devbox
Cpp五条
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Harbor 对接 MinIO 和 NFS ,详细教程_nfs minio

作者:Cpp五条 | 2024-05-08 11:51:55

nfs minio

一、前言

Harbor 的部署可以使用 NFS 存储,虽然可以使用 rsync+inotify 做数据同步做解决单点问题,但是 NFS 效率/性能有限,没有对象存储那么强大,所以一般使用对象存储居多,这里选用 MinIO 对象存储软件,当然也可以使用Ceph或者其它对象存储。

二、MinIO on K8S 部署

MinIO 的介绍可以参考这篇文章:高性能分布式对象存储 MinIO 部署

这里使用 Helm 部署 MinIO ,关于 Helm 的介绍可以参考官方文档

官方文档:https://helm.sh/zh/docs/

部署步骤如下:

1)下载安装 MinIO 包

  1. mkdir -p /opt/k8s/bigdata/minio;cd /opt/k8s/bigdata/minio
  2. # 添加数据源
  3. helm repo add bitnami https://charts.bitnami.com/bitnami
  4. # 下载
  5. helm pull bitnami/minio
  6. # 解压部署包
  7. tar -xf minio-11.9.2.tgz

2)修改配置

添加文件minio/templates/storage-class.yaml,内容如下:

  1. kind: StorageClass
  2. apiVersion: storage.k8s.io/v1
  3. metadata:
  4.   name: minio-local-storage
  5. provisioner: kubernetes.io/no-provisioner
  6. volumeBindingMode: WaitForFirstConsumer

添加 pv 配置 minio/templates/pv.yaml

  1. {{- range .Values.persistence.local }}
  2. ---
  3. apiVersion: v1
  4. kind: PersistentVolume
  5. metadata:
  6.   name: {{ .name }}
  7. spec:
  8.   capacity:
  9.     storage: {{ .size }}
  10.   accessModes:
  11.   - ReadWriteOnce
  12.   persistentVolumeReclaimPolicy: Retain
  13.   storageClassName: minio-local-storage
  14.   local:
  15.     path: {{ .path }}
  16.   nodeAffinity:
  17.     required:
  18.       nodeSelectorTerms:
  19.       - matchExpressions:
  20.         - key: kubernetes.io/hostname
  21.           operator: In
  22.           values:
  23.           - {{ .host }}
  24.  ---
  25. {{- end }}

修改配置minio/values.yaml

  1. service:
  2.   type: NodePort
  3.   nodePorts:
  4.     api: "30900"
  5.     console: "30901"
  6.  
  7. # ---
  8. # 这里先部署单节点,后面会详细讲在k8s中部署分布式minio,这里的重点是Harbor对接minio
  9. mode: standalone
  10.  
  11. # ---
  12. statefulset:
  13.   replicaCount: 4
  14.  
  15. # ---
  16. persistence
  17.   enabled: true
  18.   storageClass: minio-local-storage
  19.   size: 1Gi
  20.   local:
  21.     - name: minio-pv-0
  22.       size: 1Gi
  23.       path: /opt/k8s/bigdata/minio/data
  24.       host: local-168-182-110

【温馨提示】需要提前在对应的节点上创建对应的目录。

3)开始部署

  1. cd /opt/k8s/bigdata/minio
  2. helm install minio ./minio \
  3.   --namespace=minio \
  4.   --create-namespace

回显如下:

  1. NAME: minio
  2. LAST DEPLOYED: Sun Aug 28 09:13:06 2022
  3. NAMESPACE: minio
  4. STATUS: deployed
  5. REVISION: 1
  6. TEST SUITE: None
  7. NOTES:
  8. CHART NAME: minio
  9. CHART VERSION: 11.9.2
  10. APP VERSION: 2022.8.22
  11.  
  12. ** Please be patient while the chart is being deployed **
  13.  
  14. MinIO® can be accessed via port  on the following DNS name from within your cluster:
  15.  
  16.    minio.minio.svc.cluster.local
  17.  
  18. To get your credentials run:
  19.  
  20.    export ROOT_USER=$(kubectl get secret --namespace minio minio -o jsonpath="{.data.root-user}" | base64 -d)
  21.    export ROOT_PASSWORD=$(kubectl get secret --namespace minio minio -o jsonpath="{.data.root-password}" | base64 -d)
  22.  
  23. To connect to your MinIO® server using a client:
  24.  
  25. - Run a MinIO® Client pod and append the desired command (e.g. 'admin info'):
  26.  
  27.    kubectl run --namespace minio minio-client \
  28.      --rm --tty -i --restart='Never' \
  29.      --env MINIO_SERVER_ROOT_USER=$ROOT_USER \
  30.      --env MINIO_SERVER_ROOT_PASSWORD=$ROOT_PASSWORD \
  31.      --env MINIO_SERVER_HOST=minio \
  32.      --image docker.io/bitnami/minio-client:2022.8.11-debian-11-r3 -- admin info minio
  33.  
  34. To access the MinIO® web UI:
  35.  
  36. - Get the MinIO® URL:
  37.  
  38.    export NODE_PORT=$(kubectl get --namespace minio -o jsonpath="{.spec.ports[0].nodePort}" services minio)
  39.    export NODE_IP=$(kubectl get nodes --namespace minio -o jsonpath="{.items[0].status.addresses[0].address}")
  40.    echo "MinIO® web URL: http://$NODE_IP:$NODE_PORT/minio"

