,主要用于Kubernetes。 您可以部署Harbor解决方案,然后使用以下命令启用此特定容器: $ curl -LO https://raw.githubusercontent.com/bitnami/bitnami-docker-harbor-portal/master/docker-compose.yml $ curl -L https://github.com/bitnami/bitnami-docker-harbor-portal/archive/master.tar.
bitnami-docker-harbor-jobservice:用于Harbor Jobservice的Bitnami Docker映像
02-22
什么是港口工作服务? Harbor Job Service是Harbor的主要组件之一,Harbour是一个云本地注册表,用于存储,签名和扫描内容。 它们用于图像复制。 TL; DR $ curl -LO https://raw.githubusercontent.com/bitnami/bitnami-docker-harbor-portal/master/docker-compose.yml $ curl -L https://github.com/bitnami/bitnami-docker-harbor-portal/archive/master.tar.gz | tar xz --strip=1 --wildcards ' *-master/config ' $ docker-compose up 请注意,我们正在从Harbor Portal组件存储库下载docker
krakend-helm:在kubernetes集群部署krakend的头盔图表
05-10
kubernetes集群部署krakend的头盔图表 安装api-gateway系统 TL; DR; $ helm install krakend-helm 安装图表 要使用发布名称my-release安装图表: $ helm install --name my-release krakend-helm 卸载图表 要...
kubernetes-in-kubernetes:使用HelmKubernetes部署Kubernetes
05-15
使用HelmKubernetes部署Kubernetes 要求 Kubernetes v1.15 + 头盔v3 证书管理器v1.0.0 + 快速开始 准备 安装 。 如果您在运行,可能还需要安装,例如,可以使用 。 安装 helm repo add kvaps ...
kubernetes-charts:Helm Charts在Kubernetes部署Django应用
05-28
对于部署,还需要Helm的服务器部分Tiller (它与远程Kubernetes集群通信)。 要将其安装到集群,只需运行: helm init 在Helm 2更新之后,进行了一些更改,导致对该存储库的Helm软件包生成过程进行了更改,并...
helm部署应用到k8s集群(helm+k8s)——详细文档
06-21
helm部署应用到k8s集群(helm+k8s)——详细文档
node-v9.6.0-x86.msi
最新发布
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
kubernetes的helm对象如何使用
06-09
Kubernetes,Helm是一个开源的包管理工具,用于管理和部署Kubernetes应用程序。Helm使用Chart来打包和分发Kubernetes应用程序,并提供了一组命令行工具和API,可以方便地安装、升级和卸载应用程序。 下面是使用Helm对象的一些常见步骤: 1. 安装Helm使用Helm之前,需要先安装Helm客户端。可以从Helm官方网站下载适用于本地操作系统的Helm客户端,并按照官方文档进行安装。 2. 创建Chart 使用Helm创建Chart,可以将Kubernetes应用程序打包为一个Chart文件,方便分发和部署。Chart文件包括应用程序的配置、依赖关系和部署模板等信息。 3. 部署Chart 使用Helm部署Chart可以将Chart文件定义的Kubernetes应用程序部署Kubernetes集群。可以使用Helm的命令行工具或API进行部署,并可以指定应用程序的各种配置参数。 4. 升级和卸载应用程序 使用Helm可以方便地升级和卸载应用程序。在应用程序更新时,可以使用Helm更新Chart文件并重新部署应用程序。在应用程序不再需要时,可以使用Helm卸载应用程序并删除相关资源。 总之,使用Helm可以简化Kubernetes应用程序的部署和管理过程,提高效率和可靠性。建议在实际应用结合官方文档和实践经验,深入了解和使用Helm对象。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值