鯖缶

• Setup Harbor with Let's Encrypt | by Cedric Hopf | The Startup
  • certbot の証明書を使わせるにはフックの機構を使って自分でスクリプトを用意してやることになるらしい。

EDIT(2024-08-01): Caddy を reverse proxy にして TLS termination したら何事もなくいけた。

• Deploy Harbor image repository on NFS share - problem · Issue #13209 · goharbor/harbor
  • NFS にイメージを置くにも一工夫必要か？

NFS とかは後で考えるとして、ひとまず普通に立ててみる。

Hardware¶

The following table lists the minimum and recommended hardware configurations for deploying Harbor.

Resource	Minimum	Recommended
CPU	2 CPU	4 CPU
Mem	4 GB	8 GB
Disk	40 GB	160 GB

—Harbor docs | Harbor Installation Prerequisites

重い……ストレージが特に重い。

https://mastodon.cardina1.red/@lo48576/112882315250471147

どうやら透過的キャッシュプロキシ (ミラー) の利用は Docker だと Docker Hub のミラーしか設定できないらしい。
quay.io とかから pull するイメージはプロキシを経由してくれなそう。

Woodpecker とかは workflow 定義におけるイメージ指定を弄りたくないので、 Docker Hub のキャッシュをしてくれるだけでもマシと割り切って使うしかない。

kagamidai 向けサービスのコンテナについては明示的に harbor のイメージを指すようにするのがよさそう。
単一障害点になるが……まあ仕方あるまい。
DNS を弄ってプロキシに URL を書き換えさせて云々という手も考えないではなかったが、そこまで複雑にしたくはない。
どうせイメージの名前を書き換えるだけなら ansible の roles を弄って play すれば反映できるし、 harbor まわりが故障しても他サービスを復旧させるのはそこまで難しくないだろう。

残る作業は既存の docker コンテナ群を proxy cache から取ってくるようにする作業で、2つの選択肢がある。

• compose.yaml 等のイメージ名をキャッシュサーバを参照するよう書き換える。または、
• Docker と docker compose を使っているところを Podman と podman-compose などに移行し、 Podman の設定で透過的にキャッシュサーバを使わせる。

個人的には後者に挑戦してみたいところだが、失敗しづらいのは前者だろうと思う。
少し podman-compose まわりも調べてみるべきか。
例のごとく Debian の stable だとバージョンが古めであることも含めて確認する必要がある。

MinIO のストレージは 4 GiB だとあっという間に quota exceeded になってしまったので、 16 GiB にしてみている。
GC のスケジュール等はいずれ最適化する必要がありそう。