使用 ChartMuseum 容器搭建私有 Helm Chart 仓库

最新推荐文章于 2025-04-11 17:36:06 发布
最新推荐文章于 2025-04-11 17:36:06 发布
阅读量593 收藏 17
点赞数 5
分类专栏: kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pcj_888/article/details/146458002
版权

前言

本文介绍如何在 Rocky Linux 9.5 上使用 ChartMuseum 搭建一个私有的 Helm Chart 仓库,并启用 HTTPS 和 Basic 认证以提高安全性

环境准备

  • 一台Rocky Linux 9.5 x86_64, 作为Helm Repo, 安装Docker, 域名: myhelmrepo.com
  • Kubernetes 集群 v1.28.x, Helm v3.16.0

1. 安装并启动 ChartMuseum

(1) 启动 ChartMuseum 容器

docker run -d \
  --name private-helm-repo \
  -p 8080:8080 \
  --restart=always \
  -e STORAGE=local \
  -e STORAGE_LOCAL_ROOTDIR=/charts \
  -v /charts:/charts \
  --user root \
  swr.cn-north-4.myhuaweicloud.com/ddn-k8s/ghcr.io/helm/chartmuseum:v0.16.2

(2) 验证 ChartMuseum 是否正常运行

curl http://myhelmrepo.com:8080/index.yaml

如果返回类似以下内容,则说明服务已成功启动:

apiVersion: v1
entries: {}
generated: "2025-03-23T07:32:46Z"
serverInfo: {}

2. 上传 Helm Chart 到仓库

(1) 上传 Chart
假设你有一个名为 flask-app-chart-0.1.0.tgz 的 Helm Chart,可以通过以下命令将其上传到仓库:

curl --data-binary "@flask-app-chart-0.1.0.tgz" http://myhelmrepo.com:8080/api/charts

如果返回以下内容,则表示上传成功:

{"saved":true}

(2) 验证上传结果
再次检查 index.yaml 文件以确认 Chart 成功添加

curl http://myhelmrepo.com:8080/index.yaml
apiVersion: v1
entries:
  flask-app-chart:
  - apiVersion: v2
    appVersion: "1.0"
    created: "2025-03-23T07:38:06.252423409Z"
    description: A Helm chart for deploying a simple Flask app
    digest: c6ad11cf3c0b9c2068b5cb3502c8faabc700646b4a7fe9d1c3e779827658a474
    name: flask-app-chart
    type: application
    urls:
    - charts/flask-app-chart-0.1.0.tgz
    version: 0.1.0
generated: "2025-03-23T07:38:06Z"
serverInfo: {}

3. 添加私有 Helm 仓库

(1) 添加私有仓库

helm repo add my-private-repo http://myhelmrepo.com:8080

更新仓库缓存:

helm repo update

如果返回以下内容,则表示仓库添加成功:

Hang tight while we grab the latest from your chart repositories...
...Successfully got an update from the "my-private-repo" chart repository
Update Complete. ⎈Happy Helming!⎈

(2) 查看仓库列表

helm repo list

NAME            URL
my-private-repo http://myhelmrepo.com:8080

(3) 查看仓库中的 Charts

helm search repo -l flask

NAME                            CHART VERSION   APP VERSION     DESCRIPTION
my-private-repo/flask-app-chart 0.1.0           1.0             A Helm chart for deploying a simple Flask app

4. 下载或安装 Chart

(1) 下载 Chart
下载刚才上传的 Chart:

helm pull my-private-repo/flask-app-chart

解压并查看内容:

tar -tvf flask-app-chart-0.1.0.tgz

(2) 安装 Chart
通过以下命令安装 Chart:

helm install flask-app my-private-repo/flask-app-chart --namespace flask-app

参数说明:

  • flask-app: 指定本次安装的 Release 名称。
  • my-private-repo/flask-app-chart: 指定 Chart 的完整路径。
  • –namespace flask-app: 指定安装的目标命名空间。

