企业级Docker镜像仓库Harbor部署与使用

在实际生产运维中,往往需要把镜像发布到几十、上百台或更多的节点上。这时单台Docker主机上镜像已无法满足,项目越来越多,镜像就越来越多,都放到一台Docker主机上是不行的,我们需要一个像Git仓库一样系统来统一管理镜像。这里介绍的是一个企业级镜像仓库Harbor,将作为我们容器云平台的镜像仓库中心。

Habor是由VMWare公司开源的容器镜像仓库。事实上,Habor是在Docker Registry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制 ,AD/LDAP集成以及审计日志等,足以满足基本企业需求。 


官方地址:https://vmware.github.io

Github:https://github.com/goharbor/harbor

 

企业级Docker镜像仓库Harbor部署与使用_第1张图片

1、Harbor主要功能

  • 基于角色访问控制(RBAC)

    在企业中,通常有不同的开发团队负责不同的项目,镜像像代码一样,每个人角色不同需求也不同,因此就需要访问权限控制,根据角色分配相应的权限。 
    例如,开发人员需要对项目构建这就用到读写权限(push/pull),测试人员只需要读权限(pull),运维一般管理镜像仓库,具备权限分配能力,项目经理具有所有权限。 

  • 镜像复制

    可以将仓库中的镜像同步到远程的Harbor,类似于MySQL主从同步功能。

  • LDAP

    Harbor支持LDAP认证,可以很轻易接入已有的LDAP。

  • 镜像删除和空间回收

    Harbor支持在Web删除镜像,回收无用的镜像,释放磁盘空间。

  • 图形页面管理

    用户很方面搜索镜像及项目管理。

  • 审计

    对仓库的所有操作都有记录。

  • REST API

    完整的API,方便与外部集成。

2、Harbor组件

组件 功能
harbor-adminserver 配置管理中心
harbor-db Mysql数据库
harbor-jobservice 负责镜像复制
harbor-log 记录操作日志
harbor-ui Web管理页面和API
nginx 前端代理,负责前端页面和镜像上传/下载转发
redis 会话
registry 镜像存储

3、Harbor部署

环境要求:

企业级Docker镜像仓库Harbor部署与使用_第2张图片

 

Harbor安装有3种方式:

  • 在线安装:从Docker Hub下载Harbor相关镜像,因此安装软件包非常小

  • 离线安装:安装包包含部署的相关镜像,因此安装包比较大

  • OVA安装程序:当用户具有vCenter环境时,使用此安装程序,在部署OVA后启动Harbor

我们采用离线安装,首先下载离线安装包:https://github.com/vmware/harbor/releases

 

企业级Docker镜像仓库Harbor部署与使用_第3张图片

HTTP方式部署

基本配置:

# tar zxvf harbor-offline-installer-v1.7.5.tgz

# cd harbor

# vi harbor.cfg

hostname = 10.206.240.188   # IP地址或者域名访问

ui_url_protocol = http

harbor_admin_password = Harbor12345  # Web登录密码

准备配置文件:

# ./prepare
安装并启动Harbor:
# ./install.sh

查看运行状态:

# docker-compose ps

       Name                     Command                  State                                    Ports

-------------------------------------------------------------------------------------------------------------------------------------

harbor-adminserver   /harbor/start.sh                 Up (healthy)

harbor-db            /usr/local/bin/docker-entr ...   Up (healthy)   3306/tcp

harbor-jobservice    /harbor/start.sh                 Up

harbor-log           /bin/sh -c /usr/local/bin/ ...   Up (healthy)   127.0.0.1:1514->10514/tcp

harbor-ui            /harbor/start.sh                 Up (healthy)

nginx                nginx -g daemon off;             Up (healthy)   0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp, 0.0.0.0:80->80/tcp

redis                docker-entrypoint.sh redis ...   Up             6379/tcp

registry             /entrypoint.sh serve /etc/ ...   Up (healthy)   5000/tcp

部署完成,是不是很简单呢! 
如果有非Up状态,先看日志:

# ls /var/log/harbor/

adminserver.log  jobservice.log  mysql.log  proxy.log  redis.log  registry.log  ui.log

HTTPS方式部署:

如果想以https加密方式提供服务可以参考这个免费的视频教程:https://ke.qq.com/course/311382
或者参考官方文档:https://github.com/vmware/harbor/blob/master/docs/configure_https.md 

4、登录Web页面

浏览器输入:http://10.206.240.188

账号:admin  

密码:Harbor12345

企业级Docker镜像仓库Harbor部署与使用_第4张图片

这里有4个项目,library是默认自带的,通常用这个存储一些公共的镜像,这个项目下镜像谁都可以pull,但不能push,push需要先登录。其他3个项目是我自己创建的,请忽略。

5、library项目赋予新用户push权限

先创建一个用户:

企业级Docker镜像仓库Harbor部署与使用_第5张图片

 

进入library项目,将用户加入这个成员:

企业级Docker镜像仓库Harbor部署与使用_第6张图片

这样lizhenliang用户就具备了对这个library项目的push权限。 
注:创建新项目赋予用户权限同等方式。

7、上传镜像

接下来将刚才构建的镜像推送到Harbor仓库,先看看我们要推送的镜像:

企业级Docker镜像仓库Harbor部署与使用_第7张图片

在推送之前,需要注意第一列,这个完整格式是:

registry.ctnrs.com/library/hello-world:latest

镜像中心域名           项目名称   名称       版本
 

如果镜像只放在本地存储REPOSITORY写什么都可以,但推送到镜像仓库就必须指定仓库中心地址。 
所以,先打重命名REPOSITORY,其实就是引用源镜像标记了一个目标镜像:

# docker image tag nginx-112 10.206.240.188/library/nginx-112

# docker push 10.206.240.188/library/nginx-112

The push refers to repository [10.206.240.188/library/nginx-112]

e1bad6a42a61: Layer already exists

9515f16f0627: Layer already exists

a422b28b5eeb: Preparing

bcc97fbfc9e1: Preparing

denied: requested access to the resource is denied

访问拒绝,刚说过,push需先登录:

# docker login 10.206.240.188

Username: lizhenliang

Password:

Login Succeeded

# docker push 10.206.240.188/library/nginx-112

The push refers to repository [10.206.240.188/library/nginx-112]

e1bad6a42a61: Layer already exists

9515f16f0627: Layer already exists

a422b28b5eeb: Pushed

bcc97fbfc9e1: Pushed

latest: digest: sha256:49db3f916abf883198b1fc4b90bae6a57bd5ed48ae4d597a07356a2e85106277 size: 1159

企业级Docker镜像仓库Harbor部署与使用_第8张图片

8、下载镜像

其他Docker主机怎么下载刚推送的镜像呢? 
由于我们搭建的Harbor是以HTTP提供服务的,而Docker CLI默认以HTTPS 访问仓库,所以要先配置可信任,否则pull镜像仓库失败。如果是HTTPS提供服务就不用配置这一步了。

# vi /etc/docker/daemon.json

{

"registry-mirrors": ["http://bc437cce.m.daocloud.io"],

"insecure-registries": ["10.206.240.188"]

}

# systemctl restart docker

# docker pull 10.206.240.188/library/nginx-112

pull的地址跟push时是一样的。

 

你可能感兴趣的:(Docker/K8S)