Déployer un registre Harbor hors ligne sur vSphere

Cette rubrique décrit comment installer un registre d'images Harbor privé à partir d'un fichier OVA téléchargé, afin de fournir les images nécessaires pour déployer Tanzu Kubernetes Grid (TKG) dans un environnement de vSphere hors ligne. L'instance Harbor résultante s'exécute en dehors de TKG.

Pour installer une instance Harbor modularisée sur des clusters de charge de travail TKG, à utiliser par les applications hébergées par les clusters, reportez-vous à la section Installer Harbor pour le registre du service dans Création et gestion de clusters de charge de travail TKG 2.1 avec la CLI Tanzu.

Conditions requises

Déployer une image OVA Harbor

Pour déployer Harbor à partir d'une image OVA :

  1. Dans vCenter, cliquez avec le bouton droit sur un cluster vSphere et choisissez Déployer le modèle OVF (Deploy OVF Template)….

    Capture d'écran d'installation Harbor

  2. Une fenêtre Déployer le modèle OVF (Deploy OVF Template) s'affiche. Sélectionnez URL et renseignez le lien de téléchargement du fichier OVA Harbor que vous déployez, par exemple https://artifactory.eng.vmware.com/artifactory/kscom-generic-local/TKG/channels/harbor-team/component/ova-harbor/photon-4-harbor-latest.ova.

    Capture d'écran d'installation Harbor

  3. Cliquez sur SUIVANT (NEXT) en bas à droite. Une série de volets de configuration s'affiche.

    1. Vérification de la source : Cliquez sur OUI (YES).

      Capture d'écran d'installation Harbor

    2. Nom de la machine virtuelle : entrez le nom de votre choix pour la machine virtuelle qui exécute l'instance d'Harbor. Cliquez sur SUIVANT.

      Capture d'écran d'installation Harbor

    3. Sélectionner une ressource de calcul : conservez le choix par défaut et cliquez sur SUIVANT (NEXT).

      Capture d'écran d'installation Harbor

      Cette étape peut prendre quelques minutes, car vSphere télécharge et rend le modèle OVF.

    4. Vérifier les informations : Cliquez sur SUIVANT.

      Capture d'écran d'installation Harbor

    5. Contrats de licence : acceptez la licence et cliquez sur SUIVANT (NEXT).

      Capture d'écran d'installation Harbor

    6. Sélectionner le stockage : sélectionnez vsanDatastore et cliquez sur SUIVANT (NEXT).

      Capture d'écran d'installation Harbor

    7. Sélectionner les réseaux : choisissez la valeur par défaut Réseau de VM (VM Network) et cliquez sur SUIVANT (NEXT).

      Capture d'écran d'installation Harbor

    8. Personnaliser un modèle : remplissez le formulaire :

      1. Mot de passe racine (Root Password) (obligatoire) : Votre mot de passe préféré pour le compte d'utilisateur root sur la machine virtuelle.

        Capture d'écran d'installation Harbor

      2. Autoriser SSH via la racine (Allow SSH via Root) : laissez la valeur par défaut, activée (enabled), pour autoriser ssh à accéder à la machine virtuelle en tant qu'utilisateur root.

        Capture d'écran d'installation Harbor

      3. Nom d'hôte : pour utiliser un nom de domaine complet pour accéder à Harbor, fournissez le nom d'hôte Harbor, par exemple yourdomain.com

      4. Mot de passe administrateur (obligatoire) [Administrator Password (Required)] : mot de passe de l'utilisateur Harbor admin. Utilisé par les administrateurs pour accéder à l'interface utilisateur Harbor et par les conteneurs clients pour extraire et transférer des images. Il doit contenir entre 8 et 128 caractères.

      5. Mot de passe de la base de données Harbor (Harbor Database Password) : mot de passe de la base de données interne Harbor. S'il est fourni, il doit contenir entre 8 et 128 caractères.

      6. Activer le scanner par défaut Harbor (Enable Harbor Default Scanner) : activez ce paramètre pour installer le scanner Trivy et activez-le pour analyser les images au fur et à mesure qu'elles sont téléchargées dans Harbor.

      7. Utiliser un certificat auto-signé pour Harbor (Use Self-signed Certificate For Harbor) :

        • activez ces certificats auto-signés et laissez Certificat d'autorité de certification (CA Certificate), Certificat de serveur (Server Certificate) et Clé de serveur (Server Key) vides.

        • Sinon, désactivez Utiliser un certificat auto-signé pour Harbor (Use Self-signed Certificate For Harbor) et collez le contenu des fichiers multilignes pour Certificat d'autorité de certification (CA Certificate), Certificat de serveur (Server Certificate) et Clé de serveur (Server Key). Lorsque vous les collez dans le formulaire, les valeurs multilignes se transforment en chaîne d'une ligne avec le caractère espace comme délimiteur.

      8. Adresse IP (IP Address), Masque de réseau (Netmask) et Passerelle (Gateway) : une adresse IP statique, un masque de réseau et une passerelle pour eth0, le cas échéant.

        Capture d'écran d'installation Harbor

      9. DNS, Domaine DNS (DNS Domain) : serveur et domaine DNS pour la VM Harbor.

    9. Prêt à terminer (Ready to complete) : vérifiez la configuration et cliquez sur TERMINER (FINISH).

      Capture d'écran d'installation Harbor

Dépannage

Réinitialiser le mot de passe racine

Si vous avez perdu le mot de passe root, récupérez-le en procédant comme suit :

Error: Impossible de récupérer le fichier de manifeste ou de certificat

  1. Si vous voyez Error: Unable to retrieve manifest or certificate file comme ci-dessous, essayez de déployer à nouveau le fichier OVA Harbor.

    Capture d'écran d'installation Harbor

Surveiller et déboguer le déploiement

La première fois que vous déployez un fichier OVA Harbor, Harbor met plusieurs minutes à charger des images Docker.

Pour surveiller le processus et confirmer qu'il progresse, connectez-vous via ssh à la machine virtuelle et exécutez :

watch docker ps

Si Harbor ne s'exécute pas après environ 5 minutes, récupérez le fichier journal sur la machine virtuelle à des fins de débogage :

1. `cd /etc/goharbor/harbor && ./harbor-support.sh --include-private`

1. Find and unzip the log file. It has a name like `/storage/log/harbor_appliance_logs_2022-11-30T09-39-12Z.tar.gz`

Tâches suivantes

Après avoir utilisé ce registre Harbor pour déployer un cluster de gestion dans un environnement à accès restreint à Internet, vous pouvez activer les clusters de charge de travail TKG pour utiliser Harbor de l'une des deux manières suivantes :

  • Utilisez le registre Harbor externe. Si ce registre utilise un certificat d'autorité de certification approuvé, les connexions entre les clusters de charge de travail et le registre sont sécurisées. Si votre registre central utilise des certificats auto-signés, vous pouvez désactiver TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY et spécifier l'option TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE. La définition de cette option injecte automatiquement vos certificats auto-signés dans les clusters de charge de travail.

  • Déployez une deuxième instance d'Harbor en tant que service partagé dans TKG. VMware recommande de déployer le module Harbor en tant que service partagé géré par TKG. Pour plus d'informations, reportez-vous à la section Déployer Harbor dans un cluster de service partagé ou de charge de travail.

Sur les infrastructures avec équilibrage de charge, VMware recommande d'installer le service packagé DNS externe avec le service Harbor, comme décrit dans la section Registre d'hôte et DNS externe.

check-circle-line exclamation-circle-line close-line
Scroll to top icon