自宅用プライベートコンテナレジストリの設置

自宅クラウド用にコンテナレジストリを設置しました．

はじめに
コンテナレジストリの選択肢
Harbor のインストール
Harbor へのコンテナイメージの登録
登録したイメージの使用
ヒント: latest タグでの運用
まとめ

はじめに

自宅に Kubernetes 環境を構築すると，そこで動かすコンテナイメージを格納しておくレジストリが必要になります．Docker Hub とかのサービスを利用することもできるのですが，下記の観点から自宅に構築することにしました．

コンテナイメージの中に何らかのパスワードとかが入ってしまっても大事にならないようにしたい
イメージサイズが数百 MB 程度のサイズになっても，ストレスなく使いたい

コンテナレジストリの選択肢

このような用途に合ったソリューションを調べたところ，現状では次の2つの選択肢があることが分かりました．

Docker registry
Harbor

名前になじんでいることから最初 Docker registry を選択してみたのですが，Web インターフェースがなく，とっつきにかったので，早々に Harbor に移行しました．

というわけで，以降では docker-compose を使って Harbor を動かす方法を紹介します．

Harbor のインストール

Web を検索すると既に古くなった煩雑な手順が色々出てきますが，現時点では基本的には下記の手順に従えば OK です．

準備としては設定ファイル1個を編集するだけなのでとてもお手軽です．

Harbor – Harbor Installation and Configuration

まず，インストール用のファイルを取得し，設定ファイルのひな型を用意します．

$ wget https://github.com/goharbor/harbor/releases/download/v2.4.3/harbor-online-installer-v2.4.3.tgz
$ tar zxvf harbor-online-installer-v2.4.3.tgz
$ cd harbor
$ cp harbor.yml.tmpl harbor.yml

$ wget https://github.com/goharbor/harbor/releases/download/v2.4.3/harbor-online-installer-v2.4.3.tgz

$ tar zxvf harbor-online-installer-v2.4.3.tgz

$ cd harbor

$ cp harbor.yml.tmpl harbor.yml

編集するのは，次の2項目です．

ホスト名の指定: Harbor をインストールするサーバのホスト名に変更します．
HTTPS の無効化: 自宅クラウドの場合，HTTPS を使うのは煩雑なので，無効化します．

具体的な編集内容は下記のとおりです．「registry.green-rabbit.net」は手元の環境のものに置き換えてください(以降同様)．

@@ -1,23 +1,23 @@
 # Configuration file of Harbor

 # The IP address or hostname to access admin UI and registry service.
 # DO NOT use localhost or 127.0.0.1, because Harbor needs to be accessed by external clients.
-hostname: reg.mydomain.com
+hostname: registry.green-rabbit.net

 # http related config
 http:
   # port for http, default is 80. If https enabled, this port will redirect to https port
   port: 80

 # https related config
-https:
-  # https port for harbor, default is 443
-  port: 443
-  # The path of cert and key files for nginx
-  certificate: /your/certificate/path
-  private_key: /your/private/key/path
+# https:
+#   # https port for harbor, default is 443
+#   port: 443
+#   # The path of cert and key files for nginx
+#   certificate: /your/certificate/path
+#   private_key: /your/private/key/path

 # # Uncomment following will enable tls communication between all harbor components
 # internal_tls:
 #   # set enabled to true means internal tls is enabled
 #   enabled: true

@@ -1,23 +1,23 @@

# Configuration file of Harbor

# The IP address or hostname to access admin UI and registry service.

# DO NOT use localhost or 127.0.0.1, because Harbor needs to be accessed by external clients.

-hostname: reg.mydomain.com

+hostname: registry.green-rabbit.net

# http related config

http:

# port for http, default is 80. If https enabled, this port will redirect to https port

port: 80

# https related config

-https:

- # https port for harbor, default is 443

- port: 443

- # The path of cert and key files for nginx

- certificate: /your/certificate/path

- private_key: /your/private/key/path

+# https:

+# # https port for harbor, default is 443

+# port: 443

+# # The path of cert and key files for nginx

+# certificate: /your/certificate/path

+# private_key: /your/private/key/path

# # Uncomment following will enable tls communication between all harbor components

# internal_tls:

# # set enabled to true means internal tls is enabled

# enabled: true

必要に応じてデータの置き場所である data_volume も変更します．

編集が終わったら，次のコマンドを実行すればインストール完了です．

$ sudo ./install.sh

1	$ sudo ./install.sh

「hostname」で指定したアドレスにアクセスすると，Web インターフェースが表示されると思います．上記の設定ファイルで編集してなければ，ユーザ: admin，パスワード: Harbor12345 でログインできると思います．

Harbor へのコンテナイメージの登録

構築した Harbor では HTTPS ではなく，HTTP を使うようにしているので，Docker の設定が必要になります．

具体的には /etc/docker/daemon.json に対して次の設定が必要になります．ファイルがない場合は作成します．

+{
+    "insecure-registries" : [
+        "registry.green-rabbit.net"
+    ]
+}

+ "insecure-registries" : [

+ "registry.green-rabbit.net"

+ ]

修正が終わったら，下記のコマンドを実行して設定を反映します．

$ sudo systemctl restart docker.service

1	$ sudo systemctl restart docker.service

あとは，次のコマンドでログイン設定を行い，

$ docker login registry.green-rabbit.net

1	$ docker login registry.green-rabbit.net

次のようなスクリプトを実行すれば，レジストリにイメージを登録できると思います．

#!/usr/bin/env zsh

NAME=test
REGISTRY=registry.green-rabbit.net/library

docker build . -t ${NAME}
docker tag ${NAME} ${REGISTRY}/${NAME}
docker push ${REGISTRY}/${NAME}

