Harbor高可用部署中Redis共享导致401错误的解决方案

问题背景

在Harbor高可用部署场景中，用户通常会采用主备架构模式。近期有用户反馈在Harbor v2.11.0版本中，当主备实例共享同一个Redis服务时，执行镜像复制任务会出现大量401未授权错误。而当主备实例使用不同的Redis服务时，该问题则不会出现。

问题现象

具体表现为：

1. 主备Harbor实例使用相同的Redis集群
2. 配置从外部Harbor仓库复制镜像时
3. 任务日志中频繁出现401错误
4. 错误信息显示为授权失败

根本原因分析

经过深入排查，发现问题的根源在于：

1. 密钥不一致：虽然主备节点的harbor.yml配置文件相同，但实际容器内的环境变量（如JOBSERVICE_SECRET、CORE_SECRET等）并不一致
2. Redis键冲突：当主备实例共享Redis且使用相同的jobservice_db_index时，备用节点可能会意外清除Redis中的token缓存
3. 认证失效：主节点获取的token被备用节点错误清除，导致后续请求认证失败

解决方案

方案一：保持密钥一致性（推荐）

1. 在主节点完成初始安装后，不要对备用节点执行install.sh
2. 将主节点的common文件夹完整复制到备用节点
3. 注意保持文件所有者权限不变（否则会导致docker-compose up失败）
4. 在备用节点直接使用docker-compose up启动服务

这种方法确保主备节点使用完全相同的密钥配置，从根本上避免了认证不一致的问题。

方案二：隔离Redis数据库索引

1. 修改备用节点的harbor.yml配置
2. 为jobservice设置不同的db_index值
3. 确保主备实例使用不同的Redis数据库索引

这种方法通过物理隔离解决了键冲突问题，但可能影响某些需要共享状态的功能。

最佳实践建议

1. 生产环境部署：建议采用方案一，确保配置完全一致
2. 密钥管理：所有节点的密钥应该来自同一份配置源
3. Redis规划：
   • 如果必须共享Redis服务，确保使用不同的db_index
   • 理想情况下应为每个Harbor实例提供独立的Redis服务
4. 版本升级：从旧版本迁移时，特别注意密钥的继承关系

技术原理补充

Harbor的认证机制依赖于JWT token，这些token会被缓存在Redis中。当多个实例共享Redis时：

1. 如果密钥不一致，实例A生成的token无法被实例B验证
2. 如果使用相同的数据库索引，实例B可能会覆盖实例A的缓存
3. 任务调度系统依赖Redis进行状态同步，不正确的共享会导致任务异常

通过保持密钥一致性或隔离数据库索引，可以有效避免这类认证问题，确保Harbor高可用集群的稳定运行。