Alauda DevOps Connectors Docs
  • Русский

    • Быстрый старт

    Этот документ поможет вам быстро понять, как создать коннектор Harbor для подключения к реестру Harbor и безопасного выполнения операций с образами контейнеров без прямой работы с учетными данными.

    Мы создадим коннектор Harbor и используем его для выполнения операций с образами контейнеров без прямой работы с учетными данными на стороне клиента.

    Содержание

    Оценочное время чтенияТребованияОбзор процессаШаги для выполненияШаг 1: Создать NamespaceШаг 2: Создать учетные данные реестра Harbor и коннекторШаг 3: Создать Job для выполнения операций с контейнерамиШаг 4: Проверить выполнение операцииКак это работает

    Оценочное время чтения

    15 минут

    Требования

    • Kubernetes кластер с установленной системой Connectors (компоненты Operator, ConnectorsCore и ConnectorsHarbor). Подробнее об установке этих компонентов смотрите в Installation Guide.
    • Адрес реестра Harbor и учетные данные
    • Базовые знания Kubernetes и реестров контейнеров
    • Реестр Harbor должен быть доступен и поддерживать стандартные API реестров контейнеров

    Обзор процесса

    ШагОперацияОписание
    1Создать NamespaceСоздать выделенное пространство имен для демонстрации
    2Настроить учетные данные реестра Harbor и коннекторСоздать секрет аутентификации и ресурс коннектора Harbor
    3Создать Job для выполнения операций с контейнерамиСоздать Job, который выполняет операции с контейнерами через коннектор
    4Проверить выполнение операцииУбедиться, что образ был успешно собран и отправлен

    Шаги для выполнения

    Шаг 1: Создать Namespace

    Создайте выделенное пространство имен для этой демонстрации:

    kubectl create ns connectors-harbor-demo

    Шаг 2: Создать учетные данные реестра Harbor и коннектор

    Создайте Secret с учетными данными реестра Harbor и ресурс коннектора Harbor.

    Более подробную информацию о создании и настройке коннекторов смотрите в Connectors Quick Start Guide.

    cat <<EOF | kubectl apply -n connectors-harbor-demo -f -
kind: Secret
apiVersion: v1
metadata:
  name: harbor-secret
type: kubernetes.io/basic-auth
stringData:
  username: your-username # Замените на имя пользователя вашего реестра Harbor
  password: your-password # Замените на пароль вашего реестра Harbor
---
apiVersion: connectors.alauda.io/v1alpha1
kind: Connector
metadata:
  name: harbor-connector
spec:
  connectorClassName: harbor
  address: https://harbor.example.com # Замените на адрес вашего реестра Harbor
  auth:
    name: basicAuth
    secretRef:
      name: harbor-secret
EOF

    Проверьте, что коннектор готов:

    kubectl get connector harbor-connector -n connectors-harbor-demo

    Шаг 3: Создать Job для выполнения операций с контейнерами

    Создайте ConfigMap с примером Containerfile:

    cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
  name: containerfile
  namespace: oci-connector-demo
data:
  Containerfile: |
    FROM scratch
    LABEL maintainer="example@example.com"
    WORKDIR /app
    ENV APP_VERSION="1.0.0"
EOF

    Создайте Job, который использует коннектор для сборки и отправки образа контейнера:

    cat <<EOF | kubectl apply -f -
apiVersion: batch/v1
kind: Job
metadata:
  name: image-build
  namespace: oci-connector-demo
spec:
  template:
    spec:
      restartPolicy: Never
      containers:
      - name: buildkit
        image: moby/buildkit:v0.11.0
        securityContext:
          privileged: true
        env:
        - name: BUILDKITD_FLAGS
          value: "--config /etc/buildkit/buildkitd.toml"
        command:
        - /bin/sh
        - -c
        args:
        - |
          set -ex
          export http_proxy=$(cat /tmp/http.proxy)
          export https_proxy=$(cat /tmp/https.proxy)
          export HTTP_PROXY=$http_proxy
          export HTTPS_PROXY=$https_proxy
          export no_proxy=localhost,127.0.0.1
          export NO_PROXY=$no_proxy
          echo "Используется прокси: http_proxy=$http_proxy, https_proxy=$https_proxy, no_proxy=$no_proxy"

          buildctl-daemonless.sh \
          build \
          --progress=plain \
          --frontend=dockerfile.v0 \
          --local context=/workspace \
          --local dockerfile=/workspace \
          --output type=image,name=harbor.example.com/library/image:v1,push=true
        volumeMounts:
        - name: containerfile
          mountPath: /workspace
        - name: proxyconfig
          mountPath: /tmp/
      volumes:
      - name: containerfile
        configMap:
          name: containerfile
      - name: proxyconfig
        csi:
          readOnly: true
          driver: connectors-csi
          volumeAttributes:
            connector.name: "harbor-connector"
EOF

    Проверьте, что Job запущен:

    kubectl get job image-build -n connectors-harbor-demo

    Ключевые параметры в определении тома:

    • connector.name: Имя вашего OCI коннектора
    • configuration.names: Указывает, какую конфигурацию генерировать из OCI ConnectorClass:
      • "registry-config": Генерирует конфигурацию аутентификации (config.json), необходимую для любых операций с реестром
      • "buildkitd": Генерирует конфигурацию демона BuildKit для доступа к небезопасному реестру
      • если не указано, будет смонтирована конфигурация по умолчанию
    • mountPath: Указывает, куда в контейнере должна быть смонтирована конфигурация:
      • "/root/.docker" для конфигурации аутентификации buildkit

    Шаг 4: Проверить выполнение операции

    Проверьте логи Job, чтобы убедиться, что образ был успешно собран и отправлен:

    kubectl logs -f job/image-build -n oci-connector-demo

    Вы должны увидеть процесс сборки и отправки образа в реестр.

    Как это работает

    Коннектор Harbor работает следующим образом:

    1. Создает прокси-сервис, который обрабатывает аутентификацию с реестром Harbor
    2. Монтирует конфигурацию прокси в Pod через CSI драйвер
    3. Использует конфигурацию прокси через переменные окружения во время операций с образами контейнеров
    4. Прокси-сервис проверяет конфигурацию прокси и внедряет учетные данные аутентификации реестра Harbor

    Это позволяет рабочим нагрузкам обращаться к реестру Harbor без прямой работы с учетными данными.