راهکار کمکی دریافت ایمیج از رجیستری‌های پابلیک

میرور ستون؛ راهکار کمکی برای دریافت ایمیج از رجیستری‌های پابلیک در کوبرنتیز ستون

می‌دانیم برای دریافت Image‌ها در کوبرنتیز از راهکارهای کمکی مختلفی مانند Container Registry Mirror و Proxy استفاده می‌شود. در صورت نیاز به تغییر این تنظیمات در ماشین‌های کارگر (Worker) در نودپول‌های فعلی، بدون تاثیر پذیرفتن پادهای در حال اجرا، برای کوبرنتیز نسخه‌ی ۱.۲۴ و نسخه‌های به‌روزتر، امکان انجام وجود دارد که در این مستند روش انجام آن بیان می‌شود.

به دلایل امنیتی، IP های ماشین‌های Worker، تنها از داخل Subnet مربوط به کلاستر قابل دسترسی است. در نتیجه برای اتصال ssh به ماشین‌های کارگر (Worker Node) و تغییر پیکربندی containerd نیاز داریم یک ماشین کامپیوت دارای ExternalIP در داخل آن Subnet بسازیم. معمولا از این ماشین با نام Bastion یاد می‌شود. این ماشین نیاز به ریسورس زیادی ندارد و با حداقل ریسورس (مثلا از نوع b2) قابل استفاده است.

نکات مهم

سابنت مربوط به کلاستر کوبرنتیز، در صفحه‌ی مشخصات کلاستر در پنل قابل مشاهده است.

برای دریافت IP ماشین‌های کارگر (worker) مورد نظر می‌توانید از دستور kubectl get nodes -owide استفاده نمایید.

تغییر تنظیمات میرور در کوبرنتیز ستون

برای راحتی کار می‌توانید از Ansible مشابه نمونه‌ای که در انتهای این مستند آمده است، استفاده کنید. این انسیبل، در صورتی که آن را در فایلی با نام playbook.yml ذخیره کرده باشید؛ با دستوری مشابه زیر قابل اجرا است.

ansible-playbook playbook.yml --inventory "WORKER_IP_2,WORKER_IP_1" --extra-vars="mirror_url=MY_MIRROR_URL_1 default_mirror_url=MY_MIRROR_URL_2" -u cluster-admin --ssh-common-args='-o ProxyJump="BASTION_USERNAME@BASTION_IP"'

نکات

در پارامتر inventory، لیست IP ماشین‌های کارگری که می‌خواهید تنظیمات روی آن اعمال شود را وارد نمایید.

در پارامتر mirror_url و default_mirror_url آدرس میرور مورد نظرتان را وارد نمایید.

در پارامتر ProxyJump نیاز است username و IP ماشین Bastion خود را وارد نمایید.

یک مثال از دستور مشابه با مقادیر وارد شده:

ansible-playbook playbook.yml --inventory "10.0.0.210,10.0.0.89" --extra-vars="mirror_url=https://mirror.registry.platform.ske.sotoon.ir default_mirror_url=https://mirror.registry.platform.ske.sotoon.ir" -u cluster-admin --ssh-common-args='-o ProxyJump="compute@87.247.184.136"'

محتوای فایل playbook.yml می‌تواند مطابق مثال زیر باشد. در این playbook، آدرس دو Mirror یکی برای رجیستری‌های عمومی (Public Registry) پراستفاده و یکی به عنوان میرور پیش‌فرض (Default Mirror) تنظیم می‌شود. میرور کمکی ستون با آدرس https://mirror.registry.platform.ske.sotoon.ir نیز برای رجیستری‌های معروف مشخص شده در کد تنظیم می‌شود.

توجه

۱. در حال حاضر راهکار میرور ستون تنها برای رجیستری‌های معروف زیر قابل استفاده است و تضمینی برای پشتیبانی رجیستری‌های دیگر نمی‌دهد.

docker.io

ghcr.io

gcr.io

quay.io

registry.k8s.io

۲. راهکار میرور ستون، تنها امکان دریافت ایمیج‌های عمومی (Public Images) را از طریق رجیستری‌های عمومی (Public Registries) می‌دهد و در صورت تنظیم کردن Authentication روی یک ایمیج در رجیستری عمومی، امکان دریافت آن از طریق میرور ستون وجود ندارد. مثلا اگر ایمیج اپلیکیشن خود را روی ghcr.io قرار داده‌اید (Push) و روی آن Authentication تنظیم کرده‌اید، میرور ستون آن را پشتیبانی نمی‌کند. برای حل این مساله می‌توانید از رجیستری‌های تحریم‌نشده استفاده کنید که نیازمند میرور نباشند یا ایمیج مورد نظر را با در نظر گرفتن موارد امنیتی عمومی کنید.

