自宅用プライベートコンテナレジストリの設置

自宅クラウド用にコンテナレジストリを設置しました．

はじめに
コンテナレジストリの選択肢
Harbor のインストール
Harbor へのコンテナイメージの登録
登録したイメージの使用
ヒント: latest タグでの運用
まとめ

はじめに

自宅に Kubernetes 環境を構築すると，そこで動かすコンテナイメージを格納しておくレジストリが必要になります．Docker Hub とかのサービスを利用することもできるのですが，下記の観点から自宅に構築することにしました．

コンテナイメージの中に何らかのパスワードとかが入ってしまっても大事にならないようにしたい
イメージサイズが数百 MB 程度のサイズになっても，ストレスなく使いたい

コンテナレジストリの選択肢

このような用途に合ったソリューションを調べたところ，現状では次の2つの選択肢があることが分かりました．

Docker registry
Harbor

名前になじんでいることから最初 Docker registry を選択してみたのですが，Web インターフェースがなく，とっつきにかったので，早々に Harbor に移行しました．

というわけで，以降では docker-compose を使って Harbor を動かす方法を紹介します．

Harbor のインストール

Web を検索すると既に古くなった煩雑な手順が色々出てきますが，現時点では基本的には下記の手順に従えば OK です．

準備としては設定ファイル1個を編集するだけなのでとてもお手軽です．

Harbor – Harbor Installation and Configuration

まず，インストール用のファイルを取得し，設定ファイルのひな型を用意します．

$ wget https://github.com/goharbor/harbor/releases/download/v2.4.3/harbor-online-installer-v2.4.3.tgz
$ tar zxvf harbor-online-installer-v2.4.3.tgz
$ cd harbor
$ cp harbor.yml.tmpl harbor.yml

$ wget https://github.com/goharbor/harbor/releases/download/v2.4.3/harbor-online-installer-v2.4.3.tgz

$ tar zxvf harbor-online-installer-v2.4.3.tgz

$ cd harbor

$ cp harbor.yml.tmpl harbor.yml

編集するのは，次の2項目です．

ホスト名の指定: Harbor をインストールするサーバのホスト名に変更します．
HTTPS の無効化: 自宅クラウドの場合，HTTPS を使うのは煩雑なので，無効化します．

具体的な編集内容は下記のとおりです．「registry.green-rabbit.net」は手元の環境のものに置き換えてください(以降同様)．

@@ -1,23 +1,23 @@
 # Configuration file of Harbor

 # The IP address or hostname to access admin UI and registry service.
 # DO NOT use localhost or 127.0.0.1, because Harbor needs to be accessed by external clients.
-hostname: reg.mydomain.com
+hostname: registry.green-rabbit.net

 # http related config
 http:
   # port for http, default is 80. If https enabled, this port will redirect to https port
   port: 80

 # https related config
-https:
-  # https port for harbor, default is 443
-  port: 443
-  # The path of cert and key files for nginx
-  certificate: /your/certificate/path
-  private_key: /your/private/key/path
+# https:
+#   # https port for harbor, default is 443
+#   port: 443
+#   # The path of cert and key files for nginx
+#   certificate: /your/certificate/path
+#   private_key: /your/private/key/path

 # # Uncomment following will enable tls communication between all harbor components
 # internal_tls:
 #   # set enabled to true means internal tls is enabled
 #   enabled: true

@@ -1,23 +1,23 @@

# Configuration file of Harbor

# The IP address or hostname to access admin UI and registry service.

# DO NOT use localhost or 127.0.0.1, because Harbor needs to be accessed by external clients.

-hostname: reg.mydomain.com

+hostname: registry.green-rabbit.net

# http related config

http:

# port for http, default is 80. If https enabled, this port will redirect to https port

port: 80

# https related config

-https:

- # https port for harbor, default is 443

- port: 443

- # The path of cert and key files for nginx

- certificate: /your/certificate/path

- private_key: /your/private/key/path

+# https:

+# # https port for harbor, default is 443

+# port: 443

+# # The path of cert and key files for nginx

+# certificate: /your/certificate/path

+# private_key: /your/private/key/path

# # Uncomment following will enable tls communication between all harbor components

# internal_tls:

# # set enabled to true means internal tls is enabled

# enabled: true

必要に応じてデータの置き場所である data_volume も変更します．

編集が終わったら，次のコマンドを実行すればインストール完了です．

$ sudo ./install.sh

1	$ sudo ./install.sh

「hostname」で指定したアドレスにアクセスすると，Web インターフェースが表示されると思います．上記の設定ファイルで編集してなければ，ユーザ: admin，パスワード: Harbor12345 でログインできると思います．

Harbor へのコンテナイメージの登録

構築した Harbor では HTTPS ではなく，HTTP を使うようにしているので，Docker の設定が必要になります．

具体的には /etc/docker/daemon.json に対して次の設定が必要になります．ファイルがない場合は作成します．

+{
+    "insecure-registries" : [
+        "registry.green-rabbit.net"
+    ]
+}

+ "insecure-registries" : [

+ "registry.green-rabbit.net"

+ ]

修正が終わったら，下記のコマンドを実行して設定を反映します．

$ sudo systemctl restart docker.service

1	$ sudo systemctl restart docker.service

あとは，次のコマンドでログイン設定を行い，

$ docker login registry.green-rabbit.net

1	$ docker login registry.green-rabbit.net

次のようなスクリプトを実行すれば，レジストリにイメージを登録できると思います．

#!/usr/bin/env zsh

NAME=test
REGISTRY=registry.green-rabbit.net/library

docker build . -t ${NAME}
docker tag ${NAME} ${REGISTRY}/${NAME}
docker push ${REGISTRY}/${NAME}

#!/usr/bin/env zsh

NAME=test

REGISTRY=registry.green-rabbit.net/library

docker build . -t ${NAME}

docker tag ${NAME} ${REGISTRY}/${NAME}

docker push ${REGISTRY}/${NAME}

Harbor にアクセスすると，下図のように登録されたイメージが確認できます．

ここまで手順を Ansible レシピにしたものを下記に置いています．

Build software better, together

GitHub is where people build software. More than 100 million people use GitHub to discover, fork, and contribute to over 330 million projects.