查看

kubectl get pods,svc -n minio -owide

webUI 登录:
http://local-168-182-110:30901
账号密码通过以下方式查询:

  1.  
  2. export ROOT_USER=$(kubectl get secret --namespace minio minio -o jsonpath="{.data.root-user}" | base64 -d)
  3. echo $ROOT_USER
  4. export ROOT_PASSWORD=$(kubectl get secret --namespace minio minio -o jsonpath="{.data.root-password}" | base64 -d)
  5. echo $ROOT_PASSWORD

4)安装 mc 测试

  1. cd /opt/k8s/bigdata/minio
  2. wget https://dl.min.io/client/mc/release/linux-amd64/mc
  3. chmod +x mc
  4. ln -s /opt/k8s/bigdata/minio/mc /usr/bin/mc
  5. mc --help

添加 MinIO 存储服务

  1. mc config host add minio http://local-168-182-110:30900 admin Kgb4zZT1cU
  2. mc admin info minio
  3. # 并创建bucket harbor
  4. mc mb minio/harbor
  5. mc ls minio

常用命令参数:

  1. ls       列出文件和文件夹。
  2. mb       创建一个存储桶或一个文件夹。
  3. cat      显示文件和对象内容。
  4. pipe     将一个STDIN重定向到一个对象或者文件或者STDOUT。
  5. share    生成用于共享的URL。
  6. cp       拷贝文件和对象。
  7. mirror   给存储桶和文件夹做镜像。
  8. find     基于参数查找文件。
  9. diff     对两个文件夹或者存储桶比较差异。
  10. rm       删除文件和对象。
  11. events   管理对象通知。
  12. watch    监听文件和对象的事件。
  13. policy   管理访问策略。
  14. session  为cp命令管理保存的会话。
  15. config   管理mc配置文件。
  16. update   检查软件更新。
  17. version  输出版本信息。

5)卸载

  1. helm uninstall minio -n minio
  2. kubectl delete ns minio --force

三、Harbor on K8S 部署

1)创建 stl 证书

  1. mkdir /opt/k8s/bigdata/harbor/stl && cd /opt/k8s/bigdata/harbor/stl
  2. # 生成 CA 证书私钥
  3. openssl genrsa -out ca.key 4096
  4. # 生成 CA 证书
  5. openssl req -x509 -new -nodes -sha512 -days 3650 \
  6.  -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=harbor/OU=harbor/CN=myharbor-minio.com" \
  7.  -key ca.key \
  8.  -out ca.crt
  9. # 创建域名证书,生成私钥
  10. openssl genrsa -out myharbor-minio.com.key 4096
  11. # 生成证书签名请求 CSR
  12. openssl req -sha512 -new \
  13.     -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=harbor/OU=harbor/CN=myharbor-minio.com" \
  14.     -key myharbor-minio.com.key \
  15.     -out myharbor-minio.com.csr
  16. # 生成 x509 v3 扩展
  17. cat > v3.ext <<-EOF
  18. authorityKeyIdentifier=keyid,issuer
  19. basicConstraints=CA:FALSE
  20. keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
  21. extendedKeyUsage = serverAuth
  22. subjectAltName = @alt_names
  23.  
  24. [alt_names]
  25. DNS.1=myharbor-minio.com
  26. DNS.2=*.myharbor-minio.com
  27. DNS.3=hostname
  28. EOF
  29. #创建 Harbor 访问证书
  30. openssl x509 -req -sha512 -days 3650 \
  31.     -extfile v3.ext \
  32.     -CA ca.crt -CAkey ca.key -CAcreateserial \
  33.     -in myharbor-minio.com.csr \
  34.     -out myharbor-minio.com.crt

2)创建 secret

  1. kubectl create ns harbor-minio
  2. kubectl create secret tls myharbor-minio.com --key myharbor-minio.com.key --cert myharbor-minio.com.crt -n harbor-minio
  3. kubectl get secret myharbor-minio.com -n harbor-minio