5. 启用 HTTPS 和 Basic 认证

为了提高安全性,在生产环境中需要启用 HTTPS 和 Basic 认证。

(1) 安装相关软件

yum install nginx httpd-tools -y

(2) 启用 Basic 认证
重新启动 ChartMuseum 容器并启用认证:

docker run -d \
  --name private-helm-repo \
  -p 127.0.0.1:8080:8080 \
  --restart=always \
  -e STORAGE=local \
  -e STORAGE_LOCAL_ROOTDIR=/charts \
  -v /charts:/charts \
  -e AUTH_ANONYMOUS_GET=false \
  -e BASIC_AUTH_USER=helmuser \
  -e BASIC_AUTH_PASS=123456 \
  --user root \
  swr.cn-north-4.myhuaweicloud.com/ddn-k8s/ghcr.io/helm/chartmuseum:v0.16.2

测试认证是否生效:

# 不带认证访问
curl localhost:8080
# 返回 {"error":"unauthorized"}

# 带认证访问
curl -u helmuser:123456 localhost:8080
# 返回 200 OK

(3) 启用 HTTPS
生成自签名证书, 创建目录并生成自签名 SANs 证书:

sudo mkdir -p /etc/nginx/ssl/myhelmrepo.com
cd /etc/nginx/ssl/myhelmrepo.com

创建 OpenSSL 配置文件(openssl.cnf):

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext
prompt             = no

[ req_distinguished_name ]
C  = CN
ST = State
L  = City
O  = Organization
OU = Organizational Unit
CN = myhelmrepo.com

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = myhelmrepo.com
DNS.2 = localhost
IP.1 = 127.0.0.1

生成证书和密钥:

openssl req -x509 -config openssl.cnf -extensions 'req_ext' -nodes -days 365 -newkey rsa:2048 \
  -keyout /etc/nginx/ssl/myhelmrepo.com/myhelmrepo.com.key \
  -out /etc/nginx/ssl/myhelmrepo.com/myhelmrepo.com.crt

编辑 Nginx 主配置文件(/etc/nginx/nginx.conf):

server {
    listen 443 ssl;
    server_name myhelmrepo.com;

    ssl_certificate /etc/nginx/ssl/myhelmrepo.com/myhelmrepo.com.crt;
    ssl_certificate_key /etc/nginx/ssl/myhelmrepo.com/myhelmrepo.com.key;

    location / {
        proxy_pass http://localhost:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

重启 Nginx:

systemctl restart nginx

测试 HTTPS

curl https://myhelmrepo.com/index.yaml -k
# 返回 401 Authorization Required

curl -u helmuser:123456 https://myhelmrepo.com/index.yaml -k
# 返回 200 OK

(4) 配置 Helm 使用 HTTPS
由于使用的是自签名证书,Helm默认无法信任。将证书复制到本地并配置 Helm

mkdir -p ~/.helm/certs
scp root@myhelmrepo.com:/etc/nginx/ssl/myhelmrepo.com/myhelmrepo.com.crt ~/.helm/certs/

重新添加仓库:

helm repo rm my-private-repo
helm repo add my-private-repo https://myhelmrepo.com \
  --ca-file ~/.helm/certs/myhelmrepo.com.crt \
  --username helmuser \
  --password 123456

更新仓库缓存并查看Chart

helm repo update
helm search repo -l flask
NAME                            CHART VERSION   APP VERSION     DESCRIPTION
my-private-repo/flask-app-chart 0.1.0           1.0             A Helm chart for deploying a simple Flask app