登録したイメージの使用

HTTP を使うので，Docker と同様に containerd に対しても2点の設定が必要になります．

認証の無効化: TLS の認証を無効化するため，「insecure_skip_verify = true」を指定します．
HTTP の指定: ローカルのレジストリホストの場合は HTTP でアクセスさせるため，「endpoint = [“http://registry.green-rabbit.net”]」を指定します．

具体的には /etc/containerd/config.toml に対して次のように追記を行います．

@@ -107,11 +107,11 @@
       config_path = ""

       [plugins."io.containerd.grpc.v1.cri".registry.auths]

       [plugins."io.containerd.grpc.v1.cri".registry.configs]
+        [plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls]
+          insecure_skip_verify = true

       [plugins."io.containerd.grpc.v1.cri".registry.headers]

       [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
+        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"]
+          endpoint = ["http://registry.green-rabbit.net"]

     [plugins."io.containerd.grpc.v1.cri".x509_key_pair_streaming]
       tls_cert_file = ""
       tls_key_file = ""

@@ -107,11 +107,11 @@

config_path = ""

[plugins."io.containerd.grpc.v1.cri".registry.auths]

[plugins."io.containerd.grpc.v1.cri".registry.configs]

+ [plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls]

+ insecure_skip_verify = true

[plugins."io.containerd.grpc.v1.cri".registry.headers]

[plugins."io.containerd.grpc.v1.cri".registry.mirrors]

+ [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"]

+ endpoint = ["http://registry.green-rabbit.net"]

[plugins."io.containerd.grpc.v1.cri".x509_key_pair_streaming]

tls_cert_file = ""

tls_key_file = ""

この設定は，Harbor にアクセスすることになるすべてのサーバーで必要になります．したがって，以下のような Ansible のレシピを用意し，ノードの初期化時に自動的に設定してしまうのがお勧めです．

-   name: Setting containerd (enable cgroup, add local registry)
    lineinfile:
        path: /etc/containerd/config.toml
        regexp: '{{item.regexp}}'
        line: '{{item.line}}'
        insertafter: '{{item.insertafter}}'
    with_items:
    -   regexp: 'endpoint = \["http://registry.green-rabbit.net"\]'
        line: '          endpoint = ["http://registry.green-rabbit.net"]'
        insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors\]'
    -   regexp: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"\]'
        line: '        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"]'
        insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors\]'
    -   regexp: 'insecure_skip_verify = true'
        line: '          insecure_skip_verify = true'
        insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.configs\]'
    -   regexp: '\[plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls\]'
        line: '        [plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls]'
        insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.configs\]'

- name: Setting containerd (enable cgroup, add local registry)

lineinfile:

path: /etc/containerd/config.toml

regexp: '{{item.regexp}}'

line: '{{item.line}}'

insertafter: '{{item.insertafter}}'

with_items:

- regexp: 'endpoint = \["http://registry.green-rabbit.net"\]'

line: ' endpoint = ["http://registry.green-rabbit.net"]'

insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors\]'

- regexp: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"\]'

line: ' [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.green-rabbit.net"]'

insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.mirrors\]'

- regexp: 'insecure_skip_verify = true'

line: ' insecure_skip_verify = true'

insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.configs\]'

- regexp: '\[plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls\]'

line: ' [plugins."io.containerd.grpc.v1.cri".registry.configs."registry.green-rabbit.net".tls]'

insertafter: '\[plugins."io.containerd.grpc.v1.cri".registry.configs\]'

設定が終わったら，下記のコマンドを実行して設定を反映します．

$ sudo systemctl restart containerd

1	$ sudo systemctl restart containerd

あとは，Deployment 等でコンテナイメージを指定する際に，「image: registry.green-rabbit.net/library/test:latest」のようにレジストリホスト名を記載してやれば OK です．

ヒント: latest タグでの運用

本来はイメージの更新のたびにタグを変えるようにして運用すべきですが，自宅用だとタグは「latest」に固定したくなると思います．その場合，イメージを更新されてもそれが Pod に更新されなくなってしまいます．

これを対策するには，次のようにするのがお勧めです．

まず，イメージを指定する際に「imagePullPolicy: Always」を指定するようにします．これにより，Pod が再起動する際にタグに変更がなくても毎回レジストリからイメージを取得するようになります．そのうえで，次のようなコマンドを実行すると，Pod がイメージを更新しながら再起動するようになります．

% kubectl rollout restart --namespace panel deployment

1	% kubectl rollout restart --namespace panel deployment

上記の例の場合，panel ネームスペース内のすべての deployment が再起動されます．

まとめ

Harbor を使ってプライベートコンテナレジストリを設置する方法を紹介しました．

今回は Harbor を docker-compose で動かしていますが，Kubernetes に慣れてきたら Harbor もクラスタ上で動かしてみたいと思います．