当前位置:网站首页>Cloud Native (36) | Introduction et installation de Harbor à kubernets

Cloud Native (36) | Introduction et installation de Harbor à kubernets

2022-07-20 13:34:00 Lansonli

Catalogue des articles

HarborDémarrer et installer

Un.、Introduction

1、Introduction

2、Composants de base

3、Installation

2.、dockerUtiliser

1、Configuration de base

2、Agent miroir

HarborDémarrer et installer

Un.、Introduction

1、Introduction

HarborIl est utilisé pour le stockage et la distributionDockerMiroir de classe entrepriseRegistryServeur.

En tant qu'entreprise privée Registry Serveur,Harbor Amélioration des performances et de la sécurité.Améliorer l'utilisation par les utilisateurs Registry Efficacité de la construction et de l'exécution du miroir de transfert d'environnement.Harbor Prise en charge de l'installation sur plusieurs Registry Copie de l'actif miroir du noeud,Le miroir est entièrement privé Registry Moyenne, Veiller à ce que les données et la propriété intellectuelle soient contrôlées sur le réseau interne de l'entreprise.En plus,Harbor Fournit également des caractéristiques de sécurité avancées,Comme la gestion des utilisateurs,Contrôle d'accès et vérification des activités, etc..

  • Contrôle d'accès fondé sur les rôles - Utilisateurs et Docker L'entrepôt miroir passe par“Projets”Gérer l'Organisation,Un utilisateur peut avoir plusieurs entrepôts miroirs dans le même espace de noms(project)Il y a différentes permissions.
  • Copie miroir - Les miroirs peuvent être Registry Copie dans l'Instance(Synchroniser).Idéal pour l'équilibrage des charges,Haute disponibilité,Mélange de nuages et de scènes nuageuses.
  • Interface utilisateur graphique - Les utilisateurs peuvent naviguer à travers le Navigateur,Récupérer le courant Docker Entrepôt miroir,Gérer les projets et les espaces de noms.
  • AD/LDAP Soutien - Harbor Peut intégrer ce qui existe déjà au sein de l'entreprise AD/LDAP,Pour la gestion de l'authentification.
  • Gestion des audits - Toutes les opérations sur l'entrepôt miroir peuvent être enregistrées et retracées,Pour la gestion des audits.
  • Internationalisation - J'ai déjà l'anglais、En chinois、Devon.、Versions localisées en japonais et en russe.Plus de langues seront ajoutées.
  • RESTful API - RESTful API Fourni à l'Administrateur pour Harbor Plus de contrôle, Faciliter l'intégration avec d'autres logiciels de gestion.
  • Déploiement simple - Deux outils d'installation sont disponibles en ligne et hors ligne, Peut également être installé sur vSphere Plate - forme(OVA Comment)Appareils virtuels.

2、Composants de base

  • Nginx(Proxy):Pour agentHarborDeregistry,UI, tokenAutres services

  • db:Responsable du stockage des permissions de l'utilisateur、Journal de vérification、DockerimageDonnées telles que les informations de regroupement.

  • UI:Fournir une interface graphique,Aide à la gestion des utilisateursregistryMiroir sur, Et d'autoriser les utilisateurs

  • jobsevice: Responsable de la copie miroir ,Lui etregistryCommunications,D'unregistry pullMiroir etpushVers l'autreregistry,Et enregistrerjob_log

  • Adminserver:Est le Centre de gestion de la configuration du système avec contrôle de la quantité de stockage,uiEtjobserverLe retour doit être chargé au démarrageadminserverConfiguration de.

  • Registry:OriginaldockerEntrepôt miroir,Responsable du stockage des fichiers miroirs.

  • Log:Pour aider à surveillerHarborExécution,Responsable de la collecte des autres composantslog,EnregistrésyslogMoyenne

 

3、Installation

3.1、helmTéléchargercharts

helm repo add harbor https://helm.goharbor.io
helm pull harbor/harbor

3.2、Configuration personnalisée

3.2.1、TLSCertificat

$ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ${KEY_FILE:tls.key} -out ${CERT_FILE:tls.cert} -subj "/CN=${HOST:lanson.com}/O=${HOST:lanson.com}"

kubectl create secret tls ${CERT_NAME:lanson-tls} --key ${KEY_FILE:tls.key} --cert ${CERT_FILE:tls.cert}


## Voici un exemple de commande
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=*.lanson.com/O=*.lanson.com"

kubectl create secret tls harbor.lanson.com --key tls.key --cert tls.crt -n devops

Le certificat original était lanson.com Nom de domaine

Maintenant, c'estharbor.lanson.com Nom de domaine.