安装Chart, 测试OK

helm install flask-app my-private-repo/flask-app-chart --namespace flask-app

参考

【1】https://chartmuseum.com/docs/

2、helm chart基础使用
01-07
构建一个Helm Chart helm create mychart #Creating mychart tree mychart/ mychart/ ├── charts ├── Chart.yaml ├── templates │ ├── deployment.yaml │ ├── _helpers.tpl │ ├── ingress.yaml...
helm安装私有仓库搭建hadoop实例过程文档
06-07
获取Minio的访问密钥和端点,然后使用`helm repo add`命令添加到Helm仓库列表。 5. **上传Chart到私有仓库**:使用`helm package`命令将Hadoop实例的Chart打包成.tgz文件,然后通过Minio的API或客户端将此文件上传...
单目:Helm Chart存储库的搜索和发现UI
02-02
Monocular是基于Web的应用程序,可从多个Helm Chart存储库中搜索和发现图表。 它是驱动项目的代码库。 单击以了解有关HelmCharts和Kubernetes的更多信息。 安装 您可以使用此存储库中的图表在群集中安装...
skywalking-kubernetes:Apache SkyWalking Kubernetes部署Helm Chart
02-03
在这个场景中,`skywalking-kubernetes` 项目是针对 Kubernetes 集群的 SkyWalking 部署方案,通过 Helm Chart 进行安装和管理。 HelmKubernetes 的包管理工具,它允许用户通过 Chart 来打包、发布和管理 ...
helm-postgresql:PostgreSQLHelm Chart
05-13
PostgreSQLHelm Chart 介绍 该图表在Kubernetes集群中安装了 。 先决条件 Kubernetes集群1.10+ 头盔3.0.0+ 基础架构中的PV供应商支持。 安装 添加头盔存储库 helm repo add cetic ...
AllData数据中台升级发布 | 支持K8S数据平台2.0版本
AllDataDC的博客
04-10 429
AllData大数据产品是可定义数据中台,以数据平台为底座,以数据中台为桥梁,以机器学习平台为中层框架,以大模型应用为上游产品,提供全链路数字化解决方案。
什么是 k8s 的 Taints(污点) 和 Tolerations(容忍度)
★【World Of Moshow 郑锴】★
04-08 842
Kubernetes(K8s)中,Taints(污点)和 Tolerations(容忍度)用于影响 Pod 调度到节点的行为,它们一起帮助实现更精细的资源管理和隔离。 隔离工作负载:确保特定工作负载仅运行在特定节点上,比如 GPU 计算节点或高性能存储节点。 节点维护:在节点维护时使用 NoExecute 驱逐 Pod,避免 Pod 继续运行在该节点上。 高可用性管理:结合 PreferNoSchedule 让 Kubernetes 尽量避免将 Pod 调度到某些节点,但在必要时仍可调度。
K8s常用基础管理命令(一)
m0_56363537的博客
04-11 485
K8s日常常用基础管理命令手册
k8s核心资源对象一(入门到精通)
qq_37182070的博客
04-07 954
本文将深入探讨Kubernetes中的核心资源对象,包括Pod、Deployment、Service、Ingress、ConfigMap和Secret,详细解析其概念、功能以及实际应用场景,帮助读者全面掌握这些关键组件的使用方法。
windows主机中构建适用于K8S Operator开发环境
qq_32789063的博客
04-08 439
安装额外的适用于 Linux 的 Windows 子系统分发Ubuntu。显示适用于 Linux 的 Windows 子系统的状态。控制面板 -> 程序 -> 启用或关闭Windows功能。Use the WSL 2 based engine开启。将Runing变成Stopped。或者win + r 运行winver。将Ubuntu分发设置为默认值。更改新分发的默认安装版本为2。操作系统要>= 19044。注销分发并删除根文件系统。确认完成后,电脑会重启。WSL 2 内核更新。WSL 2 内核更新。
K8S-证书过期更新
最新发布
qq_40189664的博客
04-11 145
K8S证书过期处理方法 Unable to connect to the server: x509: certificate has expired or is not yet valid2、备份证书3、直接重建证书4、再次查看证书有效期:证书5、更新用户凭证6、重启kubeblet7、docker 重启apiserver,scheduler,controller-manager 容器如果你和我一样误删除了组件, 可以看我这个8、再次尝试执行kubectl相关命令即可发现已恢复正常。或者。
基于Kubeadm实现K8S集群扩缩容指南
1dea_Cao的博客
04-10 739
缩容注意事项 确保所有非DaemonSet Pod已被驱逐,避免业务中断。 重置节点后需清理残留数据,防止敏感信息泄露。 扩容注意事项 Token有效期:默认24小时,--ttl 0设置为永久有效。 确保新节点与Master网络互通,防火墙放行6443端口。 常见问题排查 节点无法加入:检查Token有效性、时间同步、网络连通性。 节点状态非Ready:等待网络插件(如Calico)自动配置,检查kubelet日志: journalctl -u kubelet -f
