Walrus 0.4 已于近日发布，新版本中采用的应用模型可以让运维团队仅需配置1次，即可在多模态的基础设施及环境中运行包括应用服务及周边依赖资源在内的全套应用系统。这极大减少了运维人员的工作量，同时为研发人员屏蔽了底层基础设施的复杂度.
 
但受限于网络环境，部分用户无法直接拉取 Walrus 安装镜像。此时，我们需要采用离线的方式部署安装 Walrus。本文将介绍如何在内网环境中安装部署 Walrus。

前期准备

在进行离线部署之前，请确认您已准备：

• 内网容器镜像仓库，例如 Harbor
• 内网Git代码库，例如 GitLab
• 开放 Walrus 所在服务器到镜像仓库和 Git 服务器的访问

离线镜像

您可以从 Walrus Releases (https://github.com/seal-io/walrus/releases），获取 walrus-images.txt、walrus-save-images.sh和walrus-load-images.sh三个文件用于下载离线镜像并推送到内网镜像仓库。具体步骤为:
 

• 使用walrus-save-images.sh在可以联网的Docker主机下载离线镜像，参考命令如下：
   

sh walrus-save-images.sh --image-list walrus-images.txt

 

• 将保存的离线镜像包walrus-images.tar.gz和walrus-load-images.sh上传到可以访问内网镜像仓库的Docker主机，使用walrus-load-images.sh上传离线镜像，内网镜像仓库以 Harbor 为例（如果不是Harbor，需要提前在镜像仓库中创建sealio项目），参考命令如下：
   

docker login registry.example.com --username admin --password Harbor12345
sh walrus-load-images.sh --registry registry.example.com --harbor-user admin --harbor-password Harbor12345

 
离线镜像准备完成后，我们需要开始准备离线模板库。

离线模板库

模板是 Walrus 的重要功能之一，它可以将各种基础设施能力、云服务和应用服务封装成可复用的能力模板，帮助用户简化服务和资源的部署。
 
首先，将内置模板库（https://github.com/walrus-catalog）的所有Repo都Fork或Import到内网Git仓库。
 
可以参考以下脚本，批量将walrus-catalog的所有 Repo 克隆下来后，上传到内网 Git 仓库，每个 Repo 需要对应的一个内网仓库，如对应一个 GitLab Project。
 

#!/bin/bash

# Walrus catalog org
ORG_NAME="walrus-catalog"

# Get all repos in the Walrus catalog org
REPOS=$(curl -s "https://api.github.com/orgs/$ORG_NAME/repos" | jq -r '.[].name')

for REPO_NAME in $REPOS; do
  # Clone repo
  git clone "https://github.com/$ORG_NAME/$REPO_NAME"
done

echo "All done!"

 
准备工作已经完成，现在开始离线安装 Walrus。

离线安装 Walrus

单实例部署

根据内网镜像仓库的地址，修改单实例部署中的镜像地址，并新增SERVER_SETTING_IMAGE-REGISTRY和SERVER_SETTING_DEPLOYER_IMAGE环境变量，指向使用内网镜像仓库和离线Deployer镜像，参考命令如下：
 

sudo docker run -d --privileged --restart=always --name walrus \
  -p 80:80 -p 443:443 \
  -e SERVER_SETTING_IMAGE_REGISTRY='registry.example.com' \
  -e SERVER_SETTING_DEPLOYER_IMAGE='registry.example.com/sealio/terraform-deployer:v0.1.4-airgap'  \
  registry.example.com/sealio/walrus:v0.4.0

如果内网镜像仓库为私有仓库，需要配置认证信息才能拉取镜像，则需要额外的配置，步骤如下：
 
Walrus 的单实例部署使用了内置的 K3s 作为 Walrus 的底层 K8s 运行环境，如果需要设置 K3s 使用私有仓库拉取镜像，需要挂载registries.yaml文件到 Walrus 容器中：
 

1. 在要运行 Walrus 容器的主机上，创建registries.yaml文件：

mkdir -p /etc/walrus/k3s
vim /etc/walrus/k3s/registries.yaml

填充以下 YAML 内容，请注意替换实际的镜像仓库地址、认证用户名和密码。如果私有镜像仓库采用不受信任的 TLS 证书，需要使用insecure_skip_verify参数跳过证书验证，如果不需要则移除：

mirrors:
  docker.io:
    endpoint:
      - "https://registry.example.com"
  registry.example.com:
    endpoint:
      - "https://registry.example.com"
configs:
  "registry.example.com":
    auth:
      username: xxxxxx # This is the registry username
      password: xxxxxx # This is the registry password
    tls:
      insecure_skip_verify: true

