기존에 사용하고 있던 Harbor에 LDAP를 연동해서 쓰고 있었는데 LDAP 서버가 문제가 생기는 바람에 더 이상 로그인이 불가능 한 상황에 이르렀습니다. 밀고 다시 설치할까 하던 중에 공식 홈페이지에 2.0.0 버전이 릴리즈 되었다는 사실을 알게 되어 이렇게 된 김에 버전을 올리기로 하였습니다.
공식 홈페이지 글에 따르면 크게 세가지 변경점이 있다고 합니다.
- OCI 호환.
- Aqua Trivy를 기본 스캐너로 탑재.
- 다크 모드 지원.
다크 모드로 보다 세련되어 보이게 변경되었습니다. 맘에 드네요. 그럼 기존 설치한 Harbor 1.10.2 버전을 2.0.0 버전으로 업그레이드해 보도록 하겠습니다.
1. Harbor 요구사항 확인.
다행스럽게도 기존 요구사항이 2.0으로 오면서 변경되거나 하지는 않았습니다. Harbor의 요구사항은 다음과 같습니다.
Harbor는 리눅스에서 동작합니다. 기존 버전에서는 우분투 서버 18.04.3버전을 사용했습니다.
하드웨어 요구사항은 다음과 같습니다.
| 리소스 | 최소 사양 | 권장 사양 |
| CPU | 2 CPU | 4CPU |
| 메모리 | 4 GB | 8 GB |
| 스토리지 | 40 GB | 160 GB |
소프트웨어 요구사항은 다음과 같습니다.
| 소프트웨어 | 버전 |
| Docker Engine | 17.06.0 CE 버전 이상 |
| Docker Compose | 1.18.0 버전 이상 |
| OpenSSL | 최신 버전 권장 |
도커 및 도커 컴포즈 설치는 다음 글을 참고해주세요.
네트워크 포트 사용은 다음과 같습니다.
| 포트 | 프로토콜 | 설명 | |||
| 443 | HTTPS | Harbor 포털 및 코어 API는이 포트에서 HTTPS 요청을 수락합니다. 구성 파일에서이 포트를 변경할 수 있습니다. | |||
| 4443 | HTTPS | 하버 용 Docker Content Trust 서비스에 대한 연결입니다. 공증(Notary)이 활성화 된 경우에만 필요합니다. 구성 파일에서이 포트를 변경할 수 있습니다. | |||
| 80 | HTTP | Harbor 포털 및 코어 API는이 포트에서 HTTP 요청을 수락합니다. 구성 파일에서이 포트를 변경할 수 있습니다. | |||
2. Harbor Installer 다운로드.
Harbor 릴리즈 페이지로 이동하여 원하는 버전을 다운받습니다. 여러 버전이 있지만 이 글에서는 2.0 버전으로의 업그레이드를 목적으로 하고 있기 때문에 2.0.0 태그의 버전을 다운받도록 하겠습니다. 별다른 문제나 요구가 없는 한 "harbor-offline-installer-v2.0.0.tgz" 파일을 다운로드하여주시면 됩니다.
다운로드한 파일이 위치한 폴더로 이동한 뒤 다음 명령어로 압축을 풀어줍니다.
$ tar xvf harbor-offline-installer-v2.0.0.tgz
3. Harbor 사전 설정.
파일이 준비되었으면 설치할 때 적용될 설정 파일을 수정해야 합니다. 기존 harbor.yml에서 .tmpl이 추가된 것으로 보입니다. hatbot.yml의 탬플릿의 느낌 같네요. 직접 파일을 열어보면 아시겠지만 변경된 내용이 좀 있습니다.
우선 TLS관련 설정이 추가되었습니다. HTTPS 바로 아래에 추가되었으니 TLS 설정이 필요하신분은 건드리시면 될 겁니다.
공식 홈페이지에 따르면 이 기능에 대한 설명은 다음과 같습니다.
By default, The internal communication between Harbor’s component (harbor-core,harbor-jobservice,proxy,harbor-portal,registry,registryctl,trivy_adapter,clair_adapter,chartmuseum) use HTTP protocol which might not be secure enough for some production environment. Since Harbor v2.0, TLS can be used for this internal network. In production environments, always use HTTPS is a recommended best practice.
This functionality is introduced via the internal_tls in harbor.yml file. To enabled internal TLS, set enabled to true and set the dir value to the path of directory that contains the internal cert files.
기본적으로 Harbor 구성 요소 (하버 코어, 하버 작업 서비스, 프록시, 하버 포털, 레지스트리, 레지스트리) 간의 내부 통신은 일부 프로덕션 환경에 충분히 안전하지 않을 수 있는 HTTP 프로토콜을 사용합니다. Harbor v2.0부터 이 내부 네트워크에 TLS를 사용할 수 있습니다. 프로덕션 환경에서는 항상 HTTPS를 사용하는 것이 좋습니다.
이 기능은 internal_tlsin harbor.yml파일을 통해 도입되었습니다 . 내부 TLS를 활성화하기 위해서는 enabled값을 true로 설정하고 dir을 내부 인증 파일이 포함된 디렉터리 경로로 설정하세요.
또한 Trivy설정이 추가되었습니다. Trivy를 간단하게 설명하자면 다음과 같습니다.
A Simple and Comprehensive Vulnerability Scanner for Containers, Suitable for CI
CI에 적합한 컨테이너를위한 간단하고 포괄적인 취약점 스캐너
Trivy에 관심이 있으신 분은 여기를 참조해 주시길 바라며 이 기능은 추후 사용하게된다면 포스팅하겠습니다.
그 외의 설정은 모두 동일합니다. 이제 이 파일을 복사해 줍시다.
$ cp harbor.yml.tmpl harbor.yml
복사한 harbor.yml파일을 적절하게 수정해 줍시다. 다른 건 몰라도 hostname은 변경해야 합니다. 물론 실제 도커를 사용하기 위해서는 인증서도 적용해야 합니다.
$ vi harbor.yml
4. Harbor 설치.
이제 남은 건 인스톨 스크립트를 실행하는 것뿐입니다. 업그레이드를 하는 경우 기존에 돌아가고 있는 harbor를 내리는 것을 잊지 마세요.
$ sudo docker-compose down -v
혹시 몰라서 구 버전의 harbor docker compose 파일이 존재하는 폴더에서 실행시켜줬습니다.
이제 새 버전의 harbor을 설치합니다.
$ sudo ./install.sh
쭉 설치가 진행되고 마지막에 성공적으로 설치되었으며 자동으로 시작되었다는 메시지가 출력됩니다.
이제 호스트로 이동하면 정상적으로 harbor에 접속할 수 있습니다.
'Programming > Linux' 카테고리의 다른 글
| [Kubernetes] 쿠버네티스가 왜 필요하고 무엇을 할 수 있나? (0) | 2020.07.09 |
|---|---|
| [MySQL] Ubuntu Server 20.04에 MySQL설치하기. (0) | 2020.06.25 |
| [SSH] ssh 기본 포트 변경하기. (0) | 2020.06.03 |
| [Docker] Harbor에 LDAP 연결하기. (0) | 2020.04.28 |
| [Docker] Harbor에 HTTPS 연결하기. (0) | 2020.04.27 |