docker本地私有仓库与harbor私有仓库

目录

一、搭建本地私有仓库

1.1 首先下载registry镜像

1.2 在daemon.json文件中添加私有镜像仓库地址

1.3 运行registry容器

1.4 为镜像打标签

1.5 上传到私有仓库

1.6 列出私有仓库的所有镜像

1.7 列出私有仓库的centos7镜像有哪些tag

1.8 先删除原有的centos的镜像,再测试私有仓库下载

二、Harbor(私有仓库)概述

2.1 什么是Harbor

2.2 Harbor的特性

2.3 Harbor的构成

三、Harbor部署

3.1 环境部署

3.2 部署Docker-Compose服务

3.3 部署Harbor服务

3.3.1 下载或上传Harbor安装程序

3.3.2 修改harbor安装的配置文件

3.3.3 启动Harbor

3.3.4 查看Harbor启动镜像

3.3.5 浏览器访问并创建一个新项目

3.3.6 在其他客户端上传镜像

四、维护管理Harbor

4.1 通过Harbor Web创建项目

4.2 创建Harbor用户

4.2.1 创建用户并分配权限

4.2.2 添加项目成员

4.2.3 在客户端上使用普通账户操作镜像

4.3 查看日志

4.4 修改Harbor.cfg配置文件

4.5 移除Harbor服务容器同时保留镜像数据/数据库,并进行迁移

4.5.1 移除Harbor服务容器

4.5.2 把项目中的镜像数据进行打包

4.5.3 重新部署,需要移除Harbor服务容器全部数据

4.5.4 解压缩数据包并重新启动harbor


一、搭建本地私有仓库

1.1 首先下载registry镜像

docker pull registry

docker本地私有仓库与harbor私有仓库_第1张图片

1.2 在daemon.json文件中添加私有镜像仓库地址

vim /etc/ docker/daemon.json
{
"insecure-registries": ["192.168.80.11:5000"],
#添加,注意用逗号结尾
"registry-mirrors": ["https://6ijb8ubo.mirror.aliyuncs.com"]
}

systemctl restart docker.service

 

1.3 运行registry容器

docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest
===================================================
-itd: 在容器中打开一个伪终端进行交互操作,并在后台运行
-v: 把宿主机的/data/registry目录绑定到容器/var/lib/registry目录(这个目录是registry容器中存放镜像文件的目录),来实现数据的
持久化;
-p:映射端口;访问宿主机的5000端口就访问到registry容器的服务了
--restart=always: 这是重启的策略,在容器退出时总是重启容器
--name registry: 创建容器命名为registry
registry:latest:这个是刚才pull下来的镜像
====================================================
Docker容器的重启策略如下:
no:默认策略,在容器退出时不重启容器
on-failure: 在容器非正常退出时(退出状态非0),才会重启容器
on-failure:3 :在容器非正常退出时重启容器,最多重启3次
always: 在容器退出时总是重启容器
unless-stopped: 在容器退出时总是重启容器,但是不考虑在Docker守护进程启动时就已经停止了的容器

docker本地私有仓库与harbor私有仓库_第2张图片

 

1.4 为镜像打标签

docker tag centos:7 192.168.80.11:5000/centos7:gxd

docker本地私有仓库与harbor私有仓库_第3张图片

1.5 上传到私有仓库

docker push 192.168.80.10:5000/centos7:gxd

1.6 列出私有仓库的所有镜像

curl http://192.168.80.11:5000/v2/_catalog

1.7 列出私有仓库的centos7镜像有哪些tag

curl http://192.168.80.11:5000/v2/centos7/tags/list

1.8 先删除原有的centos的镜像,再测试私有仓库下载

docker images
docker rmi -f eeb6ee3f44bd
docker pull 192.168.80.11:5000/centos7:gxd

docker本地私有仓库与harbor私有仓库_第4张图片

docker本地私有仓库与harbor私有仓库_第5张图片

 

