DCOS云平台之Harbor仓库证书过期问题

一、 问题描述

今天介绍一下XX项目DCOS云平台一次故障，DCOS云平台使用的镜像仓库是将VMWARE公司开源Harbor项目集成进来的，期间项目镜像仓库正常使用了一年左右，最近一次使用命令PUSH镜像到镜像仓库或使用DCOS云平台自动化构建镜像上传镜像仓库提示抛错镜像仓库的https证书过期，因此这个问题影响了DCOS部分功能无法正常使用。它会影响到项目镜像构建与服务版本更新问题，但对于业务无影响。

二、问题影响

1、人工上传镜像至镜像仓库

2、DCOS平台镜像自动构建

3、DCOS平台更新服务版本

三、问题原因分析

人工打包好的docker镜像，然后通过命令将docker镜像上传到镜像仓库，提示报证书已过期。

报错信息：

Error response from daemon: Get https://x.x.x.x/v1/users/:x509:certificate has expired or

is not yet valid

说明由于镜像仓库使用的registry v2，采用https安全协议访问方式，前端通过nginx做代理实现的，在设计过程中把证书的设置为较短的时间，导致nginx证书过期不能使用, 故需要人工生成一份新的证书来更换nginx上的证书。

四、问题解决方案

注意：以下1，2步操作是在镜像仓库服务器，3步在所有mesos计算节点，4步在DCOS云平台服务器。

1、重新生成一份有效期为10年的证书

2、镜像仓库使用的registry v2，采用https安全协议访问方式，前端通过nginx做代理实现的，故需要更换nginx上的证书。

3、mesos docker计算节点证书更换

4、DCOS平台更新镜像仓库证书

五、问题总结

因问题是镜像仓库https证书有效期设计较短导致，像这类问题出现是比较低级的，有点经验的人都会将证书有效期设置5年或是更长。虽然更新镜像仓库证书对业务无影响，但对云平台功体验效果比较差，更新证书涉及到所有节点证书的同步，是一件比较麻烦的事情。因此前期相关配置设计应该严格做好长远规划，减少后期运维工作量。