docker-harbor私有仓库
docker 三大组件 镜像 容器 仓库
仓库:保存镜像
私有,自定义用户的形式登录仓库,拉去或者上传镜像(内部管理的用户)
harbor:是由VMware公司开发的,开源的企业级的docker registry 项目 。
帮助用户快速的搭建一个企业级的docker仓库的服务。
1.harbor的特性
1.基于角色进行控制,用户和仓库都是基于项目进行的,用户在每个项目中可以拥有不同的权限
2.基于镜像,在不同的harbor实例之间进行复制
3.harbor自带一个数据库,AD/LDAP(类似于数据库中的表),用于对已经存在的用户进行认证和管理。
4.镜像删除和垃圾回收,仓库中的镜像可以被删除(基于权限控制的),也可以回收镜像占用的空间。
5.图形化界面的,用户可以直接通过浏览器来对镜像仓库进行管理。
6.审计管理,所有对镜像仓库的操作都可以被记录溯源。
7.支持API操作。
API的程序接口,端口:主机和主机之间的通信,API是应用和应用之间的接口。管理员可以基于API调用接口,和更多的其他的程序进行集成。
2.harbor的组件
1.proxy:安装完了harbor之后,他会自动生成一个nginx的容器,自动对外映射,80端口,nginx的前端代理,在harbor当中 registry,UI,TOKEN 都在nginx的反向代理后面。通过nginx的代理,可以把请求转发到后端不同的应用。
2.Registry:负责存储镜像,docker pull /push的命令都是由其负责。用户进行访问控制,不同的用户对docker镜像有不同的读写权限。Resgistry每次都要会指向一个不同的Token,强制用户每次的pull/push,都必须带一个合法的token(公钥对),Resgistry会通过公钥对,进行解密验证,身份合法才能指定操作。
3.CORE SERVICES:harbor的核心功能:提供三个服务
1.UI:提供图形化界面。
2.webhook:仓库上所有镜像的变化(增删改)都会传送给webhook,以实现在UI界面上。
3.Token:签发每一次push和pull的公钥对,用来和仓库进行权限认证。
4.database:harbor-db 为核心core services 提供数据库存储服务,用户权限,审计日志 docker镜像的分组和项目信息
5.jobservice:主要用于镜像的复制,本地镜像可以同步到远程harbor上
6.log collector(harbor-log) 统一日志收集工具
3.实验
docker1 安装仓库 192.168.233.40 docker-ce har-bor docker-compose
docker2 客户端 192.168.233.50 docker-ce har-bor
docker3 安装仓库-----实现远程同步 192.168.233.60 docker-ce har-bor
所有
systemctl stop firewalld
setenforce 0
docker1
cd /opt
ls
把compose 和harbor 拖进来
mv docker-compose-linux-x86_64 docker-compose
mv docker-compose /usr/local/bin
chmod 777 /usr/local/bin/docker-compose
docker-compose -v
tar -xf harbor-offline-installer-v2.8.1.tgz -C /usr/local
cd /usr/local/harbor/
cp harbor.yml.tmpl harbor.yml
vim harbor.yml
./prepare #编译环境
./install.sh
docker ps
访问192.168.233.40
密码123456
docker pull nginx:1.22.0
docker tag nginx:1.22.0 127.0.0.1/library/nginx:dn1
docker images
docker push 127.0.0.1/library/nginx:dn1
docker login -u admin -p123456 http://127.0.0.1
docker push 127.0.0.1/library/nginx:dn1
新建项目
docker login -u guoqi -p Guoqi666 http://127.0.0.1
docker tag nginx:1.22.0 127.0.0.1/dntest/nginx:gq1
docker push 127.0.0.1/dntest/nginx:gq1
发现权限不够
在项目dntest
docker push 127.0.0.1/dntest/nginx:gq1
##角色:
访客:只有看,只有读权限
开发者:可以有读写权限,但是没有删除权限
维护人员:读写权限,修改其他配置的权限
项目管理员:对该项目拥有所有权限
##
docker2:
vim /usr/lib/systemd/system/docker.service
13 行 ExecStart=/usr/bin/dockerd --insecure-registry 192.168.66.14
systemctl daemon-reload
systemctl restart docker
docker login -u guoqi -p Guoqi666 http://192.168.233.40
docker pull logstash
docker images
docker tag logstash:latest 192.168.233.40/dntest/logstash:gq1
docker push 192.168.233.40/dntest/logstash:gq1
访问192.168.233.40可以见到
docker3:
把compose跟前面一样的操作
把harbor 移到opt
一样的操作
vim harbor.yml
把compose 和harbor 拖进来
mv docker-compose-linux-x86_64 docker-compose
mv docker-compose /usr/local/bin
chmod 777 /usr/local/bin/docker-compose
docker-compose -v
tar -xf harbor-offline-installer-v2.8.1.tgz -C /usr/local
cd /usr/local/harbor/
cp harbor.yml.tmpl harbor.yml
vim harbor.yml
./prepare
./install.sh
192.168.233.60
这时候下面就复制成功了,可以去项目查看结果