Créer un seul  

 

3.2.2、values-overrides.yamlConfiguration

Configuration des anciennes versions;Utilisez votre propre certificat. Votre propre certificat doit être compatible avec harbor Les composants sont gênants 

expose:
  type: ingress
  tls:
    certSource: "secret"
    secret:
      secretName: "harbor.lanson.com"
      notarySecretName: "harbor.lanson.com"
  ingress:
    hosts:
      core: harbor.lanson.com
      notary: notary-harbor.lanson.com
externalURL: https://harbor.lanson.com
internalTLS:
  enabled: true
  certSource: "secret"   #
  core:
    secretName: "harbor.lanson.com"
  jobservice:
    secretName: "harbor.lanson.com"
  registry:
    secretName: "harbor.lanson.com"
  portal:
    secretName: "harbor.lanson.com"
  chartmuseum:
    secretName: "harbor.lanson.com"
  trivy:
    secretName: "harbor.lanson.com"
persistence:
  enabled: true
  resourcePolicy: "keep"
  persistentVolumeClaim:
    registry:  #  Le miroir 
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 5Gi
    chartmuseum: #DépôthelmDechart
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 5Gi
    jobservice: #
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 1Gi
    database: #Base de données  pgsql
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 1Gi
    redis: #
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 1Gi
    trivy: # Analyse de vulnérabilité
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 5Gi
metrics:
  enabled: true

  • Nouvelle configuration de version,harbor Certificat par défaut pour les composants internes .ingress Vous devez utiliser votre propre certificat

  • Vos propres informations de certificat pour chaque namespaceConfigurer le même

expose:  #web Certificat pour l'accès au navigateur 
  type: ingress
  tls:
    certSource: "secret"
    secret:
      secretName: "harbor.lanson.com"
      notarySecretName: "harbor.lanson.com"
  ingress:
    hosts:
      core: harbor.lanson.com
      notary: notary-harbor.lanson.com
externalURL: https://harbor.lanson.com
internalTLS:  #harbor Certificats pour les composants internes 
  enabled: true
  certSource: "auto"
persistence:
  enabled: true
  resourcePolicy: "keep"
  persistentVolumeClaim:
    registry:  #  Le miroir 
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 5Gi
    chartmuseum: #DépôthelmDechart
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 5Gi
    jobservice: #
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 1Gi
    database: #Base de données  pgsql
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 1Gi
    redis: #
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 1Gi
    trivy: # Analyse de vulnérabilité
      storageClass: "rook-ceph-block"
      accessMode: ReadWriteOnce
      size: 5Gi
metrics:
  enabled: true

3.2.3、Installation

 #Attention!, Parce que le profil utilise secret, Alors créez - le à l'avance dans cet espace de noms 
 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.cert -subj "/CN=*.lanson.com/O=*.lanson.com"
kubectl create secret tls lanson.com --key tls.key --cert tls.cert -n devops

 helm install itharbor ./ -f values.yaml -f override.yaml  -n devops

3.2.4、Désinstaller

#Désinstaller
helm uninstall itharbor -n devops

2.、dockerUtiliser

1、Configuration de base

1.1、UtiliserhttpsMode d'accès

Parce queharborUtiliséhttps.Besoindocker Fais confiance à ça https;

# Prends ça.xx.certDocumentation Copier vers  /etc/docker/certs.d/harbor.lanson.com/tls.crt

Dans les nuagesNom de domaine personnaliséComme suit::

1、 Configurer pour chaque hôte /etc/hostsDocumentation. L'adresse du nom de domaine peut être spécifiée comme Réseau publicipOuingress Où se trouve le noeud ip

2、In /etc/docker/certs.d/ Préparez le dossier des noms de domaine ci - dessous ( Contient un numéro de port non par défaut ), Et mettre le nom de domaine cert/crtCopier le fichier dans. Et modifier le nom du fichier xxx.crt,Je ne peux pas.certDocumentation

​​​​​​​3、Configuration recommandée ingress Où se trouve le noeud ip . De cette façon, nous utilisons des noms de domaine pour ingressNoeud.ingressNodenginx J'ai écouté ce nom de domaine , Est transmis au service désigné

 

1.2、Non utiliséhttpsAccès à

#ModifierdockerProfil
{"insecure-registries":["https://test.com","192.168.1.13","Plus...."]}

 

2、Agent miroir

# Tirez!dockerMiroir officiel.Et les mettre en cache.harbor.lanson.com/ Nom de l'entrepôt / + /library + /Nom du miroir:Version
docker pull harbor.lanson.com/harbor-hub/library/busybox:latest
# Tiers. En utilisant le nom complet du tiers  harbor.lanson.com/objs + Tiers
docker pull harbor.lanson.com/objs/redislabs/redis

 

  • Page d'accueil du blog:https://lansonli.blog.csdn.net
  • Bienvenue à la fête Collection Laissez un message Veuillez corriger toute erreur!
  • Cet article est rédigé par Lansonli Original,Premier départ CSDNBlogs
  • N'oubliez pas que les autres courent encore,J'espère que tout le monde prendra le temps d'étudier,Pour une vie meilleure 
原网站

版权声明
本文为[Lansonli]所创,转载请带上原文链接,感谢
https://yzsam.com/2022/201/202207190954513122.html

边栏推荐

猜你喜欢

随机推荐