【Harbor运维秘籍】打造稳定Harbor,生产环境的高可用解决方案

于 2025-03-27 06:24:10 发布
阅读量313 收藏 7
点赞数 5
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zzjlhlcd/article/details/146546728
版权

在当今快速发展的云计算和容器化技术领域,容器镜像的安全和稳定性管理变得至关重要。Harbor作为业界领先的容器镜像仓库,其高可用性部署是保障企业级应用安全运行的关键。本文将带您深入了解如何使用Helm这一强大的工具,部署一个生产级的高可用Harbor环境。

01

先决条件与架构图

1、Kubernetes 集群 1.10+

2、Helm 2.8.0+

3、高可用入口控制器(Harbor 不管理外部端点)

4、高可用 PostgreSQL(Harbor 不处理数据库 HA 的部署)

5、高可用 Redis(Harbor 不处理 Redis HA 的部署)

6、可跨节点或外部对象存储共享的 PVC

图片

Harbor架构图

02

部署Harbor

Tip:Redis可以使用容器化部署。因为redis丢数据并不会影响harbor正常运行,反而用容器化部署可以自愈服务

1、下载chart

$ helm repo add harbor https://helm.goharbor.io
$ helm fetch harbor/harbor --untar
$ sudo mv harbor /etc/kubernetes/addons/

2、部署harbor的配置文件

cat <<EOF | sudo tee /etc/kubernetes/addons/harbor-value.yml > /dev/null
# 暴露方式
expose:
  type: ingress
  tls:
    enabled: true
    secret:
      secretName: "harbor-tls"
  ingress:
    hosts:
      core: core.jiaxzeng.com

# 访问harbor URL地址
externalURL: https://core.jiaxzeng.com

# 定义pvc容量
persistence:
  enabled: true
  persistentVolumeClaim:
    registry:
      storageClass: "nfs-storage"
      accessMode: ReadWriteMany
      size: 100Gi
    jobservice:
      jobLog:
        storageClass: "nfs-storage"
        accessMode: ReadWriteMany
        size: 5Gi
    redis:
      storageClass: "nfs-storage"
      accessMode: ReadWriteMany
      size: 2Gi
    trivy:
      storageClass: "nfs-storage"
      accessMode: ReadWriteMany
      size: 5Gi

# harbor密码
harborAdminPassword: "Harbor12345"

# harbor暴露metrics数据
metrics:
  enabled: true

# 配置相关服务参数
nginx:
  replicas: 2
  image:
    repository: 172.139.20.170:5000/library/nginx-photon
    tag: v2.11.0
portal:
  replicas: 2
  image:
    repository: 172.139.20.170:5000/library/harbor-portal
    tag: v2.11.0
core:
  replicas: 2
  image:
    repository: 172.139.20.170:5000/library/harbor-core
    tag: v2.11.0
jobservice:
  replicas: 2
  image:
    repository: 172.139.20.170:5000/library/harbor-jobservice
    tag: v2.11.0
registry:
  replicas: 2
  image:
    repository: 172.139.20.170:5000/library/registry-photon
    tag: v2.11.0
registry:
  replicas: 2
  registry: 
    image:
      repository: 172.139.20.170:5000/library/registry-photon
      tag: v2.11.0
  controller:
    image:
      repository: 172.139.20.170:5000/library/harbor-registryctl
      tag: v2.11.0
database:
  type: external
  external:
    host: "172.139.20.188"
    port: "9999"
    username: "postgres"
    password: "123456"
    coreDatabase: "registry"
redis:
  type: internal
  internal:
    image:
      repository: 172.139.20.170:5000/library/redis-photon
      tag: v2.11.0
exporter:
  replicas: 2
  image:
    repository: 172.139.20.170:5000/library/harbor-exporter
    tag: v2.11.0
EOF

3、生成证书

# ca证书
openssl genrsa -out ca.key 4096

openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=ShangDong/L=GuangZhou/O=Personal/OU=Personal/CN=jiaxzeng.com" \
 -key ca.key \
 -out ca.crt

# 服务证书
$ openssl genrsa -out jiaxzeng.com.key 4096

$ openssl req -sha512 -new \
    -subj "/C=CN/ST=ShangDong/L=GuangZhou/O=Personal/OU=Personal/CN=jiaxzeng.com" \
    -key jiaxzeng.com.key \
    -out jiaxzeng.com.csr

$ cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=core.jiaxzeng.com
DNS.2=jiaxzeng.com
EOF

$ openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in jiaxzeng.com.csr \
    -out jiaxzeng.com.crt

4、harbor证书存放secret

$ kubectl create namespace harbor
namespace/harbor created

$ kubectl -n harbor create secret tls harbor-tls --cert jiaxzeng.com.crt --key jiaxzeng.com.key 
secret/harbor-tls created

5、postgresql创建数据库

$ psql -h 172.139.20.188 -p 9999
postgres=# CREATE DATABASE registry;
CREATE DATABASE

