rancher2使用helm部署harbor,搭建私有镜像/helm仓库并解决证书x509问题

已于 2023-08-14 11:46:28 修改
阅读量1.7k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 运维 文章标签: 服务器 linux 运维 rancher k8s docker
于 2023-07-31 18:05:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DongGeGe214/article/details/132024556

接上一篇《rancher2安装nfs-subdir-external-provisioner为PVC/PV动态提供存储空间(动态分配卷)》
本篇开始讲如何在rancher2中部署harbor,来搭建一个私有的镜像/helm仓库。

一、安装harbor服务

1. 在目标集群中添加命名空间

在这里插入图片描述
在这里插入图片描述

2. 将提供harbor的chart仓库添加进rancher中

添加chart仓库的详细步骤可参考上篇文章二的1-5步,将如下的chart仓库信息替换进去即可:
名称:harbor
Index URL:https://helm.goharbor.io
3. 安装harbor
在这里插入图片描述
在这里插入图片描述

将values的三处域名,改为你的实际域名,如下图所示:
在这里插入图片描述
至此,harbor服务在rancher中的安装运行就搞定了。

二、 配置rancher,使其能够访问harbor提供的chart服务

1. 将harbor提供的chart服务地址加入到rancher的chart仓库中

添加chart仓库的详细步骤可参考上篇文章二的1-5步。
下面的名称根据实际需要命名,然后index URL中的harbor.your_domain.com换成你的实际域名
名称:your_chart_repo
Index URL:https://harbor.your_domain.com/chartrepo/library
完成添加后,会看到该操作报错
在这里插入图片描述

2. 解决证书错误x509: certificate signed by unknown authority

参考:https://ranchermanager.docs.rancher.com/zh/v2.5/pages-for-subheaders/helm-charts-in-rancher#repositories
这一步需要做的操作有点多,需要用到linux命令行,请心细阅读
(1). 回到集群界面,找到harbor服务安装时创建的证书
在这里插入图片描述

在这里插入图片描述
(2). 拷贝ca.crt的值,用Base64解码
这里推荐个在线base64解码的网站,也可以用其他网站
https://tools.fun/base64.html
在这里插入图片描述
(3). 将解码后的内容写入到ca.pem(也可是其他文件名)文件中,然后用命令openssl x509 -outform der -in ca.pem | base64 -w0生成rancher所需的DER格式的值
在这里插入图片描述
(4). 拷贝上步的输出,贴入到报错的chart仓库中
在chart仓库中,找到目标,从最右边的三个点按钮中选择编辑yaml,把值贴到caBundle
在这里插入图片描述
再查看该仓库,可发现证书错误解决,但又提示新的错误no API version specified,这个原因是harbor服务需要填写账号密码

3. 接下来解决harbor认证问题

默认管理员账号/密码为:admin/Harbor12345
在这里插入图片描述

三、 使宿主机上的docker能与rancher中的harbor服务交互

1. k8s节点的所有机器修改/etc/hosts,增加自定义域名解析

# vim /etc/hosts
172.20.29.1 harbor.your_domain.com

2. 将二.2.(2)中解码后的证书内容添加到主机的信任证书列表里

任选下面两个方案中的一个即可
(1). 方案一:可以添加到/etc/ssl/certs/ca-bundle.crt
下面是命令行追加内容示例,将xxx替换为你的实际证书内容,也可用vim等编辑器实现

# cat >> /etc/ssl/certs/ca-bundle.crt <</EOF
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxx
-----END CERTIFICATE-----
EOF

(2). 方案二:也可以添加到docker的证书目录里/etc/docker/certs.d/harbor.your_domain.com/ca.crt
harbor.your_domain.com目录是不存在的,创建即可

# mkdir /etc/docker/certs.d/harbor.your_domain.com
# cat >> /etc/docker/certs.d/harbor.your_domain.com/ca.crt <</EOF
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxx
-----END CERTIFICATE-----
EOF

