跳转至

离线升级安全管理模块

本页说明下载安全管理模块后,应该如何安装或升级。

Info

下述命令或脚本内出现的 dowl 字样是安全管理模块的内部开发代号。

从下载的安装包中加载镜像

您可以根据下面两种方式之一加载镜像,当环境中存在镜像仓库时,建议选择 chart-syncer 同步镜像到镜像仓库,该方法更加高效便捷。

方式一:使用 chart-syncer 同步镜像

使用 chart-syncer 可以将您下载的安装包中的 chart 及其依赖的镜像包上传至安装器部署 DCE 时使用的镜像仓库和 helm 仓库。

首先找到一台能够连接镜像仓库和 helm 仓库的节点(如火种节点),在节点上创建 load-image.yaml 配置文件,填入镜像仓库和 helm 仓库等配置信息。

  1. 创建 load-image.yaml

    Note

    该 YAML 文件中的各项参数均为必填项。

    若当前环境已安装 chart repo,chart-syncer 也支持将 chart 导出为 tgz 文件。

    load-image.yaml
    source:
      intermediateBundlesPath: dowl # 使用 chart-syncer 之后 .tar.gz 包所在的路径
    target:
      containerRegistry: 10.16.10.111 # 镜像仓库地址
      containerRepository: release.daocloud.io/dowl # 镜像仓库路径
      repo:
        kind: HARBOR # Helm Chart 仓库类别
        url: http://10.16.10.111/chartrepo/release.daocloud.io # Helm 仓库地址
        auth:
        username: "admin" # 镜像仓库用户名
        password: "Harbor12345" # 镜像仓库密码
      containers:
        auth:
          username: "admin" # Helm 仓库用户名
          password: "Harbor12345" # Helm 仓库密码
    

    若当前节点上未添加 helm repo,chart-syncer 也支持将 chart 导出为 tgz 文件,并存放在指定路径。

    load-image.yaml
    source:
      intermediateBundlesPath: dowl # 使用 chart-syncer 之后 .tar.gz 包所在的路径
    target:
      containerRegistry: 10.16.10.111 # 镜像仓库 url
      containerRepository: release.daocloud.io/dowl # 镜像仓库路径
      repo:
        kind: LOCAL
        path: ./local-repo # chart 本地路径
      containers:
        auth:
          username: "admin" # 镜像仓库用户名
          password: "Harbor12345" # 镜像仓库密码
    
  2. 执行同步镜像命令。

    charts-syncer sync --config load-image.yaml
    

方式二:使用 Docker 或 containerd 加载镜像

解压并加载镜像文件。

  1. 解压第一层压缩包。

    tar xvf dowl.amd64.tar
    

    解压成功后会得到 1 个新的压缩包:

    • dowl.bundle.tar
  2. 解压新的压缩包。

    tar xvf dowl.bundle.tar
    

    解压成功后会得到 3 个文件:

    • hints.yaml
    • images.tar
    • original-chart
  3. 从本地加载镜像到 Docker 或 containerd。

    docker load -i images.tar
    
    ctr -n k8s.io image import images.tar
    

Note

每个 node 都需要做 Docker 或 containerd 加载镜像操作, 加载完成后需要 tag 镜像,保持 Registry、Repository 与安装时一致。

升级

有两种升级方式。您可以根据前置操作,选择对应的升级方案:

  1. 检查安全管理 helm 仓库是否存在。

    helm repo list | grep dowl
    

    若返回结果为空或如下提示,则进行下一步;反之则跳过下一步。

    Error: no repositories to show
    
  2. 添加安全管理的 helm 仓库。

    helm repo add dowl http://{harbor url}/chartrepo/{project}
    
  3. 更新安全管理的 helm 仓库。

    helm repo update dowl
    

    helm 版本过低会导致失败,若失败,请尝试执行 helm update repo

  4. 选择您想安装的安全管理版本(建议安装最新版本)。

    helm search repo dowl/dowl --versions
    
    [root@master ~]# helm search repo dowl/dowl --versions
    NAME                   CHART VERSION  APP VERSION  DESCRIPTION
    dowl/dowl  0.4.0          v0.4.0       A Helm chart for dowl
    ...
    
  5. 备份 --set 参数。

    在升级安全管理版本之前,建议您执行如下命令,备份老版本的 --set 参数。

    helm get values dowl -n dowl-system -o yaml > bak.yaml
    
  6. 更新 dowl crds (需要先解压并进入 original-chart 文件)

    helm pull dowl/dowl --version 0.4.0 && tar -zxf dowl-0.4.0.tgz
    kubectl apply -f dowl/crds
    
  7. 执行 helm upgrade

    升级前建议您覆盖 bak.yaml 中的 global.imageRegistry 字段为当前使用的镜像仓库地址。

    export imageRegistry={你的镜像仓库}
    
    helm upgrade dowl dowl/dowl \
      -n dowl-system \
      -f ./bak.yaml \
      --set global.imageRegistry=$imageRegistry \
      --version 0.4.0
    
  1. 备份 --set 参数。

    在升级安全管理版本之前,建议您执行如下命令,备份老版本的 --set 参数。

    helm get values dowl -n dowl-system -o yaml > bak.yaml
    
  2. 更新 dowl crds (需要先解压并进入 original-chart 文件)

    kubectl apply -f ./crds
    
  3. 执行 helm upgrade

    升级前建议您覆盖 bak.yaml 中的 global.imageRegistry 为当前使用的镜像仓库地址。

    export imageRegistry={你的镜像仓库}
    
    helm upgrade dowl . \
      -n dowl-system \
      -f ./bak.yaml \
      --set global.imageRegistry=$imageRegistry
    

评论