Docker[7]- 阿里云Docker Registry和私服Harbor
1 阿里云Docker Registry
仓库地址:阿里云登录 - 欢迎登录阿里云,安全稳定的云计算服务平台
登录阿里云,进入到镜像服务,创建命名空间
![Docker[7]- 阿里云Docker Registry和私服Harbor_第1张图片](http://img.e-com-net.com/image/info8/508e47a9776a461aa0bce82d5cea97e3.jpg)
创建镜像仓库
![Docker[7]- 阿里云Docker Registry和私服Harbor_第2张图片](http://img.e-com-net.com/image/info8/f3ca5a3dcf2f44c6b60806290990a46c.jpg)
将镜像推送到阿里云镜像仓库
$ docker login --username=dpb2****83842 registry.cn-hangzhou.aliyuncs.com $ docker tag [ImageId] registry.cn-hangzhou.aliyuncs.com/deng66/dpb-tomcat:[镜像版本号] $ docker push registry.cn-hangzhou.aliyuncs.com/deng66/dpb-tomcat:[镜像版本号]
![Docker[7]- 阿里云Docker Registry和私服Harbor_第3张图片](http://img.e-com-net.com/image/info8/34e0778289914fbd932f0e2aa9725358.jpg)
我们pull镜像的步骤
$ docker pull registry.cn-hangzhou.aliyuncs.com/deng66/dpb-tomcat:[镜像版本号]
2 私服Harbor
4.3.1 Harbor简介
Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目,它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。
4.3.2 功能介绍
| 组件 | 功能 |
|---|---|
| harbor-adminserver | 配置管理中心 |
| harbor-db | Mysql数据库 |
| harbor-jobservice | 负责镜像复制 |
| harbor-log | 记录操作日志 |
| harbor-ui | Web管理页面和API |
| nginx | 前端代理,负责前端页面和镜像上传/下载转发 |
| redis | 会话 |
| registry | 镜像存储 |
4.3.3 Harbor安装
官网安装教程:Harbor docs | Harbor Installation and Configuration
首先需要下载对于的安装文件:Releases · goharbor/harbor · GitHub
因为比较大,从官网下载很慢,所以会在附近中直接给大家提供,使用最新的2.3.3版本
1> 上传解压安装文件
cd /usr/local/
![Docker[7]- 阿里云Docker Registry和私服Harbor_第4张图片](http://img.e-com-net.com/image/info8/d99c13e0b5574f2db299a332bd190b40.jpg)
2>修改配置文件
把 harbor.yml.tmpl 修改为 harbor.yml 文件
hostname: 192.168.56.15 http: port: 80 https: port: 443 certificate: /data/cert/192.168.56.15.crt private_key: /data/cert/192.168.56.15.key external_url: https://192.168.56.15 harbor_admin_password: Harbor12345 database: password: root123 max_idle_conns: 50 max_open_conns: 100 data_volume: /data/harbor clair: updaters_interval: 12 jobservice: max_job_workers: 10 notification: webhook_job_max_retry: 10 chart: absolute_url: disabled log: level: info local: rotate_count: 50 rotate_size: 200M location: /data/harbor/logs _version: 1.10.0 proxy: http_proxy: https_proxy: no_proxy: components: - core - jobservice - clair
3>.harbor配置 https 访问
参考文档:
Harbor docs | Configure HTTPS Access to Harbor
Harbor docs | Troubleshooting Harbor Installation
默认情况下,Harbor不附带证书。可以在没有安全性的情况下部署Harbor,以便您可以通过HTTP连接到它。但是,只有在没有外部网络连接的空白测试或开发环境中,才可以使用HTTP。在没有空隙的环境中使用HTTP会使您遭受中间人攻击。在生产环境中,请始终使用HTTPS。如果启用Content Trust with Notary来正确签名所有图像,则必须使用HTTPS。
要配置HTTPS,必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书
生成证书颁发机构证书
在生产环境中,您应该从CA获得证书。在测试或开发环境中,您可以生成自己的CA。要生成CA证书,请运行以下命令。
生成CA证书私钥。
openssl genrsa -out ca.key 4096
生成CA证书
调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性。
openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.od.com" \ -key ca.key \ -out ca.crt
如果是ip访问, 将 harbor.od.com 改成 ip地址
生成服务器证书
证书通常包含一个.crt文件和一个.key文件
生成私钥
openssl genrsa -out harbor.od.com.key 4096
生成证书签名请求(CSR)
openssl req -sha512 -new \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.od.com" \ -key harbor.od.com.key \ -out harbor.od.com.csr
如果是ip访问, 将 harbor.od.com 改成 ip地址
生成一个x509 v3扩展文件