3. 重启docker服务

# systemctl docker restart

4. 登录harbor

# docker login harbor.your_domain.com
username: admin
password:
  1. 打一个镜像,推送到harbor,测试是否成功
# docker tag your_image:tag harbor.your_domain.com/library/your_image:tag
# docker push harbor.your_domain.com/library/your_image:tag
Helm 私有仓库搭建
叱咤少帅的博客
12-06 1015
Helm 私有仓库搭建
Rancher - 使用Helm安装Harbor
TechInk的博客
09-17 300
Rancher界面中,转到"Tools" > “Catalogs”,然后点击"Add Catalog"按钮创建一个新的目录。在Rancher界面中,转到"Cluster Explorer" > “Default”,然后点击"Add Namespace"按钮创建一个新的命名空间。在Rancher界面中,转到"Cluster Explorer" > “Default”,然后点击"Apps" > "Launch"按钮启动安装向导。在配置页面,您可以根据需要修改Harbor的配置。点击"Next"按钮继续。
搭建rancher-harbor
weixin_44314459的博客
02-28 1249
rancher-harbor
Rancher/k3d 镜像仓库使用完全指南
最新发布
gitblog_00282的博客
06-07 417
Rancher/k3d 镜像仓库使用完全指南 前言:理解镜像仓库在容器生态中的重要性 在容器化技术中,镜像仓库(Registry)扮演着至关重要的角色,它是存储和分发容器镜像的核心组件。本文将深入探讨如何在Rancher/k3d环境中高效使用各类镜像仓库,包括本地仓库、认证仓库和安全仓库等场景。 镜像仓库配置文件详解 基础配置格式 k3d使用标准的k3s镜像仓库配置文件格式,通常命名为regist...
私有helm 仓库搭建
cnzzs的博客
08-26 579
安装 helm登录后复制 https://helm.sh/zh/docs/intro/install/ $ curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 $ chmod 700 g...
k8s笔记7.2--搭建私有helm仓库
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
06-24 6051
k8s笔记7--搭建私有helm仓库1 安装基础软件2 搭建helm私有仓库3 chart 更新发布和案例3.1 更新发布3.2 helm 案例发布一个busybox chart4 常见操作和问题4.1 常见操作4.2 常见问题5 说明 1 安装基础软件 拉取 nginx 镜像用于提供helm仓库的http服务 下载最新版本 helm-v3.6.1解压helm安装包,在 ~/.bashrc 添加环境变量即可 PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/u
Rancher(v2.6.3)——Rancher配置Harbor镜像仓库
不积跬步无以至千里
03-26 1226
ps:如果觉得作者写的还行,能够满足您的需求,请给作者的开源项目start。如果觉得文章存在问题,请提Issues来完善和改进不足的地方。
kubernetes+rancher+docker+helm+harbor搭建云平台服务思路小结
夏季版
08-06 996
1 架构 介绍一下架构中的每个组件的作用吧 1、Jenkins 自动化工具 2、gitlab 存储代码 3、docker 镜像:相当于一个携带了运行环境的安装包 容器:运行启动的镜像,就是一个容器 4、harbor 私有镜像仓库,用来存储镜像docker仓库的企业版(https://hub.docker.com/) 5、k8s集群 容器,就是进程;容器镜像“.exe”安装包。Kubernetes 就是操作系统!所以k8s集群可以简单理解为多个操作系统,就是用来运行容器的!只是k8s额外提供了很多其他
Rancher入门到精通-Rancher2.0 从Harbor私有仓库拉取镜像-(方法1)
隔壁老瓦的专栏
08-06 4829
引言   前一篇文章详细描述了如何使用rancher搭建Kubernetes高可用集群,集群搭建好了后,我们就需要开始部署应用了,那么如何从私有镜像仓库拉取镜像呢? 原理   Harbor使用了基于角色的访问控制策略,正常情况下我们从Harbor中拉去镜像的时候,首先要配置docker daemon,配置方法可以参考这篇文章,docker daemo配置中–insecure-registry...