3)下载 harbor 安装包

  1. cd /opt/k8s/bigdata/harbor
  2. helm repo add harbor https://helm.goharbor.io
  3. helm pull harbor/harbor
  4. tar -xf harbor-1.9.3.tgz

4)配置 minio 存储

这里存储镜像和 Chart 使用minio

persistence 是默认 enabled 的,StorageClass 是默认的 在 k8s 集群中需要使用,来动态地提供卷。在"StorageClass"中指定另一个 StorageClass 或设置"existingClaim" ,如果您已经使用了现有的持久卷。

对于存储镜像和 Chart,你也可以使用“azure”,“gcs”,“s3”,“swift”或“oss”。在“imageChartStorage”部分设置它。

即 registry 和 chartmuseum 使用 minio 存储。

具体参考:https://github.com/goharbor/harbor-helm

  1. persistence:
  2.   enabled: true
  3.   imageChartStorage:
  4.     disableredirect: true
  5.     type: s3
  6.     filesystem:
  7.       rootdirectory: /storage
  8.       #maxthreads: 100
  9.     s3:
  10.       # region描述的是服务器的物理位置,默认是us-east-1(美国东区1),这也是亚马逊S3的默认区域
  11.       region: us-west-1
  12.       bucket: harbor
  13.       # 账号,密码
  14.       accesskey: admin
  15.       secretkey: Kgb4zZT1cU
  16.       # 这里minio.minion是<service-name>.<namespace-name>
  17.       regionendpoint: http://minio.minio:9000
  18.       encrypt: false
  19.       secure: false
  20.       v4auth: true
  21.       chunksize: "5242880"
  22.       rootdirectory: /
  23.       redirect:
  24.         disabled: false
  25.     maintenance:
  26.       uploadpurging:
  27.         enabled: false
  28.     delete:
  29.       enabled: true

6)安装 nfs (harbor 本身服务存储)

harbor 本身服务的存储这里使用 nfs。

即 Redis、Postgresql 数据库、JobService 和 trivy 使用 nfs。

1、所有节点安装 nfs

yum -y install  nfs-utils rpcbind

2、在 master 节点创建共享目录并授权

  1. mkdir /opt/nfsdata
  2. # 授权共享目录
  3. chmod 666 /opt/nfsdata

3、配置 exports 文件

  1. cat > /etc/exports<<EOF
  2. /opt/nfsdata *(rw,no_root_squash,no_all_squash,sync)
  3. EOF
  4. # 配置生效
  5. exportfs -r

4、启动 rpc 和 nfs(客户端只需要启动 rpc 服务)(注意顺序)

  1. systemctl start rpcbind
  2. systemctl start nfs-server
  3. systemctl enable rpcbind
  4. systemctl enable nfs-server
  5. # 查看
  6. showmount -e
  7. showmount -e 192.168.182.110

5、客户端

  1. # 安装
  2. yum -y install  nfs-utils rpcbind
  3. # 启动rpc服务
  4. systemctl start rpcbind
  5. systemctl enable rpcbind
  6. # 创建挂载目录
  7. mkdir /mnt/nfsdata
  8. # 挂载
  9. echo "192.168.182.110:/opt/nfsdata /mnt/nfsdata     nfs    defaults  0 1">> /etc/fstab
  10. mount -a

6、创建 nfs provisioner 和持久化存储 SC

  1. # 添加数据源
  2. helm repo add nfs-subdir-external-provisioner https://kubernetes-sigs.github.io/nfs-subdir-external-provisioner/
  3.  
  4. # 开始安装
  5. helm install nfs-subdir-external-provisioner nfs-subdir-external-provisioner/nfs-subdir-external-provisioner \
  6.   --namespace=nfs-provisioner \
  7.   --create-namespace \
  8.   --set image.repository=willdockerhub/nfs-subdir-external-provisioner \
  9.   --set image.tag=v4.0.2 \
  10.   --set replicaCount=2 \
  11.   --set storageClass.name=nfs-client \
  12.   --set storageClass.defaultClass=true \
  13.   --set nfs.server=192.168.182.110 \
  14.   --set nfs.path=/opt/nfsdata
  15.  
  16. # 查看
  17. kubectl get pods,deploy,sc -n nfs-provisioner

7)开始安装

  1. cd /opt/k8s/bigdata/harbor
  2. helm install myharbor-minio --namespace harbor-minio ./harbor \
  3.   --set expose.ingress.hosts.core=myharbor-minio.com \
  4.   --set expose.ingress.hosts.notary=notary.myharbor-minio.com \
  5.   --set-string expose.ingress.annotations.'nginx\.org/client-max-body-size'="1024m" \
  6.   --set persistence.persistentVolumeClaim.registry.storageClass=nfs-client
  7.   --set persistence.persistentVolumeClaim.jobservice.storageClass=nfs-client \
  8.   --set persistence.persistentVolumeClaim.database.storageClass=nfs-client \
  9.   --set persistence.persistentVolumeClaim.redis.storageClass=nfs-client \
  10.   --set persistence.persistentVolumeClaim.trivy.storageClass=nfs-client \
  11.   --set persistence.persistentVolumeClaim.chartmuseum.storageClass=nfs-client \
  12.   --set persistence.enabled=true \
  13.   --set expose.tls.secretName=myharbor-minio.com \
  14.   --set externalURL=https://myharbor-minio.com \
  15.   --set harborAdminPassword=xxxxxxxxx