二、Harbor(私有仓库)概述

2.1 什么是Harbor

1.Harbor是VMware公司开源的企业级Docker Registry项目,其目标是帮助用户迅速搭建一个企业级的Docker Registry服务
2.Harbor以Docker公司开源的Registry 为基础,提供了图形管理UI、基于角色的访问控制(Role Based AccessControl)、AD/LDAP集成、以及审计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文
3.Harbor的每个组件都是以Docker 容器的形式构建的,使用docker-compose来对它进行部署。用于部署Harbor 的docker-compose模板位于harbor/docker- compose.yml

2.2 Harbor的特性

1.基于角色控制:用户和仓库都是基于项目进行组织的,而用户在项目中可以拥有不同的权限
2.基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制(同步)
3.支持 LDAP/AD:Harbor 可以集成企业内部已有的 AD/LDAP(类似数据库的一张表),用于对已经存在的用户认证和管理
4.镜像删除和垃圾回收:镜像可以被删除,也可以回收镜像占用的空间
5.图形化用户界面:用户可以通过浏览器来浏览,搜索镜像仓库以及对项目进行管理
6.审计管理:所有针对镜像仓库的操作都可以被记录追溯,用于审计管理
7.支持 RESTful API:RESTful API 提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易
8.Harbor和docker registry的关系:Harbor实质上是对docker registry做了封装,扩展了自己的业务模板

2.3 Harbor的构成

docker本地私有仓库与harbor私有仓库_第6张图片


1.Proxy: Harbor 的Registry、 UI、Token 服务等组件,都处在nginx 反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端不同的服务上
2.Registry:负责储存Docker 镜像,并处理Docker push/pull命令。由于要对用户进行访问控制,即不同用户对Docker 镜像有不同的读写权限,Registry 会指向一个Token 服务,强制用户的每次Docker pull/push 请求都要携带一个合法的Token,Registry会通过公钥对Token进行解密验证
3.Core services: Harbor的核心功能,主要提供以下3个服务:
UI (harbor-ui) :提供图形化界面,帮助用户管理Registry上的镜像(image),并对用户进行授权WebHook: 为了及时获取Registry.上image 状态变化的情况,在Registry上配置Webhook,把状态变化传递给UI模块Token服务:负责根据用户权限给每个Docker push/pull命令签发Token。Docker客户端向Registry服务发起的请求,如果不包含Token,会被重定向到Token服务,获得Token后再重新向Registry进行请求
4.Database (harbor-db) :为core services提供数据库服务,负责储存用户权限、审计日志、Docker镜像分组信息等数据
5.Job services: 主要用于镜像复制,本地镜像可以被同步到远程Harbor实例上
6.Log collector (harbor-log) :负责收集其他组件的日志到一个地方

1.Harbor的每个组件都是以Docker容器的形式构建的,因此使用Docker Compose来对它进行部署。
2.总共分为7个容器运行,通过在docker-compose.yml所在目录中执行 docker-compose ps命令来查看,名称分别为:nginx、harbor-jobservice、harbor-ui、harbor-db、harbor-adminserver、registry、harbor-log
3.其中harbor-adminserver主要是作为一个后端的配置数据管理,并没有太多的其他功能。harbor-ui所要操作的所有数据都通过harbor-adminserver这样一个数据配置管理中心来完成

三、Harbor部署

3.1 环境部署

服务器 ip 组件
Harbor服务器 192.168.80.11 docker-ce、docker-compose、harbor-offline-v1.2.2
client服务器 192.168.80.12 docker-ce

3.2 部署Docker-Compose服务

#下载或者上传Docker-Compose
curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m`-o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose
docker-compose -v

 docker本地私有仓库与harbor私有仓库_第7张图片

 