6、部署harbor

$ helm install harbor -n harbor -f /etc/kubernetes/addons/harbor-value.yml /etc/kubernetes/addons/harbor
NAME: harbor
LAST DEPLOYED: Thu Aug 22 18:17:10 2024
NAMESPACE: harbor
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES:
Please wait for several minutes for Harbor deployment to complete.
Then you should be able to visit the Harbor portal at https://core.jiaxzeng.com
For more details, please visit https://github.com/goharbor/harbor

03

验证

1、查看Pod的状态

$ kubectl -n harbor get pod 
NAME                                READY   STATUS    RESTARTS   AGE
harbor-core-6c9c79469b-6khzb        1/1     Running   0          3m33s
harbor-core-6c9c79469b-hlvsg        1/1     Running   0          3m54s
harbor-exporter-5c599f54d4-sjdxt    1/1     Running   0          12m
harbor-exporter-5c599f54d4-t5vfc    1/1     Running   0          12m
harbor-jobservice-74cb96479-cv26t   1/1     Running   0          3m33s
harbor-jobservice-74cb96479-rgkgc   1/1     Running   0          3m54s
harbor-portal-f7f7956cd-h6f5f       1/1     Running   0          12m
harbor-portal-f7f7956cd-t6jcn       1/1     Running   0          12m
harbor-redis-0                      1/1     Running   0          12m
harbor-registry-7bdfd8f5c-g474c     2/2     Running   0          3m52s
harbor-registry-7bdfd8f5c-sll4z     2/2     Running   0          3m54s

2、浏览器打开验证

图片

04

参考文章

Harbor官网地址:

  • https://goharbor.io/docs/2.11.0/install-config/configure-https/

  • https://goharbor.io/docs/2.11.0/install-config/harbor-ha-helm/

05

结语

随着数字化转型的浪潮席卷全球,容器技术以其轻量、灵活、可移植的特性,成为现代应用部署的首选。然而,容器镜像的安全管理问题也随之凸显。今天,我们深入探讨了如何利用Helm这一强大的工具,部署一个高可用的Harbor环境,确保了容器镜像的安全性和稳定性。