这里虽然给 chartmuseum 和 registry 指定了 storageClass 为 nfs-client,但最终不会创建 pvc,因为只要persistence.imageChartStorage.type不设置为filesystem,就不会创建 pvc,具体可以查看 templates/registry/registry-pvc.yaml 和 templates/chartmuseum/chartmuseum-pvc.yaml 查看创建 pvc 的条件。

即 registry 和 chartmuseum 还是使用上面指定的 minio 存储。

回显如下:

  1. NAME: myharbor
  2. LAST DEPLOYED: Sun Aug 28 11:27:47 2022
  3. NAMESPACE: harbor-minio
  4. STATUS: deployed
  5. REVISION: 1
  6. TEST SUITE: None
  7. NOTES:
  8. Please wait for several minutes for Harbor deployment to complete.
  9. Then you should be able to visit the Harbor portal at https://myharbor-minio.com
  10. For more details, please visit https://github.com/goharbor/harbor

查看

kubectl get pods,svc,ingress -n  harbor-minio

配置/etc/hosts,如果有域名解析就可忽略

  1. 192.168.182.110 myharbor-minio.com
  2. 192.168.182.111 myharbor-minio.com
  3. 192.168.182.112 myharbor-minio.com

Harbor web:https://myharbor-minio.com

8)Containerd 配置 Harbor

以前使用 docker-engine 的时候,只需要修改/etc/docker/daemon.json 就行,但是新版的 k8s 已经使用 containerd 了,所以这里需要做相关配置,要不然 containerd 会失败。证书(ca.crt)可以在页面上下载:

创建域名目录

  1. mkdir /etc/containerd/myharbor-minio.com
  2. cp ca.crt /etc/containerd/myharbor-minio.com/

配置文件:/etc/containerd/config.toml

  1. [plugins."io.containerd.grpc.v1.cri".registry]
  2.       config_path = ""
  3.  
  4.       [plugins."io.containerd.grpc.v1.cri".registry.auths]
  5.  
  6.       [plugins."io.containerd.grpc.v1.cri".registry.configs]
  7.         [plugins."io.containerd.grpc.v1.cri".registry.configs."myharbor-minio.com".tls]
  8.           insecure_skip_verify = true  #跳过认证
  9.           ca_file = "/etc/containerd/myharbor-minio.com/ca.crt"
  10.         [plugins."io.containerd.grpc.v1.cri".registry.configs."myharbor-minio.com".auth]
  11.           username = "admin"
  12.           password(删掉这里) = "xxxxxxxxx"
  13.  
  14.       [plugins."io.containerd.grpc.v1.cri".registry.headers]
  15.  
  16.       [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
  17.         [plugins."io.containerd.grpc.v1.cri".registry.mirrors."myharbor-minio.com"]
  18.           endpoint = ["https://myharbor-minio.com"]

重启 containerd

  1. #重新加载配置
  2. systemctl daemon-reload
  3. #重启containerd
  4. systemctl restart containerd

9)测试验证

  1. # tag
  2. # ctr 有命名空间 namespace 来指定类似于工作空间的隔离区域。使用方法 ctr -n default images ls 来查看 default 命名空间的镜像,不加 -n 参数,默认也是使用default的命名空间。i:images
  3. ctr -n k8s.io i tag docker.io/bitnami/minio:2022.8.22-debian-11-r0 myharbor-minio.com/bigdata/minio:2022.8.22-debian-11-r0
  4.  
  5. # 推送镜像到harbor
  6. ctr --namespace=k8s.io images push myharbor-minio.com/bigdata/minio:2022.8.22-debian-11-r0 --skip-verify --user admin:xxxxxxxxx
  7.  
  8. # --namespace=k8s.io 指定命名空间,不是必须,根据环境而定
  9. # --skip-verify 跳过认证
  10. # --user 指定harbor用户名及密码

查看 minio :
http://local-168-182-110:30901/

查看 minio 中 harbor bucket 是否存在 docker 目录。如果存在说明成功。

查看 minio :
http://local-168-182-110:30901/

10)卸载

helm uninstall myharbor-minio -n harbor-minio

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Cpp五条/article/detail/554447
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号