无论您使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为您的Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映您的域
cat > v3.ext <<-EOF authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1=harbor.od.com DNS.2=harbor.od.com DNS.3=harbor.od.com EOF
-
如果是ip访问
cat > v3.ext <<-EOF authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = IP:192.168.56.15 EOF
使用该v3.ext文件为您的Harbor主机生成证书
openssl x509 -req -sha512 -days 3650 \ -extfile v3.ext \ -CA ca.crt -CAkey ca.key -CAcreateserial \ -in harbor.od.com.csr \ -out harbor.od.com.crt
如果是ip访问, 将 harbor.od.com 改成 ip地址
提供证书给Harbor和Docker
生成后ca.crt,harbor.od.com.crt和harbor.od.com.key文件,必须将它们提供给Harbor和docker,重新配置它们
将服务器证书和密钥复制到Harbor主机上的/data/cert/文件夹中
mkdir -p /data/cert/ cp harbor.od.com.crt /data/cert/ cp harbor.od.com.key /data/cert/
转换harbor.od.com.crt为harbor.od.com.cert,供Docker使用
openssl x509 -inform PEM -in harbor.od.com.crt -out harbor.od.com.cert
将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。您必须首先创建适当的文件夹
mkdir -p /etc/docker/certs.d/harbor.od.com/ cp harbor.od.com.cert /etc/docker/certs.d/harbor.od.com/ cp harbor.od.com.key /etc/docker/certs.d/harbor.od.com/ cp ca.crt /etc/docker/certs.d/harbor.od.com/
如果将默认
nginx端口443 映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port
重新启动Docker Engine
systemctl restart docker
证书目录结构
/etc/docker/certs.d/ └── harbor.od.com ├── ca.crt ├── harbor.od.com.cert └── harbor.od.com.key
Harbor将nginx实例用作所有服务的反向代理。您可以使用prepare脚本来配置nginx为使用HTTPS
./prepare
初始化服务
sh install.sh
![Docker[7]- 阿里云Docker Registry和私服Harbor_第5张图片](http://img.e-com-net.com/image/info8/0035254cec8b47459c062f0e3bad4c55.jpg)
![Docker[7]- 阿里云Docker Registry和私服Harbor_第6张图片](http://img.e-com-net.com/image/info8/a81a571def95448482e4972603f0e35d.jpg)
停止并删除服务
docker-compose down -v
重启服务
docker-compose up -d
连接验证
![Docker[7]- 阿里云Docker Registry和私服Harbor_第7张图片](http://img.e-com-net.com/image/info8/28418d8fc0904fd986fea9c6f92fe659.jpg)
docker登录
![Docker[7]- 阿里云Docker Registry和私服Harbor_第8张图片](http://img.e-com-net.com/image/info8/1a20250b87034ffaa75d58f094975017.jpg)
Harbor部署应用
上传镜像到Harbor服务中
在Web服务中创建项目和用户
![Docker[7]- 阿里云Docker Registry和私服Harbor_第9张图片](http://img.e-com-net.com/image/info8/ded31eff87f64cb890ccfee7ec199dac.jpg)
创建用户
![Docker[7]- 阿里云Docker Registry和私服Harbor_第10张图片](http://img.e-com-net.com/image/info8/f9bcab20c7684992ad57aad0c890d6bb.jpg)
然后项目分配用户
![Docker[7]- 阿里云Docker Registry和私服Harbor_第11张图片](http://img.e-com-net.com/image/info8/398dcbfcc095462d895ed60574fae9b4.jpg)
推送镜像到Harbor仓库中
docker tag redis:latest 192.68.56.10/dpb/redis-dpb:1.0 docker push 192.168.56.10/dpb/redis-dpb:1.0
![Docker[7]- 阿里云Docker Registry和私服Harbor_第12张图片](http://img.e-com-net.com/image/info8/6392dfb89b9847b2a83329fa477abba4.jpg)
在Web项目中可以看到上传的镜像
![Docker[7]- 阿里云Docker Registry和私服Harbor_第13张图片](http://img.e-com-net.com/image/info8/dc996863431142c1adef9bb4d8f51c48.jpg)
从Harbor镜像仓库拉取镜像
![Docker[7]- 阿里云Docker Registry和私服Harbor_第14张图片](http://img.e-com-net.com/image/info8/e518afcc5b2e49b39e2a36a22bd21bef.jpg)
执行拉取命令
![Docker[7]- 阿里云Docker Registry和私服Harbor_第15张图片](http://img.e-com-net.com/image/info8/98c97d78fb504cee9c9cefb1cc16eb02.jpg)
搞定~