2. 在运行 Walrus 容器时，将registries.yaml挂载到 Walrus 容器中，参考命令如下：
    

sudo docker run -d --privileged --restart=always --name walrus \
  -p 80:80 -p 443:443 \
  -e SERVER_SETTING_IMAGE_REGISTRY='registry.example.com' \
  -e SERVER_SETTING_DEPLOYER_IMAGE='registry.example.com/sealio/terraform-deployer:v0.1.4-airgap'  \
  -v /etc/walrus/k3s/registries.yaml:/etc/rancher/k3s/registries.yaml \
  registry.example.com/sealio/walrus:v0.4.0

3. Walrus 容器运行起来后，进入Walrus 容器验证私有镜像仓库配置是否生效：
    

docker exec -it walrus bash
cat /var/lib/k3s/agent/etc/containerd/config.toml

详情可参考 K3s 官方文档：https://docs.k3s.io/installation/private-registry

4. 访问Walrus UI：初始登录后，访问https://<WALRUS_URL>/v1/settings，验证ImageRegistry和DeployerImage设置是否生效。

高可用部署

根据内网镜像仓库的地址，修改高可用部署中的镜像地址，并为 Walrus Deployment 新增SERVER_SETTING_IMAGE_REGISTRY和SERVER_SETTING_DEPLOYER-IMAGE环境变量，指向使用内网镜像仓库和离线 Deployer 镜像，参考配置如下：
 

vim walrus.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: walrus
  namespace: walrus-system
spec:
  ...
  template:
    ...
    spec:
      containers:
        - name: walrus-server
          image: sealio/walrus:v0.4.0
          ...
          env:
            - name: SERVER_SETTING_IMAGE_REGISTRY
              value: registry.example.com
            - name: SERVER_SETTING_DEPLOYER_IMAGE
              value: registry.example.com/sealio/terraform-deployer:v0.1.4-airgap
...

 
如果内网镜像仓库为私有仓库，需要配置认证信息才能拉取镜像，则需要额外的配置，步骤如下：
 

1. 要从私有仓库拉取镜像，Kubernetes 需要凭据。先创建凭据 Secret

kubectl create secret docker-registry registry-credential \
  --docker-server=<你的镜像仓库地址> \
  --docker-username=<你的用户名> \
  --docker-password=<你的密码> \
  --docker-email=<你的邮箱地址>

2. 修改高可用部署中的YAML，为几个Deployment资源添加将imagePullSecrets参数，然后按照高可用部署的步骤部署 Walrus。使创建 Pod 时 kubelet 可以拉取私有仓库的镜像：
    

vim walrus.yaml

apiVersion: apps/v1
kind: Deployment
...
spec:
  ...
  template:
    ...
    spec:
      containers:
      ... 
      imagePullSecrets:
      - name: registry-credential
...

3. 访问 Walrus UI：初始登录后，访问http://<WALRUS_URL>/v1/settings，验证ImageRegistry和DeployerImage设置是否生效。

设置 Walrus 使用内网模板库

Walrus 默认使用内置模板库，但在离线环境下该模板库无法使用，需要您更换为在前一个步骤中准备好的内网模板库。具体更换步骤为：
 

1. 关闭使用内置模板库：
   进入系统设置的服务管理，编辑模板设置，关闭使用内置模板库的开关，保存。
    
2. 如果内网的 Git 模板库采用不受信任的 TLS 证书，关闭 Walrus 对模板库的证书认证（可选）。进入系统设置的服务管理，编辑证书设置，开启跳过证书认证的开关，保存。
    
3. 删除内置模板库，添加内网模板库：
   进入运维中心的模板库，勾选builtin模板库，选择删除。
    
   然后选择添加模板库，输入模板库的名称、描述、来源。来源地址填写离线模板库的完整 git organization/group 地址，例如http://github.com/walrus-catalog，确定保存
   
    
   切换到运维中心 -模板，验证模板正常加载，则意味着内网模板库可以正常刷新。需要注意的是在离线环境下AI编写模板不可用。如果您需要自定义连接器，即自定义 Terraform Provider，需要配置自定义 Provider 的 Mirror，具体可参考下方链接：
   https://developer.hashicorp.com/terraform/cli/commands/providers/mirror

至此，您已经成功在离线环境下完成 Walrus 的安装，开始享受简洁清爽的应用部署与交付之旅吧！