Rancher入门到精通- 使用Helm安装Harbor
ByteProwl的博客
08-13 409
通过使用HelmRancher平台上安装和配置Harbor,我们成功地搭建了一个私有的容器镜像管理系统。Harbor提供了一个稳定可靠的Docker Registry,为我们的容器镜像管理带来了更高效和安全的解决方案。引言:本文将介绍如何使用HelmRancher平台上安装和配置HarborHarbor是一个开源的容器镜像管理工具,它提供了一个私有Docker Registry以及一套高效且安全的镜像管理方案。确保使用的是你在Harbor中创建的合法账号凭证,且成功登录到了Harbor
k8s学习——升级后的k8s使用私有harbor仓库
潮落拾贝
07-18 722
后来看了一篇文章才知道,nerdctl工具没有安装完全,除了nerdctl工具外还要安装buildctl工具,否则nerdctl build 不能使用,同时,还需要启动一个buildkitd服务。升级后的k8s使用了第三方的容器管理器,安装了nerdctl工具来替代docker进行镜像管理。等把所有节点全部安装了buildctl 启动了buildkit服务后,再重启kubelet、containterd,部署过程中私有仓库镜像拉取就正常了。
Helm私有仓库搭建与Hadoop实例部署指南
weixin_33193177的博客
10-19 1231
本文还有配套的精品资源,点击获取 简介:Helm作为Kubernetes应用管理的关键工具,通过Chart包格式简化了应用程序的打包、发布和管理。本文详细介绍了Helm的安装过程,私有仓库搭建方法,以及如何利用私有仓库部署Hadoop实例。涵盖Helm客户端和服务器(Tiller)的基本概念,Chart的创建与管理,以及Hadoop实例的配置和部署。读者将学习到如何通过H...
Rancher添加自建镜像
{丸の子}
11-22 4362
创建内网私有镜像库也可以用容器的方式创建,也挺简单,但是要创建带公有证书的https镜像库就不容易了,以下提供一个创建http访问的私有镜像库方案。 1)在Rancher界面的主机如172.16.1.37面板上,添加容器,选择镜像registry:2 配置对外端口4000(可任意),但内部端口一定是要5000 2)添加卷 参数 /opt/data/registry:/var/lib/regist...
Rancher 2.8 配置全局默认私有镜像仓库
03-04 1963
私有镜像仓库是集群中私有、一致且集中的容器镜像源。你可以使用私有容器镜像仓库,在组织内共享自定义基础镜像。SUSE Rancher 国内服务商,提供最佳实践,欢迎来咨询:W-X:FM0058 ,Q-Q:80815877全局默认镜像仓库适用于离线环境,可用于不需要凭证的镜像仓库。而集群级私有镜像仓库用于需要凭证的私有镜像仓库
rancher单节点离线安装_rancher+harbor离线安装
weixin_36050604的博客
12-24 411
安装docker,此docker为社区版dockerdocker官方文档:https://docs.docker.comdocker-ce的yum源: https://download.docker.com/linux/centos/docker-ce.repo //使用yum安装需要用到。docker rpm包下载地址 https://download.docker.com/linux/ce...
使用nginx搭建helm私有仓库
weixin_44515412的博客
12-20 699
【代码】使用nginx搭建helm私有仓库
helm介绍-部署helm私有仓库案例
yuxingwu9872的博客
04-17 1207
其实就是一个服务版本升级的操作,大概思路如下:修改解压后的charts包目录下的values.yaml文件为所需的值(values.yaml文件包含的是这个服务的值,可以在里面指定镜像及标签、数据持久化的类型等等),修改完成后,再使用下面的命令进行升级操作。http://192.168.45.141:8080/charts //url是web容器所在的节点的IP+端口+存放chart包的目录,指定仓库的名称为newrepo。4)Release Release是应用程序运行Chart之后,得到的一个实例。
【Kubernetes】k8shelm包管理与应用详细说明与操作【helm安装、heml仓库管理和搭建私有仓库
热门推荐
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-02 1万+