生产环境搭建高可用Harbor(包括恢复演练实操)
青牛踏雪御苍穹的博客
02-16 1655
生产环境搭建高可用Harbor(包括恢复演练实操)
一文读懂 Harbor高可用方案 | 收藏
亨利笔记
11-29 882
题图摄于鼓浪屿注:微信公众号不按照时间排序,请关注“亨利笔记”,并加星标以置顶,以免错过更新。本文内容节选自最新出版的《 Harbor权威指南》一书第3章,针对用户颇为关注的实现高可用...
Harbor镜像仓库迁移与高可用集群搭建&&HTTPS实现实战指南
最新发布
1dea_Cao的博客
03-24 1352
本次技术实践采用基于Harbor高可用架构设计,同时构建跨数据中心的镜像同步机制,现就架构方案与实施要点进行技术复盘。在大规模迁移场景中,合理运用Harbor的智能化GC与分布式复制能力,可使PB级仓库迁移效率提升300%以上,为云原生转型提供坚实基础设施保障。这时候我们的高可用架构已经搭建完成了,我们只需要同步一下两个harbor的镜像仓库的镜像数量就可以了。通过本文方案,可实现企业级镜像仓库的无缝迁移与高可用保障,支撑容器化业务的稳定运行。进入"项目" → "新建项目",输入项目名称(如。
harbor高可用部署
IT
08-14 5010
harbor高可用简介 harbor目前有两种主流的高可用方案: 双主复制,harbor自带的镜像复制功能 多harbor实例共享后端存储 下面以阿里云环境为例,使用两台ECS实例+NFS共享存储方式部署高可用harbor,整体架构图如下: harbor高可用部署 在阿里云申请以下资源: 资源类型 数量 地域 ECS实例 2 华南1(深圳)-可用区D NAS实例 1 华南1(深圳)-可用区D RDS实例 1 华南1(深圳)-可用区D Redis实例 1 华南1(深圳)-可
Harbor高可用方案
tom_fans的博客
07-24 1666
Harbor高可用官方只提供了一种,就是harbor服务器之间通过同步的镜像的方式。比如harbor A有新的image会自动同步给harbor B,在harbor B上传的镜像也同样会同步给harbor A. 这种方式在底层数据库及存储是相互独立的,只是把docker image同步过去。除了镜像同步,harbor还可以使用共享数据库及存储的方式同步。 今天主要来说一下通过镜像同步的方式,harbor安装普通安装一样,2台安装好之后,设置仓库管理及复制管理,然后随便在一台harbor上传镜像,另外一台
harbor(docker仓库)仓库部署 - 高可用
u010230019的博客
02-23 3156
假设如果一个实例A挂掉了,这个时候有新的镜像进来,那么新的镜像就会在另外一个实例B中,后面即使恢复了挂掉的A实例,Harbor实例B也不会自动去同步镜像,这样只能手动的先关掉Harbor实例B的复制策略,然后再开启复制策略,才能让实例B数据同步,让两个实例的数据一致。由于我们安装的harbor通过http跳转到https访问,所以前面设置的nginx的负载均衡的配置需要进行修改,否则无法访问。部署nginx,redis,mysql,nfs等服务,生产环境中应该分开,并且配置成为高可用
企业级仓库Harbor高可用方案
mnasd的博客
09-26 3005
Harbor 是 VMware公司开源的企业级 Docker Registry 项目,其日标是帮助用户迅速搭建一个企业级的 Docker Registry 仓库服务。它以Docker公司开源的Registr为基础,提供了管理UI。基于角色的访问控制(Role Based AcessControl、AD/LDAP集成、以及审计日志(Audtloging)等企业用户需求的功能。通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源DockerDistrbution。
Harbor高可用部署使用
Wu 小杰的博客
08-06 1454
【1】依赖共享存储来保存镜像数据【2】基于不同Harbor服务器间的镜像复制实现。【1】基于共享存储的Harbor高可用【2】基于镜像同步的Harbor高可用
Docker私服仓库Harbor打造专属的容器生态系统
博客虽小,世界尽在其中
03-12 2481
Docker私服仓库Harbor是一个高度安全的容器化解决方案,旨在提供高效、可靠和安全的镜像管理服务。它支持多种平台和服务,包括Windows、macOS、Linux等,以及AWS、Google Cloud等公有云平台。通过使用Harbor,开发人员可以轻松构建和管理自己的私有容器化环境,从而加速应用程序的开发过程。
Helm部署Harbor,实现高可用的镜像仓库(超详细分享)~后附踩坑记录
qaz9821的专栏
01-06 1574
我在前面的文章中介绍了离线安装、在线安装等Harbor部署方式,但其缺点都是无法做高可用,在实际的业务场景中一旦Harbor服务器异常,将会造成很大的影响。对应前面的几种部署方式,官方也并没有给出高可用的支持方案,如果要支持,则需要对Harbor有一定程度上的了解。对于Harbor高可用方案,可将Harbor部署在kubernetes集群中,利用其 特点即可实现Harbor高可用
系统运维——Keepalived 实现高可用集群的配置与部署详解
TYW0823的博客
08-19 1410
本篇文章讲解通过在 LVS 主从机上部署 Keepalived 来实现即使主从机通信的 vip 漂移,也不会影响客户机访问后端真实服务器的连续性和稳定性等一系列在高可用集群中的基本配置。
港口运营商:Kubernetes中的Harbor管理解决方案
通过港口运营商,管理员可以轻松地在Kubernetes集群中部署、更新、修复、备份和扩展Harbor实例,确保其高可用性和稳定性。" 知识点: 1. Kubernetes操作符(Kubernetes Operator): Kubernetes操作符是一种用于封装...
Kubernetes - 实战:Harbor仓库的几种高可用方案与搭建
qq_33240556的博客
04-20 579
Harbor 是一个用于存储和分发 Docker 镜像的企业级 Registry,为了提高其可用性和可靠性,可以采用多种高可用方案。
在Kubernetes集群上部署高可用Harbor镜像仓库
weixin_34010949的博客
12-16 295
这里主要介绍使用kubectl部署Harbor镜像仓库到Kubernetes集群中。 使用Helm部署,参考: https://my.oschina.net/u/2306127/blog/1819691 https://blog.youkuaiyun.com/Yan_Chou/article/details/79715995 关于基于Harbor高可用私...
Harbor高可用(haproxy和keepalived)
Raymond的博客
03-01 1725
本示例中的Harbor高可用集群部署将基于以下环境进行。图1-1 Harbor高可用架构表1-1 高可用Kubernetes集群规划。
harbor高可用部署
wyl9527的博客
12-10 1693
harbor镜像仓库部署地址 上面的链接地址描述了如何部署一个单机版的harbor私有镜像仓库。下面介绍高可用版本harbor部署。从harbor的官网可以看到,harbor依赖一些基础组件,如果做高可用,则需要对依赖的租出组件redis,postgresql,nginx等。 本文采用的高可用方案是Harbor的双主复制,该方案比较简单,需要搭建至少两个Harbor节点,并且节点之间能够互相复制,然后通过VIP代理Harbor节点提供外部访问。 示意图如下: 准备工作 我这里使用了2..
【K8S 六】Harbor镜像仓库高可用方案(更新:2022-06-21)
刘元林的博客
06-14 3783
主备方案一:Push镜像到主节点,每次通过vip登录即可(无需判断节点角色),备节点设置“Pull-based”复制模式和“定时”触发模式高频拉取镜像:每小时甚至每分钟拉取一次;(资源浪费) 主备方案二:Push镜像到备节点,每次登录需要先判断哪个是备节点(因为vip会浮动),备节点设置“Push-based”复制模式和“事件驱动”触发模式推送镜像;(较完美:Push镜像到备节点,需要在操作台设置备节点IP到reg.harbor.4a的映射) ............
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bryan Ding

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值