Docker私有镜像仓库Harbor集群搭建

1. Harbor介绍

Harbor是由VMware开源的企业级的Docker Registry管理项目，包括权限管理、LDAP、日志审核、管理界面，自我注册、镜像复制等功能。

Harbor相对于Docker Registry的优点：

1. 有管理界面，管理起来比较方便
2. 支持镜像同步和集群部署
3. 很好的和K8s集成

2. 环境和软件准备

本次演示在Linux CentOs7系统上操作，准备以下两台机器作为Harbor集群：
192.168.1.91 ==> Harbor1
192.168.1.92 ==> Harbor2

其他需要安装的软件及版本：

1. Docker：version 18.09.6 （由于基于Docker Registry V2版本，所以Docker版本不能低于1.10.0）
2. Docker-compose：version 1.22.0（由于Harbor用的最新版1.8.0，需要Docker-compose支持1.18.0以上）
3. Harbor：version 1.8.0

注意： Harbor的所有服务组件都是在Docker中部署的，所以官方安装使用Docker-compose快速部署，所以才需要安装Docker和Docker-compose

2.1 Docker安装

直接使用以下命令，下载官方的shell脚本执行安装即可。

sudo yum -y update
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh

在centos7系统下，启动docker，只需要执行命令sudo systemctl start docker.service

2.2 Docker-compose安装

使用以下命令，即可快速安装

curl -L https://github.com/docker/compose/releases/download/1.22.0/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

3. Harbor服务搭建

3.1 下载Harbor安装文件

从github harbor官网的release页面下载1.8.0版本的安装包

• 下载在线安装包

wget https://storage.googleapis.com/harbor-releases/release-1.8.0/harbor-online-installer-v1.8.0.tgz
tar xvf harbor-online-installer-v1.8.0.tgz

• 下载离线安装包

wget https://storage.googleapis.com/harbor-releases/release-1.8.0/harbor-offline-installer-v1.8.0.tgz
tar xvf harbor-offline-installer-v1.8.0.tgz

3.2 配置Harbor

我们以配置192.168.1.91为例来进行说明，解压缩之后，打开harbor.yml文件进行编辑。

1. 找到hostname属性，将值改为192.168.1.91
2. 找到port属性，将值改为8084（这里我们用8084作为我们的访问端口）
3. 找到harbor_admin_password属性用于设置管理界面默认账号admin的登陆密码。
4. 找到password属性，用于设置Harbor DB的root账号的密码

其他都可以保持默认值就好。这里我们暂时使用http访问，不开启https访问。

3.3 启动Harbor

修改完配置文件后，我们在当前目录执行sh install.sh脚本，Harbor服务会自动生成docker-compose.yml并下载依赖的镜像，然后检测并按照顺序依次启动各个服务。

执行完install.sh脚本后，我们就可以使用http://192.168.1.91:8084来访问我们的管理界面了

12.png

3.4 登录Web Harbor

输入用户名（默认用户名为admin）和密码（密码为修改配置文件时设置的密码）登录系统。

231.png

这里主要有以下几个模块：

• 项目：我们要上传镜像，必须得先创建项目，并且给项目分配成员，项目配置为公开的话，则任何人都可以拉取镜像。
• 用户管理：主要是创建不同的用户来管理镜像，在真实情况下，不同的角色用户可能对镜像的操作是不一样的。
• 仓库管理：
• 同步管理：主要用于在多台Harbor之间进行镜像同步管理

3.5 测试Harbor镜像上传

1. 新建一个test项目

   
   
   

   12.png

2. 创建一个docker的用户专门来测试上传和拉取镜像

   
   
   

   12.png

3. 把docker用户添加到test项目的成员当中去，角色选择开发人员就好。

   
   
   

   12.png
4. 上传测试镜像
   我在192.168.1.92上面有一些测试镜像，我们可以在它上面来进行测试。

• 查看镜像列表
  我们通过以下命令来查看下有哪些镜像
  docker images
  

  

  12.png

• 给镜像打上TAG
  通过上面的命令，我们看到有一个nginx镜像比较小，只有36M，我们就用它来测试吧。
  用以下命令给镜像打上TAG
  docker tag nginx:latest 192.168.1.91:8084/test/nginx

  注意： tag后面第一个参数是源镜像（即本地镜像nginx，这里我们注意到nginx后面有个冒号跟了latest，是因为镜像使用的tag是latest，上图中我们可以看到那个tag号）。tag后面第二个参数就是我们要打TAG的镜像，由于我们镜像要上传到192.168.1.91这个Registry中，则使用192.168.1.91:8084（记得带上端口号8084），test则是我们第一步创建的项目名称，nginx则是镜像名称（当然我们也可以在镜像名称后面加上:1.0这样的tag号来标记版本）

• 上传镜像
  执行以下命令来上传镜像
  docker push 192.168.1.91:8084/test/nginx-photon
  这里我们没有指定tag号，则会上传并生成latest版本的镜像。

我们执行上面命令之后，发现出错了，果然理想是丰满的，现实是骨感的，没有那么一帆风顺的。我们来看看出什么错了
Get https://192.168.1.91:8084/v2/: http: server gave HTTP response to HTTPS client
看来错误提示还是很明显的，这是因为我们的Harbor配置的是http访问，而Docker默认是必须使用HTTPS的，既然知道原因了，就好解决了。

解决方案： 找到文件/etc/docker/daemon.json（没有就创建一个），把"192.168.1.91:8084"加入到"insecure-registries"配置中。如下图：

12.png

然后执行以下指令并重启docker让配置生效

systemctl daemon-reload
systemctl restart docker.service

继续执行上传命令，此时又出现了一个新的错误denied: requested access to the resource is denied
这是因为我们没有登陆到Registry认证，所以无法Push镜像。
使用命令docker login 192.168.1.91:8084进行认证即可，输入刚才创建的docker用户以及密码。

再次上传就可以成功push镜像到Harbor了。

12.png

3.6 配置Docker镜像同步

我们将192.168.1.91作为主节点，192.168.1.92作为从节点。当我们往91上面Push镜像的时候，自动复制到92上面。

我们到91进行配置

1. 创建仓库
   点击系统管理 -> 仓库管理 -> 新建目标
   

   

   12.png
   
   这里需要注意的是，目标URL必须包含我们在92上创建的项目，也就是需要把镜像同步到哪个项目（这里是我们刚才在92创建的test项目）。配置好了，可以点击测试连接。

2. 配置同步规则
   点击系统管理 -> 同步管理 -> 新建规则

   
   
   

   12.png
   
   

   这里同步模式，我们选择基于推送的模式
   源资源过滤器，我们使用默认
   目标的Registry就选择我们刚才第一步配置的仓库
   触发模式，我们选择事件驱动的方式，然后勾选同步删除，以及覆盖

3. 测试上传镜像到91
   我们可以上传一个镜像到91，观察是否可以同步到92。如果可以正常同步，则说明没有问题了。

另外：
启动Harbor：docker-compose start
停止Harbor：docker-compose stop