Руководство по развёртыванию в продакшене

Обзор

Это руководство охватывает развёртывание NORA в продакшен-средах с поддержкой HTTPS/TLS через обратные прокси.

Настройка обратного прокси

Вариант 1: Caddy (рекомендуется)

Caddy обеспечивает автоматический HTTPS с Let’s Encrypt и простую конфигурацию.

Caddyfile:

nora.example.com {
    reverse_proxy localhost:4000 {
        header_up Host {host}
        header_up X-Real-IP {remote}
        header_up X-Forwarded-For {remote}
        header_up X-Forwarded-Proto {scheme}
    }
}

С пользовательским сертификатом:

{
    auto_https disable_redirects
}

nora.example.com:443 {
    tls /etc/ssl/certs/nora.crt /etc/ssl/private/nora.key

    reverse_proxy localhost:4000 {
        header_up Host {host}
        header_up X-Real-IP {remote}
    }

    log {
        output file /var/log/caddy/nora-access.log
    }
}

Запуск Caddy:

caddy run --config /etc/caddy/Caddyfile

Вариант 2: Nginx

nginx.conf:

upstream nora_backend {
    server localhost:4000;
}

server {
    listen 443 ssl http2;
    server_name nora.example.com;

    ssl_certificate /etc/ssl/certs/nora.crt;
    ssl_certificate_key /etc/ssl/private/nora.key;

    # SSL hardening
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    # Proxy settings
    location / {
        proxy_pass http://nora_backend;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # Timeouts for large image uploads
        proxy_connect_timeout 300s;
        proxy_send_timeout 300s;
        proxy_read_timeout 300s;
    }

    # Metrics endpoint
    location /metrics {
        proxy_pass http://localhost:4000/metrics;
        allow 10.0.0.0/8;  # Restrict to internal network
        deny all;
    }
}

# HTTP to HTTPS redirect
server {
    listen 80;
    server_name nora.example.com;
    return 301 https://$host$request_uri;
}

Вариант 3: Traefik

docker-compose.yml с Traefik:

version: '3.8'

services:
  nora:
    image: ghcr.io/getnora-io/nora:latest
    restart: unless-stopped
    volumes:
      - nora-data:/data
    environment:
      NORA_STORAGE_PATH: /data
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.nora.rule=Host(`nora.example.com`)"
      - "traefik.http.routers.nora.entrypoints=websecure"
      - "traefik.http.routers.nora.tls.certresolver=letsencrypt"
      - "traefik.http.services.nora.loadbalancer.server.port=4000"

  traefik:
    image: traefik:v2.10
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - traefik-certs:/letsencrypt
    command:
      - "--providers.docker=true"
      - "--entrypoints.web.address=:80"
      - "--entrypoints.websecure.address=:443"
      - "--certificatesresolvers.letsencrypt.acme.email=admin@example.com"
      - "--certificatesresolvers.letsencrypt.acme.storage=/letsencrypt/acme.json"
      - "--certificatesresolvers.letsencrypt.acme.httpchallenge.entrypoint=web"

volumes:
  nora-data:
  traefik-certs:

Продакшен-стек Docker Compose

Полный продакшен-стек с Caddy:

version: '3.8'

services:
  nora:
    image: ghcr.io/getnora-io/nora:latest
    container_name: nora
    restart: unless-stopped
    ports:
      - "127.0.0.1:4000:4000"  # NORA (Registry + API + UI)
    volumes:
      - nora-data:/data
    environment:
      # Storage
      NORA_STORAGE_PATH: /data

      # Rate Limits (tuned for production)
      NORA_RATE_LIMIT_UPLOAD_RPS: 2000
      NORA_RATE_LIMIT_UPLOAD_BURST: 5000
      NORA_RATE_LIMIT_GENERAL_RPS: 1000
      NORA_RATE_LIMIT_GENERAL_BURST: 2000

      # Логирование (стандартная переменная RUST_LOG)
      RUST_LOG: "nora=info"
    healthcheck:
      test: ["CMD", "wget", "-q", "--spider", "http://localhost:4000/health"]
      interval: 30s
      timeout: 10s
      retries: 3

  caddy:
    image: caddy:2-alpine
    container_name: caddy
    restart: unless-stopped
    ports:
      - "443:443"
      - "80:80"
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile:ro
      - ./certs:/etc/ssl/certs:ro
      - ./private:/etc/ssl/private:ro
      - caddy-data:/data
      - caddy-config:/config
    depends_on:
      - nora

volumes:
  nora-data:
    driver: local
  caddy-data:
  caddy-config:

