Создание и синхронизация приватного репозитория Боцман

Введение

Когда используется создание внутреннего репозитория:

Организация внутреннего защищенного хранилища компонентов платформы “Боцман” для последующей установки “Боцман” в закрытом контуре без доступа к сети Интернет.
Организация локального защищенного хранилища компонентов платформы “Боцман” при нестабильном подключении к сети Интернет.
По причине внутренних правил и политик информационной безопасности.
Для ускорения процесса установки платформы “Боцман”.

В примере используется легковесный docker registry (https://hub.docker.com/_/registry)

Заметка

Если вы планируете использовать уже существующий registry на базе harbor, artifactory или иных продуктов, пожалуйста, обратитесь к их официальной документации по их настройке.

Варианты исполнения

Registry находится в двух сетях.
1. Закрытая и доступная для вычислительных мощностей платформы "Боцман".
2. Открытая с доступом к сети Интернет. Возможно ограниченно доступная сеть Интернет с доступом только до публичного registry платформы "Боцман".
Registry находится в двух сетях.
1. Закрытая и доступная для вычислительных мощностей платформы "Боцман".
2. Открытая с доступом к сети Интернет через Прокси с доступом только до публичного registry платформы "Боцман".
Registry находится в двух сетях.
1. Закрытая и доступная для вычислительных мощностей платформы "Боцман".
2. Открытая с доступом к сети Интернет. Возможно ограниченно доступная сеть Интернет с доступом только до публичного registry платформы "Боцман" в определенные часы только для синхронизации.
Registry находится только в закрытой зоне, а пакеты в него загружаются через отчуждаемые носители. Предварительно все пакеты должны быть размещены на отчуждаемом носители на устройстве с доступом к сети Интернет.

Технические требования

Описание параметров

Имя параметра	Описание
OS	Astra Linux, RED OS, Ubuntu
vCPU	2
RAM	8GB
DISK SPACE OS	Не менее 30GB
DISK SPACE DATA	Не менее 100GB
Networking	Не менее 300Мb/s для доступа с серверов куда будет устанавливаться "Боцман"

Шаг 1. Настройка SSL сертификатов

Пример использования самоподписанных сертификатов

Выполните команду создания директории /data/certs на хосте, выделенном под роль registry:

mkdir -p /data/certs

Выполните команду перехода в директорию /data/certs:

cd /data/certs

Выполните команду генерации приватного ключа:

openssl genrsa 1024 > registry.key

Где название файла - это имя хоста или домена. В примере указан registry

Выполните команду выдачи права доступа на файл registry.key:

chmod 400 registry.key

Выполните создание конфигурационного файла san.cnf выпуска сертификата

Пример:

[req]
default_bits  = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
x509_extensions = v3_req
prompt = no

[req_distinguished_name]
countryName = RU
stateOrProvinceName = N/A
localityName = N/A
organizationName = Self-signed certificate
commonName = 120.0.0.1: Self-signed certificate

[req_ext]
subjectAltName = @alt_names

[v3_req]
subjectAltName = @alt_names

[alt_names]
IP.1 = registry ip

Где registry ip - ip адрес хоста с ролью registry, который будет доступен с АРМ

Выполните команду генерации сертификата:

openssl req -new -x509 -nodes -sha256 -days 365 -key registry.key -out registry.crt -config san.cnf

Результатом выполнения команды должен стать файл: registry.crt

Выполните команду запуска registry с поддержкой терминирования TLS соединений (https):

docker run -d -p 443:5000 --name registry-tls  -v /data/certs:/certs -v /data/certs:/certs  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/registry.crt -e REGISTRY_HTTP_TLS_KEY=/certs/registry.key  registry:2.8.3

Шаг 2. Добавление на АРМ сертификата в список доверенных

Выполните команду создания каталога на хосте с ролью АРМ:

mkdir -p /etc/docker/certs.d/registry:443/

Выполните команду, чтобы поместить содержимое файла registry.crt с хоста registry в файл:

/etc/docker/certs.d/registry:443/ca.crt на хосте с ролью АРМ

Выполните команду аутентификации на АРМ в новом докере registry:

docker login registry

Результатом выполнения команды должна стать строка: Login Succeeded

Шаг 3. Настройка скрипта зеркалирования

В архиве поставки дистрибутива bootsman предоставлен скрипт mirror.sh Откройте скрипт mirror.sh в удобном для вас редакторе с настройкой перевода строки формата UNIX (CR). В переменную REGISTRY_ROOT введите harbor.bootsman.host Пример:

REGISTRY_ROOT="harbor.bootsman.host"

В качестве логина - BOOTSMAN_USERNAME используйте ранее предоставленные вам логин, который идет в комплекте с поставкой дистрибутива. В качестве пароля - BOOTSMAN_PASSWORD используйте полную строку из файла лицензии. Без пробелов в конце и начале строки. Пример:

BOOTSMAN_PASSWORD=eyJhbGciOiJFZERTQSIsInR5cCI6IkpXVCIsInZlcnNpb24iOjV9.XXXXXXXXXXXXXXXXXXXXJXHHGGGDGSHSHDHSHDSDHSHDHSHDSHDHSJDHSJDH.KTlLI6kaxLUZNw169r7PMg0yKPA8dDQIXSdzsWAz51b7Nn59EPIgNDUpRz8l1in4GouBXAicrvDvJgIi6j5hCg

В параметр IMAGES_FILE введите версию "Боцман", необходимую для синхронизации. На текущий момент, это version_2.4.1 Пример:

IMAGES_FILE=version_2.4.1

Параметры:

LOCAL_REGISTRY=""
LOCAL_ORG=bootsman
LOCAL_USERNAME=
LOCAL_PASSWORD=

настраиваются в соответствии с настройками вашего локального репозитория.

Шаг 4. Запуск первичного зеркалирования

Выполните команду предоставления прав доступа на запуск скрипта:

chmod +x mirror.sh

Выполните команду запуска зеркалирования репозитория:

./mirror.sh

Внимание!

В файлах version_x.x.x, входящих в состав дистрибутива "Боцман" указаны необходимые артефакты и их версии для зеркалирования. Данные файлы используются скриптом mirror.sh и должны располагаться рядом с ним.

Шаг 5. Запуск зеркалирования по расписанию

Для ежедневного зеркалирования и обновления содержимого репозитория, добавьте исполнение команды mirror.sh в crontab

Выполните команду редактирвания crontab (можно командой crontab -e) и добавьте строку:

@daily /полный/путь/до/mirror.sh

или используйте удобное вам расписание сихнронизации в соответствии с crontab нотацией.