在k8s集群中部署nexus3容器仓库

首先和大家一样,来说说现在比较主流的一些数据仓库

  • Docker官方的Registry原生仓库
  • SuSE团队推出的出的Portus:https://github.com/SUSE/Portus
  • VMWare中国团队推出的企业级仓库—Harbor
  • 大家熟知的Maven私服:Sonatype Nexus3

在网上转悠了一圈,基本上就是上面的几个入了大家的法眼,现在公司是采用的docker原生Registry仓库,仅用来存储私有镜像还是够用了,pull的时候直接使用阿里的镜像库进行加速即可,但随着使用容器化的微服务的增加,对镜像的拉取速度等的要求也越来越高。对比了上面几个容器仓库后,决定使用nexus3作为私服,完成对原生仓库的替换。

在选择nexus3之前,对harbor也进行了调研,但因为nexus3同时可支持pypi、maven、npm等私服,便成了我的首选。

部署

默认已拥有一个可用的k8s集群,使用statefulset创建单点的nexus3服务。

  • 内部域名:nexus3.home-stack.in
  • docker访问域名: docker-registry.home-stack.in

nexus3服务介绍

  • hosted: 本地仓库,可进行pull、push操作
  • proxy: 代理仓库,仅pull
  • group: 聚合仓库,仅pull

为了让nexus3提供的docker仓库pull和push统一域名,这里我们使用nginx作为docker-proxy,group和hosted接口进行合并。nginx捕捉到get请求时,将请求代理到group仓库,捕捉到post请求和search操作时,将请求代理到hosted仓库。

nexus3.yaml

执行如下命令部署

kubectl create -f nexus3.yaml -n nexus3

在部署前,请修改pvc的storageClassName以确保服务正常启动

---
apiVersion: v1
kind: Service
metadata:
  name: nexus3-headless
  labels:
    app: nexus3
spec:
  ports:
    - name: web
      port: 8081
      targetPort: 8081
  clusterIP: None
  selector:
    app: nexus3
---
apiVersion: v1
kind: Service
metadata:
  name: docker-proxy-headless
  labels:
    app: nexus3
spec:
  ports:
    - name: http
      port: 80
  clusterIP: None
  selector:
    app: nexus3

---
apiVersion: v1
kind: ConfigMap
metadata:
  name: docker-proxy
data:
  nginx.conf: |
    upstream nexus_docker_get {
        # docker-public
        server 127.0.0.1:8083;
    }
     
    upstream nexus_docker_put {
        # docker-private
        server 127.0.0.1:8082;
    }
    server {
        listen 80;
        server_name localhost;
        client_max_body_size 0;
        # required to avoid HTTP 411: see Issue #1486 (https://github.com/docker/docker/issues/1486)
        chunked_transfer_encoding on;
        # 设置默认使用推送代理
        set $upstream "nexus_docker_put";
        # 当请求是GET,也就是拉取镜像的时候,这里改为拉取代理,如此便解决了拉取和推送的端口统一
        if ( $request_method ~* 'GET') {
            set $upstream "nexus_docker_get";
        }
        # 只有本地仓库才支持搜索,所以将搜索请求转发到本地仓库,否则出现500报错
        if ($request_uri ~ '/search') {
            set $upstream "nexus_docker_put"; 
        }  
        index index.html index.htm index.php;
        location / {
            proxy_pass http://$upstream;
            proxy_connect_timeout 3600;
            proxy_send_timeout 3600;
            proxy_read_timeout 3600;
            proxy_buffering off;
            proxy_request_buffering off;
            # 修复nginx位于ingress之后导致镜像推送上传失败问题https://docs.docker.com/registry/recipes/nginx/
            # proxy_set_header Host $host;
            # proxy_set_header X-Real-IP $remote_addr;
            # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            # proxy_set_header X-Forwarded-Proto http;
        }
    }
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: nexus3-ingress
  annotations:
    "nginx.ingress.kubernetes.io/proxy-body-size": "1000m"
spec:
  rules:
  - host: nexus3.home-stack.in
    http:
      paths:
      - backend:
          serviceName: nexus3-headless
          servicePort: 8081
        path: /
  - host: docker-registry.home-stack.in
    http:
      paths:
        - backend:
            serviceName: docker-proxy-headless
            servicePort: 80
          path: /
  tls:
    - hosts:
      - nexus3.home-stack.in
      - docker-registry.home-stack.in
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: nexus3
spec:
  serviceName: nexus3-headless
  replicas: 1
  template:
    metadata:
      labels:
        app: nexus3
    spec:
      containers:
        - name: nexus3
          image: sonatype/nexus3:3.19.1
          imagePullPolicy: IfNotPresent
          ports:
            - name: web
              containerPort: 8081
            # - name: docker-private
            #   containerPort: 8082
            # - name: docker-public
            #   containerPort: 8083
          volumeMounts:
            - name: datadir
              mountPath: /nexus-data
        - name: docker-proxy
          image: nginx:alpine
          imagePullPolicy: IfNotPresent
          ports:
            - name: http
              containerPort: 80
          volumeMounts:
          - name: docker-proxy
            mountPath: /etc/nginx/conf.d/default.conf
            subPath: nginx.conf
      volumes:
        - name: docker-proxy
          configMap:
            name: docker-proxy

  volumeClaimTemplates: # 使用模板卷创建pvc
    - metadata:
        name: datadir
      spec:
        accessModes: [ "ReadWriteMany" ]
        storageClassName: nfs-client
        resources:
          requests:
            storage: 100Gi
  selector:
    matchLabels:
      app: nexus3

访问nexus3

修改hosts

# ingress暴露的地址
192.168.1.100   nexus3.home-stack.in
192.168.1.100   docker-registry.home-stack.in

浏览器打开 https://nexus3.home-stack.in ,因为使用的自签证书所以会有安全警告,直接忽略即可。

创建docker服务

参考 https://zhang.ge/5139.html

  • hosted端口:8082
  • group端口:8083

使用说明

修改本机docker配置文件:/etc/docker/daemon.json

{
    "registry-mirrors": ["http://docker-registry.home-stack.in"],
    "insecure-registries" : [ "docker-registry.home-stack.in"]
}

重启docker服务

systemctl restart docker.service

拉取镜像

docker pull docker-registry.home-stack.in/nginx:latest

在nexus3中你配置的docker-proxy仓库查看是否有缓存下来的nginx镜像

推送镜像

docker push docker-registry.home-stack.in/custom-images:tag

在nexus3中你配置的docker-hosted仓库查看是否有上传的custom-images:tag镜像

写在最后

通过nexus3我们可以加速我们对docker仓库中镜像的拉取速度,第一次拉取来源于外网,后续的拉取则优先于本地内网环境了。同时nexus3还提供了其他仓库的支持,有兴趣可以试试看,绝对会有一种豁然开朗的赶脚~

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,463评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,868评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,213评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,666评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,759评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,725评论 1 294
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,716评论 3 415
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,484评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,928评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,233评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,393评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,073评论 5 340
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,718评论 3 324
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,308评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,538评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,338评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,260评论 2 352

推荐阅读更多精彩内容