#!/usr/bin/env zsh

NAME=test

REGISTRY=registry.green-rabbit.net/library

docker build . -t ${NAME}

docker tag ${NAME} ${REGISTRY}/${NAME}

docker push ${REGISTRY}/${NAME}

Harbor にアクセスすると，下図のように登録されたイメージが確認できます．

ここまで手順を Ansible レシピにしたものを下記に置いています．

https://github.com/kimata/server_init/blob/main/roles/registry/tasks/main.yml

登録したイメージの使用

HTTP を使うので，Docker と同様に containerd に対しても2点の設定が必要になります．

認証の無効化: TLS の認証を無効化するため，「insecure_skip_verify = true」を指定します．
HTTP の指定: ローカルのレジストリホストの場合は HTTP でアクセスさせるため，「endpoint = [“http://registry.green-rabbit.net”]」を指定します．

具体的には /etc/containerd/config.toml に対して次のように追記を行います．

@@ -107,11 +107,11 @@
       config_path = ""

       [plugins."io.containerd.grpc.v1.cri".registry.auths]

       [plugins."io.containerd.grpc.v1.cri".registry.configs]
+        [plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls]
+          insecure_skip_verify = true

       [plugins."io.containerd.grpc.v1.cri".registry.headers]

       [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
+        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"]
+          endpoint = ["http://registry.green-rabbit.net"]

     [plugins."io.containerd.grpc.v1.cri".x509_key_pair_streaming]
       tls_cert_file = ""
       tls_key_file = ""

@@ -107,11 +107,11 @@

config_path = ""

[plugins."io.containerd.grpc.v1.cri".registry.auths]

[plugins."io.containerd.grpc.v1.cri".registry.configs]

+ [plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls]

+ insecure_skip_verify = true

[plugins."io.containerd.grpc.v1.cri".registry.headers]

[plugins."io.containerd.grpc.v1.cri".registry.mirrors]

+ [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"]

+ endpoint = ["http://registry.green-rabbit.net"]

[plugins."io.containerd.grpc.v1.cri".x509_key_pair_streaming]

tls_cert_file = ""

tls_key_file = ""

この設定は，Harbor にアクセスすることになるすべてのサーバーで必要になります．したがって，以下のような Ansible のレシピを用意し，ノードの初期化時に自動的に設定してしまうのがお勧めです．

-   name: Setting containerd (enable cgroup, add local registry)
    lineinfile:
        path: /etc/containerd/config.toml
        regexp: '{{item.regexp}}'
        line: '{{item.line}}'
        insertafter: '{{item.insertafter}}'
    with_items:
    -   regexp: 'endpoint = \["http://registry.green-rabbit.net"\]'
        line: '          endpoint = ["http://registry.green-rabbit.net"]'
        insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors\]'
    -   regexp: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"\]'
        line: '        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"]'
        insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors\]'
    -   regexp: 'insecure_skip_verify = true'
        line: '          insecure_skip_verify = true'
        insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.configs\]'
    -   regexp: '\[plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls\]'
        line: '        [plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls]'
        insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.configs\]'

- name: Setting containerd (enable cgroup, add local registry)

lineinfile:

path: /etc/containerd/config.toml

regexp: '{{item.regexp}}'

line: '{{item.line}}'

insertafter: '{{item.insertafter}}'

with_items:

- regexp: 'endpoint = \["http://registry.green-rabbit.net"\]'

line: ' endpoint = ["http://registry.green-rabbit.net"]'

insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors\]'

- regexp: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"\]'

line: ' [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"]'

insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors\]'

- regexp: 'insecure_skip_verify = true'

line: ' insecure_skip_verify = true'

insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.configs\]'

- regexp: '\[plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls\]'

line: ' [plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls]'

insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.configs\]'

設定が終わったら，下記のコマンドを実行して設定を反映します．

$ sudo systemctl restart containerd

1	$ sudo systemctl restart containerd

あとは，Deployment 等でコンテナイメージを指定する際に，「image: registry.green-rabbit.net/library/test:latest」のようにレジストリホスト名を記載してやれば OK です．

ヒント: latest タグでの運用

本来はイメージの更新のたびにタグを変えるようにして運用すべきですが，自宅用だとタグは「latest」に固定したくなると思います．その場合，イメージを更新されてもそれが Pod に更新されなくなってしまいます．

これを対策するには，次のようにするのがお勧めです．

まず，イメージを指定する際に「imagePullPolicy: Always」を指定するようにします．これにより，Pod が再起動する際にタグに変更がなくても毎回レジストリからイメージを取得するようになります．そのうえで，次のようなコマンドを実行すると，Pod がイメージを更新しながら再起動するようになります．

% kubectl rollout restart --namespace panel deployment

1	% kubectl rollout restart --namespace panel deployment

上記の例の場合，panel ネームスペース内のすべての deployment が再起動されます．

まとめ

Harbor を使ってプライベートコンテナレジストリを設置する方法を紹介しました．

今回は Harbor を docker-compose で動かしていますが，Kubernetes に慣れてきたら Harbor もクラスタ上で動かしてみたいと思います．