Kubernetes容器集群 – harbor倉庫高可用集群部署說明

• 2019 年 10 月 8 日
• 筆記

之前介紹Harbor私有倉庫的安裝和使用，這裡重點說下Harbor高可用集群方案的部署，目前主要有兩種主流的Harbor高可用集群方案：1）雙主複製；2）多harbor實例共享後端存儲。

一、Harbor雙主複製高可用集群

1）主從同步 harbor官方默認提供主從複製的方案來解決鏡像同步問題，通過複製的方式，我們可以實時將測試環境harbor倉庫的鏡像同步到生產環境harbor，類似於如下流程：

在實際生產運維的中，往往需要把鏡像發布到幾十或上百台集群節點上。這時，單個Registry已經無法滿足大量節點的下載需求，因此要配置多個Registry實例做負載均衡。手工維護多個Registry實例上的鏡像，將是十分繁瑣的事情。Harbor可以支援一主多從的鏡像發布模式，可以解決大規模鏡像發布的難題：

只要往一台Harbor上發布，鏡像就會像"仙女散花"般地同步到多個Registry中，高效可靠。

如果是地域分布較廣的集群，還可以採用層次型發布方式，比如從集團總部機房同步到分公司1機房，再從分公司1機房同步到分公司2機房：

然而單靠主從同步，仍然解決不了harbor主節點的單點問題。

2）雙主複製說明 所謂的雙主複製其實就是復用主從同步實現兩個harbor節點之間的雙向同步，來保證數據的一致性，然後在兩台harbor前端頂一個負載均衡器將進來的請求分流到不同的實例中去，只要有一個實例中有了新的鏡像，就是自動的同步複製到另外的的實例中去，這樣實現了負載均衡，也避免了單點故障，在一定程度上實現了Harbor的高可用性：

這個方案有一個問題就是有可能兩個Harbor實例中的數據不一致。假設如果一個實例A掛掉了，這個時候有新的鏡像進來，那麼新的鏡像就會在另外一個實例B中，後面即使恢復了掛掉的A實例，Harbor實例B也不會自動去同步鏡像，這樣只能手動的先關掉Harbor實例B的複製策略，然後再開啟複製策略，才能讓實例B數據同步，讓兩個實例的數據一致。另外，這裡還需要多吐槽一句：在實際生產使用中，主從複製十分的不靠譜！！所以這裡推薦使用下面要說的這種方案。

二、多harbor實例共享後端存儲的高可用集群（推薦方案）

方案說明 共享後端存儲算是一種比較標準的方案，就是多個Harbor實例共享同一個後端存儲，任何一個實例持久化到存儲的鏡像，都可被其他實例中讀取。通過前置LB進來的請求，可以分流到不同的實例中去處理，這樣就實現了負載均衡，也避免了單點故障：

這個方案在實際生產環境中部署需要考慮三個問題： 1. 共享存儲的選取，Harbor的後端存儲目前支援AWS S3、Openstack Swift, Ceph等，在下面的實驗環境里，暫且直接使用nfs。 2. Session在不同的實例上共享，這個現在其實已經不是問題了，在最新的harbor中，默認session會存放在redis中，只需要將redis獨立出來即可。可以通過redis sentinel或者redis cluster等方式來保證redis的可用性。在下面的實驗環境里，暫且使用單台redis。 3. Harbor多實例資料庫問題，這個也只需要將harbor中的資料庫拆出來獨立部署即可。讓多實例共用一個外部資料庫，資料庫的高可用也可以通過資料庫的高可用方案保證。