۳. راهکار کمکی دریافت ایمیج از رجیستری‌های عمومی (Public Registry) به عنوان یک محصول کمکی رایگان (Best Effort)، تنها در سرویس کوبرنتیز ستون، ارائه می‌شود و تضمین عملکردی (SLA) روی آن قابل تعریف نیست چرا که مساله‌ی نوع و پروتکل‌های انواع محدودیت‌ها و تحریم‌هایی که از سوی رجیستری‌های عمومی روی IPهای ایران اعمال می‌شود، قابل کنترل نیست.

نکته

محیط اجرایی Containerd به ازای هر رجیستری عمومی یا اصطلاحا Namespace، می‌تواند از لیستی از Mirror ها استفاده کند. در نتیجه می‌توانید برای هر namespace چندین میرور متفاوت تنظیم نمایید تا در صورت بروز مشکل در یکی، همچنان کلاستر در دریافت ایمیج‌ها دچار مشکل نشود. مثلا برای docker.io می‌توانید در کنار میرور ستون، میرورهای مد نظر خود را نیز اضافه کنید.

# contents of playbook.yml file
- hosts: all
  tasks:
    - name: Check the containerd configuration. If there are already mirror configurations, do NOT proceed with the playbook
      command: crictl info
      register: crictl_output
      changed_when: false
      failed_when: "'mirrors' in crictl_output.stdout"
 
    - name: Check for the existence of the /etc/containerd/certs.d directory
      stat:
        path: /etc/containerd/certs.d
      register: certs_d_dir
 
    - name: Check for the registry.mirrors phrase in /etc/containerd/config.toml
      slurp:
        src: /etc/containerd/config.toml
      register: config_toml
 
    - name: Fail if /etc/containerd/certs.d exists or registry.mirrors is found, the playbook considers both are not set before.
      fail:
        msg: "Either /etc/containerd/certs.d exists or 'registry.mirrors' is present in /etc/containerd/config.toml."
      when: certs_d_dir.stat.exists or ('registry.mirrors' in config_toml.content | b64decode)
 
    - name: Set containerd daemon configuration for mirrors
      blockinfile:
        path: /etc/containerd/config.toml
        create: yes
        block: |
          #StartSKEMirrorConfig
          [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
            endpoint = ["{{ mirror_url }}", "https://mirror.registry.platform.ske.sotoon.ir"]
          [plugins."io.containerd.grpc.v1.cri".registry.mirrors."gcr.io"]
            endpoint = ["{{ mirror_url }}", "https://mirror.registry.platform.ske.sotoon.ir"]
          [plugins."io.containerd.grpc.v1.cri".registry.mirrors."k8s.gcr.io"]
            endpoint = ["{{ mirror_url }}", "https://mirror.registry.platform.ske.sotoon.ir"]
          [plugins."io.containerd.grpc.v1.cri".registry.mirrors."ghcr.io"]
            endpoint = ["{{ mirror_url }}", "https://mirror.registry.platform.ske.sotoon.ir"]
          [plugins."io.containerd.grpc.v1.cri".registry.mirrors."quay.io"]
            endpoint = ["{{ mirror_url }}", "https://mirror.registry.platform.ske.sotoon.ir"]
          [plugins."io.containerd.grpc.v1.cri".registry.mirrors."k8s.io"]
            endpoint = ["{{ mirror_url }}", "https://mirror.registry.platform.ske.sotoon.ir"]
          [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.k8s.io"]
            endpoint = ["{{ mirror_url }}", "https://mirror.registry.platform.ske.sotoon.ir"]
          # Note: Containerd does NOT fallback to the default mirror for namespaces defined like above.
          [plugins."io.containerd.grpc.v1.cri".registry.mirrors."*"]
            endpoint = ["{{ default_mirror_url }}"]
          #EndSKEMirrorConfig
      become: yes
 
    - name: Restart containerd on node
      systemd:
        name: containerd
        state: restarted
        daemon_reload: true
      become: yes

دو کامنت #StartSKEMirrorConfig و #EndSKEMirrorConfig برای سهولت تغییر این تنظیمات توسط پشتیبانی ستون به درخواست کاربر است، توصیه می‌شود آن را حذف نکنید.

مستندات

📄 راهکار کمکی دریافت ایمیج از رجیستری‌های پابلیک

میرور ستون؛ راهکار کمکی برای دریافت ایمیج از رجیستری‌های پابلیک در کوبرنتیز ستون

تغییر تنظیمات میرور در کوبرنتیز ستون

فهرست