Управление сертификатами

Let’s Encrypt (автоматически)

Caddy обрабатывает это автоматически. Просто укажите имя хоста в Caddyfile:

nora.example.com {
    reverse_proxy localhost:4000
}

Пользовательский УЦ (FreeIPA, внутренний PKI)

1. Генерация запроса на сертификат:

openssl req -new -newkey rsa:2048 -nodes \
  -keyout nora.key \
  -out nora.csr \
  -subj "/CN=nora.example.com/O=MyOrg/C=US"

2. Подпишите вашим УЦ и установите:

# Copy signed certificate and key
cp nora.crt /etc/ssl/certs/
cp nora.key /etc/ssl/private/
chmod 600 /etc/ssl/private/nora.key

# Add CA certificate to system trust store
cp ca.crt /usr/local/share/ca-certificates/
update-ca-certificates

3. Настройте обратный прокси с пользовательским сертификатом (см. примеры выше)

Настройка клиентов

Docker

На клиентских машинах добавьте сертификат УЦ:

# Linux
sudo cp ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
sudo systemctl restart docker

# macOS
sudo security add-trusted-cert -d -r trustRoot \
  -k /Library/Keychains/System.keychain ca.crt

Проверка доступа:

docker login nora.example.com
docker pull nora.example.com/myapp:latest

Kubernetes

Добавьте УЦ на все узлы:

# On each node
sudo cp ca.crt /usr/local/share/ca-certificates/nora-ca.crt
sudo update-ca-certificates
sudo systemctl restart containerd

Обновите ссылки на образы в манифестах:

containers:
- name: myapp
  image: nora.example.com/myapp:latest

Сервис systemd

Создайте /etc/systemd/system/nora.service:

[Unit]
Description=NORA Container Registry
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
User=nora
Group=nora
WorkingDirectory=/opt/nora
Environment=NORA_STORAGE_PATH=/var/lib/nora
Environment=NORA_RATE_LIMIT_UPLOAD_RPS=2000
Environment=NORA_RATE_LIMIT_UPLOAD_BURST=5000
ExecStart=/usr/local/bin/nora serve
Restart=on-failure
RestartSec=10

# Security hardening
NoNewPrivileges=true
PrivateTmp=true
ProtectSystem=strict
ProtectHome=true
ReadWritePaths=/var/lib/nora

[Install]
WantedBy=multi-user.target

Включение и запуск:

sudo systemctl daemon-reload
sudo systemctl enable nora
sudo systemctl start nora
sudo systemctl status nora

Мониторинг

Эндпоинт проверки работоспособности:

curl https://nora.example.com/health
# Ожидаемый ответ: {"status":"healthy"}

Эндпоинт метрик (Prometheus):

curl http://localhost:4000/metrics

Подробности о настройке Prometheus/Grafana см. в руководстве по мониторингу.

Настройка производительности

Ограничение частоты запросов

Для сред с интенсивным CI/CD увеличьте ограничения:

NORA_RATE_LIMIT_UPLOAD_RPS=2000      # По умолчанию: 200
NORA_RATE_LIMIT_UPLOAD_BURST=5000    # По умолчанию: 500
NORA_RATE_LIMIT_GENERAL_RPS=1000     # По умолчанию: 100
NORA_RATE_LIMIT_GENERAL_BURST=2000   # По умолчанию: 200

Мониторьте /metrics для точной настройки ограничений.

Хранилище

Локальное хранилище:

Используйте быстрый SSD для /data
Регулярная очистка старых тегов
Мониторинг использования дискового пространства

S3-совместимое хранилище:

NORA_STORAGE_MODE=s3
NORA_STORAGE_S3_URL=https://s3.eu-central-1.amazonaws.com
NORA_STORAGE_BUCKET=nora-registry
NORA_STORAGE_S3_REGION=eu-central-1

См. S3-хранилище для полной настройки с MinIO, RustFS или AWS S3.

Устранение неполадок

Проблема: “x509: certificate signed by unknown authority”

Решение: Установите сертификат УЦ на клиентских машинах (см. раздел “Настройка клиентов” выше)

Проблема: Ошибки ограничения частоты запросов

Решение: Увеличьте лимиты через переменные окружения и перезапустите NORA

Проблема: Медленная загрузка

Решение: Проверьте таймауты обратного прокси, увеличьте при необходимости