部署記錄

1. 環境說明  ========================================================================================  ip                  hostname         role  172.16.60.240       host-240         harbor  172.16.60.244       host-244         harbor  172.16.60.245       host-245         nfs    需要注意：  這裡的環境中，不包括LB負載均衡器的配置，兩台harbor前面需要架設一個LB層（比如Nginx+Keepalived），配置這裡省略~    [root@host-240 ~]# cat /etc/redhat-release  CentOS Linux release 7.5.1804 (Core)  [root@host-240 ~]# systemctl stop firewalld  [root@host-240 ~]# systemctl disable firewalld  [root@host-240 ~]# firewall-cmd --state  not running  [root@host-240 ~]# setenforce 0  [root@host-240 ~]# cat /etc/sysconfig/selinux  SELINUX=disabled    2. 172.16.60.245節點機操作  =======================================================================================  1) 安裝配置nfs  [root@host-245 ~]# yum install -y rpcbind nfs-utils    編輯/etc/exports文件  [root@host-245 ~]# vim /etc/exports  /kevin   *(rw,no_root_squash)    [root@host-245 ~]# mkdir /kevin  [root@host-245 ~]# chmod -R 777 /kevin    開啟nfs的RCP服務和查看rpcbind服務埠  [root@host-245 ~]# systemctl start rpcbind  [root@host-245 ~]# systemctl enable rpcbind    開啟nfs服務  [root@host-245 ~]# systemctl start nfs  [root@host-245 ~]# systemctl enable nfs    3. 172.16.60.240/244兩台harbor節點機操作  =======================================================================================  1）在兩個harbor節點上掛載nfs目錄  [root@host-240 harbor]# mount -t nfs 172.16.60.245:/kevin /data  mount: wrong fs type, bad option, bad superblock on 172.16.60.245:/kevin,         missing codepage or helper program, or other error         (for several filesystems (e.g. nfs, cifs) you might         need a /sbin/mount.<type> helper program)           In some cases useful info is found in syslog - try         dmesg | tail or so.    [root@host-240 harbor]# yum install nfs-utils  [root@host-240 harbor]# mount -t nfs 172.16.60.245:/kevin /data    2）安裝harbor  可以參考：https://www.cnblogs.com/kevingrace/p/6547616.html  兩個節點harbor相互配置同步，實現harbor主主複製  安裝harbor後，可以在host-240和host-245節點上查看harbor容器情況：  [root@host-240 harbor]# docker-compose ps        Name                     Command                  State                 Ports  ---------------------------------------------------------------------------------------------  harbor-core         /harbor/start.sh                 Up (healthy)  harbor-db           /entrypoint.sh postgres          Up (healthy)   5432/tcp  harbor-jobservice   /harbor/start.sh                 Up  harbor-log          /bin/sh -c /usr/local/bin/ ...   Up (healthy)   127.0.0.1:1514->10514/tcp  harbor-portal       nginx -g daemon off;             Up (healthy)   80/tcp  nginx               nginx -g daemon off;             Up (healthy)   0.0.0.0:80->80/tcp  redis               docker-entrypoint.sh redis ...   Up             6379/tcp  registry            /entrypoint.sh /etc/regist ...   Up (healthy)   5000/tcp  registryctl         /harbor/start.sh                 Up (healthy)    可以嘗試登錄容器  [root@host-240 harbor]# docker ps|grep harbor-db  680bd1ed9e48        goharbor/harbor-db:v1.8.0     "/entrypoint.sh post…"   6 days ago          Up 6 days (healthy)   5432/tcp                    harbor-db  [root@host-240 harbor]# docker exec -ti harbor-db bash  root [ / ]#    這裡需要注意：  harbor同步配置可以參考：https://www.cnblogs.com/kevingrace/p/10995648.html  harbor主主複製(兩個harbor節點相互配置到對方的同步策略)時，注意：  "同步管理"規則里的"同步模式"（建議使用push推送模式。push模式是推到目標倉庫，pull模式是從源倉庫拉取過來）  "同步管理"規則里的"觸發模式" (建議採用定時模式，比如每10秒鐘同步一次：*/10 * * * * *)  "同步管理"規則里的"源資源過濾器"（如果沒有過濾需求，就不要配置這一項）    4. LB配置  =======================================================================================  在兩個harbor節點的前面部署LB負載均衡層，通過VIP提供統一入口 (如域名)，實現harbor訪問的負載均衡和高可用。  可以通過綁定hosts到不同的節點來驗證兩個節點的負載均衡效果。    5. 額外需要注意  =======================================================================================  這裡使用nfs作為harbor的後端，還可以使用ceph作為後端存儲（ceph部署可參考：https://www.cnblogs.com/kevingrace/p/9141432.html）  這裡沒有考慮到harbor高可用時的session問題，如果要解決session問題，可以使用外部的mysql和redis！！    1）比如在172.16.60.245機器上再部署mysql和redis（需提前安全docker和docker和docker-compose）    docker-compose.yml文件內容如下：  [root@host-245 ~]# vim docker-compose.yml  version: '3'  services:    mysql-server:      hostname: mysql-server      container_name: mysql-server      image: mysql:5.7      network_mode: host      volumes:        - /mysql57/kevin:/var/lib/mysql      command: --character-set-server=utf8      environment:        MYSQL_ROOT_PASSWORD: 123456    redis:      hostname: redis-server      container_name: redis-server      image: redis:3      network_mode: host    啟動docker-compose  [root@host-245 ~]# docker-compose up -d    啟動後查看  [root@host-245 ~]# docker-compose ps      Name                  Command               State   Ports  -------------------------------------------------------------  mysql-server   docker-entrypoint.sh --cha ...   Up  redis-server   docker-entrypoint.sh redis ...   Up    可以嘗試登錄mysql容器資料庫中  [root@host-245 ~]# docker-compose exec mysql-server bash  root@mysql-server:/# mysql -p123456    或者直接登錄  [root@host-245 ~]# docker-compose exec mysql-server mysql -p123456    2）接著需要往172.16.60.245上部署的mysql資料庫中導入harbor節點的registry資料庫    在兩台harbor節點上導出資料庫，並將registry.dump複製出來  # docker exec -it harbor_db /bin/bash    登陸harbor_db容器後執行：    mysqldump -uroot -p --databases registry > registry.dump  # docker cp  harbor_db:/registry.dump ./  再將registry.dump複製到245節點的mysql容器中  # scp ./registry.dump [email protected]:/root    在245節點上，將registry資料庫導入到mysql容器中  # docker cp /root/registry.dump mysql-server:/registry.dump  # docker exec -it mysql-server /bin/bash    登陸到mysql容器後執行：    mysql -uroot -p123456    mysql> source /registry.dump    3) 在兩個harbor節點上，修改harbor.yml文件，需要修改成使用外部資料庫及redis  db_host = 172.16.60.245  db_password = 123456  db_port = 3306  db_user = root  redis_url = 172.16.60.245:6379    修改docker-compose.yml配置  由於harbor集群已使用外部的資料庫和redis解決session問題，故需要將docker-compose.yml文件里關於資料庫和redis的配置去掉。    ====================================================================================  由於Harbor新版本里增加了對PostgreSQL資料庫的支援, 不使用mysql資料庫。  可以在docker-compose.yml文件里將對應的postgresql容器改為mysql容器（參考之前的harbor版本配置）