3.3 部署Harbor服务

3.3.1 下载或上传Harbor安装程序

wget http://harbor.orientsoft.cn/harbor-1.2.2/harbor-offline installer-v1.2.2.tgz

tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/

docker本地私有仓库与harbor私有仓库_第8张图片

3.3.2 修改harbor安装的配置文件

vim /usr/1ocal/harbor/harbor.cfg
--5行--修改,设置为Harbor服务器的IP地址或者域名
hostname = 192.168.80.11
-- 59行--指定管理员的初始密码,默认的用户名/密码是admin/ Harbor12345
harbor_admin_ password = Harbor12345
=========================================================
关于 Harbor.cfg 配置文件中有两类参数:所需参数和可选参数
1、所需参数:这些参数需要在配置文件 Harbor.cfg 中设置。如果用户更新它们并运行 install.sh 脚本重新安装 Harbour, 参数将生效。具体参数如下:
●hostname:用于访问用户界面和 register 服务。它应该是目标机器的 IP 地址或完全限定的域名(FQDN),例如 192.168.80.10 或 hub.kgc.cn。不要使用 localhost 或 127.0.0.1 为主机名。

●ui_url_protocol:(http 或 https,默认为 http)用于访问 UI 和令牌/通知服务的协议。如果公证位于启用状态,则此参数必须为 https。

●max_job_workers:镜像复制作业线程。

●db_password:用于db_auth 的MySQL数据库root 用户的密码。

●customize_crt:该属性可设置为打开或关闭,默认打开。打开此属性时,准备脚本创建私钥和根证书,用于生成/验证注册表令牌。当由外部来源提供密钥和根证书时,将此属性设置为 off。

●ssl_cert:SSL 证书的路径,仅当协议设置为 https 时才应用。

●secretkey_path:用于在复制策略中加密或解密远程 register 密码的密钥路径。
=========================================================
2、可选参数:这些参数对于更新是可选的,即用户可以将其保留为默认值,并在启动 Harbor 后在 Web UI 上进行更新。如果进入 Harbor.cfg,只会在第一次启动 Harbor 时生效,随后对这些参数的更新,Harbor.cfg 将被忽略。

注意:如果选择通过 UI 设置这些参数,请确保在启动 Harbor 后立即执行此操作。具体来说,必须在注册或在 Harbor 中创建任何新用户之前设置所需的 auth_mode。当系统中有用户时(除了默认的 admin 用户), auth_mode 不能被修改。 具体参数如下:
●Email:Harbor 需要该参数才能向用户发送“密码重置”电子邮件,并且只有在需要该功能时才启用。请注意,在默认情况下 SSL 连接时没有启用。如果 SMTP 服务器需要 SSL,但不支持 STARTTLS,那么应该通过设置启用 SSL email_ssl = TRUE。

●harbour_admin_password:管理员的初始密码,只在 Harbour 第一次启动时生效。之后, 此设置将被忽略,并且应在 UI 中设置管理员的密码。请注意,默认的用户名/密码是admin/Harbor12345。

●auth_mode:使用的认证类型,默认情况下,它是 db_auth,即凭据存储在数据库中。对于LDAP身份验证,请将其设置为 ldap_auth。

●self_registration:启用/禁用用户注册功能。禁用时,新用户只能由 Admin 用户创建,只有管理员用户可以在 Harbour 中创建新用户。注意:当 auth_mode 设置为 ldap_auth 时,自注册功能将始终处于禁用状态,并且该标志被忽略。

●Token_expiration:由令牌服务创建的令牌的到期时间(分钟),默认为 30 分钟。

●project_creation_restriction:用于控制哪些用户有权创建项目的标志。默认情况下,每个人都可以创建一个项目。如果将其值设置为“adminonly”,那么只有 admin 可以创建项目。

●verify_remote_cert:打开或关闭,默认打开。此标志决定了当Harbor与远程 register 实例通信时是否验证SSL/TLS证书。将此属性设置为off将绕过SSL/TLS验证,这在远程实例具有自签名或不可信证书时经常使用。

另外,默认情况下,Harbor将镜像存储在本地文件系统上。在生产环境中,可以考虑 使用其他存储后端而不是本地文件系统,如 S3、Openstack Swif、Ceph 等对象存储。但需要更新 common/templates/registry/config.yml 文件。

docker本地私有仓库与harbor私有仓库_第9张图片

3.3.3 启动Harbor

cd /usr/local/harbor/
./install.sh

docker本地私有仓库与harbor私有仓库_第10张图片

 