文章目录helm 的架构环境准备 helm 的架构 前面我们在使用wordpress+MySQL 部署博客应用的时候,需要做许多的工作,需要每个pod创建pv 和pvc,然后分别创建每个应用的pod 及svc,整个过程非常的麻烦。 如果搭建博客所有步骤作为一个整体,放在一个文件夹里(叫做chart),以后我们直接使用这个chart 就可以把所有的操作一次性做完,这样很容易实现了一个博客应用(chart 的一个实例,叫做release),就非常的方便了。这个就类似于我们用虚拟机模板去克隆出来一台台的虚拟机,
rancher2.x连接私有仓库harbor
小单的博客专栏
07-19 8927
搭建了一个Rancher2.4.4版本环境,因为之前已经有一个独立搭建Harbor,现在需要在Rancher部署Harbor中的镜像问题是当我按如下图部署服务后,rancher不能正常拉取我原有的harbor中的镜像: 按如图配置拉取我harbor中的镜像出现了错误 错误提示如下: ErrImagePull: rpc error: code = Unknown desc = Error response from daemon: unauthorized: unauthorized to acc
FATA[0000] unexpected status from POST request to https://10.3.5.78/v2/rancher/fleet-agent/blobs/uploads/: 404 Not Found
02-19
<think>嗯,用户遇到了一个错误信息:“FATA[0000] unexpected status from POST request to https://10.3.5.78/v2/rancher/fleet-agent/blobs/uploads/: 404 Not Found”。我需要帮他们分析这个问题。首先,我应该回忆一下常见的404错误可能的原因。通常,404意味着资源未找到,所以可能是URL不正确或者服务端没有对应的端点。 接下来,用户提到的URL是https://10.3.5.78/v2/rancher/fleet-agent/blobs/uploads/,看起来像是在使用Rancher的Fleet组件进行上传。Fleet用于集群管理,可能涉及镜像仓库的操作。这里的路径包含“/v2/”,可能涉及到Docker Registry API,因为Registry的API版本2通常以/v2/开头。上传blob的端点应该是正确的,但返回404,可能说明Registry服务没有正确响应。 可能的错误点有几个方面:首先,检查这个URL是否正确。用户是否配置了正确的镜像仓库地址?例如,是否应该是不同的端口或者路径?其次,服务端是否真的运行了Registry v2的服务?如果服务端没有正确配置,可能无法处理上传请求,导致404。另外,网络连接问题也可能导致无法访问,但通常404更倾向于路径错误而非连接问题。 另外,考虑证书问题。因为使用的是HTTPS,可能服务端使用了自签名证书,而客户端没有正确信任该证书,导致请求失败。不过,如果是证书问题,通常会出现证书验证错误,而不是404,但也不能完全排除。用户可能需要检查是否配置了正确的CA证书。 还有可能是权限问题,比如没有认证信息,但如果是权限问题,通常会返回401或403状态码,而不是404。所以暂时可以排除权限问题,不过还是需要确认是否有必要的认证头信息被正确添加。 接下来,用户的环境可能是在私有部署Rancher私有镜像仓库中,IP地址10.3.5.78是内网地址,可能存在网络策略或防火墙规则阻止了请求,但同样,404更可能的是路径问题而不是连接问题。不过,用户应该检查是否能从客户端访问该地址的端口,比如使用curl或telnet测试连通性。 总结可能的原因: 1. URL路径错误,服务端没有对应的端点。 2. 镜像仓库服务未正确运行或配置,比如未启用/v2/的API。 3. 网络问题导致无法正确访问服务,但返回的是404而不是连接拒绝。 4. 证书问题导致请求未能正确到达服务端,但更可能的是其他错误。 建议用户进行的步骤: - 验证URL是否正确,确保镜像仓库的地址和路径正确。 - 检查服务端是否运行了支持/v2/的Docker Registry,确认其健康状态。 - 使用curl命令手动发送POST请求到该URL,观察响应,确认是否是同样的404。 - 查看服务端日志,了解请求处理的情况,是否有错误记录。 - 检查客户端和服务端之间的网络连接,确保端口开放,没有防火墙拦截。 - 确认是否需要跳过TLS验证,或者安装自签名证书到客户端。 如果用户是在安装或升级Fleet Agent时遇到此问题,可能需要检查Rancher的配置,确保Fleet的配置指向正确的镜像仓库地址,仓库中确实存在所需的fleet-agent镜像。