当一个 HTTP 请求发往 Kubernetes(K8s)部署的微服务时,整个过程流转时怎样的?
yanghaitao5000的博客
04-11 601
客户端(可以是浏览器、移动应用或者其他服务)发起一个 HTTP 请求到目标微服务的地址。这个地址可以是服务的域名、IP 地址或者 Kubernetes 服务的 ClusterIP、NodePort 等。
Kubernetes (k8s) 中,apiserver 的 IIP和 VIP的区别
Connie1451的博客
04-07 514
Kubernetes (k8s) 中,apiserver 的 IIP(Internal IP) 和 VIP(Virtual IP) 是与集群网络通信和高可用性设计相关的两个重要概念。配置 HAProxy 将流量转发到多个 apiserver 的 IIP。
jenkins项目发布-安装k8s(rancher)客户端kubectl
顾丽江的专栏
04-11 334
管理 Kubernetes 集群!以下是通过国内镜像源快速安装。通过国内镜像源下载指定版本的。的方法,适合国内网络环境。完成后,你可以顺利使用
k8s 1.24.17版本部署(使用Flannel插件)
dingzy1的博客
04-08 480
推荐阅读: https://kubernetes.io/zh/docs/setup/production-environment/tools/kubeadm/install-kubeadm/
k8s 1.30.6版本部署(使用canal插件)
dingzy1的博客
04-08 295
下载kubelet kubeadm kubectl 的1.30.6-1.1版本组件。#使用kubeadm初始化master节点。#将worker节点加入到master集群。#基于kubeadm部署worker组件。#拷贝授权文件,用于管理K8S集群。#验证worker节点是否加入成功。#部署CNI插件之Canal实战。
给k8s中绑定pv并在容器中运行中使用的pvc扩容
sinat_30893849的博客
04-08 380
PV动态扩容
k8s deployment配置文件资源属性配置策略
AnalogElectronic的博客
04-11 326
合理配置resources是保障Kubernetes集群稳定性与资源利用率的核心实践。忽略此配置可能导致调度混乱、性能瓶颈甚至系统性故障,而科学设置后则可实现资源隔离、弹性扩展与故障自愈。建议结合业务负载特性与监控数据动态优化参数。由小艺AI生成<xiaoyi.huawei.com>
搭建私有helm仓库
09-17
搭建私有 Helm 仓库通常是为了管理和分发组织内部自定义的应用依赖。HelmKubernetes 的包管理工具,用于安装、升级和卸载容器化的应用程序(Charts)。以下是创建私有 Helm 仓库的基本步骤: 1. **准备环境**: - 确保你有一个可用的 Kubernetes 集群和集群内的访问权限。 - 安装 Helm:`curl https://get.helm.sh/helm-v3.5.0-linux-amd64.tar.gz | tar xzv --strip-components=1 -C /usr/local/bin` 2. **创建证书**: - 为了保护通信安全,你需要生成一个 TLS 证书。可以使用 `openssl` 工具,比如: ``` openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365 -subj "/CN=my-helm-repo" ``` 3. **初始化仓库**: - 使用 `helm init --service-account` 创建一个新的 ServiceAccount,并授予足够的权限。 - 创建一个名为 `.helmrepo` 的目录作为仓库: ``` mkdir .helmrepo ``` 4. **配置仓库**: - 将证书文件添加到 `.helmrepo` 中: ``` cat cert.pem > .helmrepo/cert.pem cat key.pem > .helmrepo/key.pem ``` - 初始化仓库配置: ``` helm repo create --url https://my-private-repo.example.com --ca-cert .helmrepo/cert.pem --signer .helmrepo/key.pem . ``` 5. **上传图表**: - 将你的自定义 Charts 放入 `.helmrepo/charts` 目录下。 - 使用 `helm repo add` 添加本地仓库到 Helm 的索引: ``` helm repo index --url https://my-private-repo.example.com --merge .helmrepo/index.yaml ``` 6. **测试访问**: - 检查是否可以从新仓库成功拉取图表: ``` helm search repo my-custom-chart ``` 7. **维护**: - 定期更新仓库索引并重新发布。 - 如果需要删除图表,从 `.helmrepo/charts` 删除,然后重新构建索引。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pcj_888

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值