3.3.4 查看Harbor启动镜像

cd /usr/local/harbor/
docker-compose ps

docker本地私有仓库与harbor私有仓库_第11张图片

3.3.5 浏览器访问并创建一个新项目

web网页操作:
1.浏览器访问:http://192.168.80.11登录 Harbor WEB UI 界面,默认的管理员用户名和密码是 admin/Harbor12345
2.输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮
3.填写项目名称为“gxd”,点击“确定”按钮,创建新项目
4.此时可使用 Docker 命令在本地通过127.0.0.1来登录和推送镜像。默认情况下,Registry服务器在端口80上侦听
==========================================================
服务器操作:
1.登录Harbor
docker login [-u admin -p Harbor12345] http://127.0.0.1
2.下载镜像进行测试
docker pull nginx
3.将镜像打标签
格式:docker tag 镜像:标签  仓库IP/项目名称/镜像名:标签
docker tag nginx:latest 127.0.0.1/gxd/nginx:111
4.上传镜像到 Harbor
docker push 127.0.0.1/gxd/nginx:111
==========================================================
web网页操作:
在 Harbor界面gxd目录下可看见此镜像及相关信息

docker本地私有仓库与harbor私有仓库_第12张图片

 docker本地私有仓库与harbor私有仓库_第13张图片

docker本地私有仓库与harbor私有仓库_第14张图片

docker本地私有仓库与harbor私有仓库_第15张图片

 

3.3.6 在其他客户端上传镜像

以上操作都是在Harbor服务器本地操作。如果其他客户端登录到Harbor, 就会报如下错误。出现这问题的原因为Docker Registry交互默认使用的是HTTPS,但是搭建私有镜像默认使用的是HTTP服务,所以与私有镜像交互时出现以下错误。

命令:docker login -u admin -p Harbor12345 http://192.168.80.11

WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get "https://192.168.80.11/v2/": dial tcp 192.168.80.11:443: connect: connection refused

1)增加启动参数,默认使用HTTP访问

解决办法是:
第一种:在Docker server启动的时候,增加启动参数,默认使用 HTTP 访问。
vim /usr/lib/systemd/system/docker.service
--13行--修改
ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.80.11 --containerd=/run/containerd/containerd.sock
或
ExecStart=/usr/bin/dockerd --insecure-registry 192.168.80.11
第二种:vim /etc/ docker/daemon.json
{
"insecure-registries": ["192.168.80.11"],
#添加,注意用逗号结尾
"registry-mirrors": ["https://6ijb8ubo.mirror.aliyuncs.com"]
}

docker本地私有仓库与harbor私有仓库_第16张图片

docker本地私有仓库与harbor私有仓库_第17张图片

2)重启Docker,再次登录

systemctl daemon-reload
systemctl restart docker

docker login -u admin -p Harbor12345 http://192.168.80.11
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json. 
Login Succeeded       ##将自动保存凭据到/root/.docker/config.json,下次登录时可直接使用凭据登录 Harbor

docker本地私有仓库与harbor私有仓库_第18张图片

3)下载镜像进行测试

docker pull 192.168.80.11/gxd/nginx:111

docker本地私有仓库与harbor私有仓库_第19张图片

4)上传镜像进行测试

docker pull cirros
docker tag cirros:latest 192.168.80.11/gxd/cirros:111
docker push 192.168.80.11/gxd/cirros:111

docker本地私有仓库与harbor私有仓库_第20张图片

5)刷新Harbor的Web管理界面进行查看

 