另外,Rancher版本和Fleet的兼容性也可能是一个因素,需要确认版本匹配。 另外,检查是否有代理设置或DNS解析问题,导致域名解析到错误的IP地址。虽然这里用的是IP,但可能涉及其他网络配置。例如,某些情况下,容器内的DNS解析可能有问题,导致无法正确访问服务。 最后,用户可能需要参考Rancher或Fleet的官方文档,查找类似问题解决方案,或者查看社区是否有类似的问题报告,是否有已知的修复方法或补丁。你</think>遇到的错误信息表明在向指定的URL发送POST请求时,服务端返回了 **404 Not Found**。这通常意味着请求的路径不存在,或者服务端未正确配置。以下是可能的原因和解决方法: --- ### **常见原因分析** 1. **URL地址错误** - 检查 `https://10.3.5.78/v2/rancher/fleet-agent/blobs/uploads/` 是否正确。 - 确认目标服务(如镜像仓库Rancher Fleet服务)是否部署在该地址,且路径 `/v2/` 有效。 2. **镜像仓库服务未正常运行** - 服务端可能未运行支持 Docker Registry V2 API 的服务(如 HarborDocker Registry 等)。 - 检查服务端是否正常监听端口,验证 `/v2/` 接口是否可用(例如用 `curl -k https://10.3.5.78/v2/`)。 3. **TLS/SSL证书问题** - 如果服务端使用自签名证书,客户端可能需要跳过证书验证(添加 `--insecure` 参数)或手动信任证书。 - 确保客户端能访问 `10.3.5.78` 的指定端口(默认HTTPS为443)。 - 使用 `telnet 10.3.5.78 443` 或 `curl -v https://10.3.5.78` 测试连通性。 5. **Rancher Fleet配置问题** - 如果涉及 Rancher Fleet 部署,检查 `fleet-agent` 的配置是否指向正确的镜像仓库地址。 - 确保仓库中存在所需的 `fleet-agent` 镜像,且权限允许拉取/上传。 --- ### **解决步骤** 1. **手动验证服务端接口** 用以下命令测试服务端是否响应 `/v2/` 接口: ```bash curl -k -v https://10.3.5.78/v2/ ``` - 预期响应:`200 OK` 或 `401 Unauthorized`(若需认证)。 - 如果返回 `404`,说明服务端未正确提供 Registry V2 API。 2. **检查镜像仓库日志** 查看服务端(如 HarborDocker Registry)的日志,确认是否收到请求及错误详情。 3. **确认Rancher Fleet配置** - 如果是部署 Rancher Fleet Agent,检查 `fleet.yaml` 或 Helm Chart 中的镜像仓库配置。 - 确保镜像名称和仓库地址正确(如 `rancher/fleet-agent` 是否存在于仓库中)。 4. **临时跳过TLS验证(测试用途)** 如果是证书问题,可临时添加 `--insecure` 或环境变量 `SSL_NO_VERIFY=true`(取决于具体工具)。 5. **检查网络策略** - 确保客户端(如K8s集群节点)能访问 `10.3.5.78:443`。 - 排查防火墙、安全组或网络插件(如Calico)是否拦截了流量。 --- ### **示例:快速测试Registry可用性** ```bash # 1. 测试/v2/接口 curl -k https://10.3.5.78/v2/ # 2. 测试镜像是否存在(替换为实际镜像名) curl -k -X GET https://10.3.5.78/v2/rancher/fleet-agent/tags/list # 3. 若有认证,添加用户名密码 curl -k -u username:password https://10.3.5.78/v2/ ``` --- ### **进一步建议** - 如果服务端是私有仓库,确保已登录(`docker login 10.3.5.78`)。 - 参考 Rancher 官方文档,确认 Fleet Agent 的部署要求: [Rancher Fleet Documentation](https://rancher.com/docs/rancher/v2.6/en/deploy-across-clusters/fleet/) 通过逐步排查,通常可以定位到是配置错误、服务未运行还是网络问题导致的404。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值