四、维护管理Harbor

4.1 通过Harbor Web创建项目

在Harbor仓库中,任何镜像在被push到regsitry之前都必须有一个自己所属的项目。
单击“+项目”,填写项目名称,项目级别若设置为"私有",则不勾选。如果设置为公共仓库,则所有人对此项目下的镜像拥有读权限,命令行中不需要执行"Docker login"即可下载镜像,镜像操作与Docker Hub一致

docker本地私有仓库与harbor私有仓库_第21张图片

4.2 创建Harbor用户

4.2.1 创建用户并分配权限

在 Web 管理界面中单击系统管理 -> 用户管理 -> +用户,
填写用户名为“gxd”,邮箱为“[email protected]”,全名为“guxianggdong”,密码为“Abc12345”,注释为“管理员”(可省略)。
附:用户创建成功后,单击左侧“...”按钮可将上述创建的用户设置为管理员角色或进行删除操作,本例不作任何设置

4.2.2 添加项目成员

单击项目 ->gxd-> 成员 -> + 成员,填写上述创建的用户gxd并分配角色为“开发人员”。
附:此时单击左侧“...”按钮仍然可对成员角色进行变更或者删除操作

4.2.3 在客户端上使用普通账户操作镜像

1.删除上述打标签的本地镜像
docker rmi 192.168.80.11/gxd/cirros:11

2.先退出当前用户,然后使用上述创建的账户gxd登录
docker logout 192.168.80.11

docker login 192.168.80.11
或
docker login -u gxd -p Abc12345 http://192.168.80.11

3.下载和上传镜像进行测试
docker pull 192.168.80.11/gxd/cirros:111
docker tag 192.168.80.11/gxd/cirros:111 192.168.80.11/gxd/cirros:222
docker push 192.168.80.11/gxd/cirros:222

docker本地私有仓库与harbor私有仓库_第22张图片

4.3 查看日志

Web界面日志,操作日志按时间顺序记录用户相关操作

 

4.4 修改Harbor.cfg配置文件

1.要更改 Harbour的配置文件中的可选参数时,请先停止现有的 Harbour实例并更新 Harbor.cfg;然后运行prepare脚本来填充配置; 最后重新创建并启动 Harbour的实例
2.使用docker-compose管理Harbor时,必须在与docker-compose.yml相同的目录中运行
==========================================================
cd /usr/local/harbor
docker-compose down -v

vim harbor.cfg			#只能修改可选参数

./prepare

docker-compose up -d
//如果有以下报错,需要开启防火墙 firewalld 服务解决
Creating network "harbor_harbor" with the default driver
ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule:  (iptables failed: iptables --wait -t nat -I DOCKER -i br-b53c314f45e8 -j RETURN: iptables: No chain/target/match by that name.
 (exit status 1))

systemctl restart firewalld.service
docker-compose up -d

docker本地私有仓库与harbor私有仓库_第23张图片

4.5 移除Harbor服务容器同时保留镜像数据/数据库,并进行迁移

4.5.1 移除Harbor服务容器

cd /usr/local/harbor
docker-compose down -v

docker本地私有仓库与harbor私有仓库_第24张图片

4.5.2 把项目中的镜像数据进行打包

持久数据,如镜像,数据库等在宿主机的/data/目录下,日志在宿主机的/var/log/Harbor/目录下
ls /data/registry/docker/registry/v2/repositories/gxd
cd /data/registry/docker/registry/v2/repositories/gxd
tar zcvf gxd-registry.tar.gz ./*
mv gxd-registry.tar.gz /root

docker本地私有仓库与harbor私有仓库_第25张图片

4.5.3 重新部署,需要移除Harbor服务容器全部数据

cd /usr/local/harbor
docker-compose down -v
rm -rf /data/database
rm -rf /data/registry

docker本地私有仓库与harbor私有仓库_第26张图片

4.5.4 解压缩数据包并重新启动harbor

mkdir -p /data/registry/docker/registry/v2/repositories/gxd
tar zxvf /root/gxd-registry.tar.gz -C /data/registry/docker/registry/v2/repositories/gxd

cd /usr/local/harbor
docker-compose up -d   #重启一下

docker-compose down -v
docker-compose up -d   #再重启一下

docker本地私有仓库与harbor私有仓库_第27张图片

你可能感兴趣的:(docker,运维,容器)