企业级Docker镜像仓库harbor的部署和使用
作者:互联网
文章目录
部署企业私有仓库往往是很有必要的, 他可以帮助你管理企业的一些敏感镜像,同时由于Docker Hub的下载速度和GFW的原因, 往往需要将一些无法直接下载的镜像导入本地私有仓库,而Harbor就是部署企业私有仓库的一个不二之选
一:Harbor私有仓库介绍
1.1、什么是Harbor?
Harbor是一个开源的容器镜像存储软件,它通过基于角色的访问控制保护镜像,扫描镜像以查找漏洞,并将镜像标记为可信。作为一个CNCF孵化项目,Harbor提供了法规遵从性、性能和互操作性,可以帮助在Kubernetes和Docker等云计算平台上一致、安全地管理镜像
1.2、Harbor的特点
- 安全
安全和漏洞分析
内容签名和验证
- 管理
多租户
可拓展的API和Web UI
跨多个Harbor实例的镜像复制
身份集成和基于角色的访问控制
1.3、harbor的功能
Harbor是VMware公司开源了企业级Registry项目, 其的目标是帮助用户迅速搭建一个企业级的Docker registry服务。它以Docker公司开源的registry为基础,额外提供了如下功能:
基于角色的访问控制(Role Based Access Control)
基于策略的镜像复制(Policy based image replication)
镜像的漏洞扫描(Vulnerability Scanning)
AD/LDAP集成(LDAP/AD support)
镜像的删除和空间清理(Image deletion & garbage collection)
友好的管理UI(Graphical user portal)
审计日志(Audit logging)
RESTful API
部署简单(Easy deployment)
1.4、harbor的架构
从安装组件我们可以看出harbor主要依靠以下几个组件:
- Nginx(Proxy):用于代理Harbor的registry,UI, token等服务
- db:负责储存用户权限、审计日志、Dockerimage分组信息等数据。
- UI:提供图形化界面,帮助用户管理registry上的镜像, 并对用户进行授权
- jobsevice:负责镜像复制工作的,他和registry通信,从一个registry pull镜像然后push到另一个registry,并记录job_log
- Adminserver:是系统的配置管理中心附带检查存储用量,ui和jobserver启动时候回需要加载adminserver的配置。
- Registry:原生的docker镜像仓库,负责存储镜像文件。
- Log:为了帮助监控Harbor运行,负责收集其他组件的log,记录到syslog中
二、Harbor 部署
2.1、环境准备
主机名 | IP | 所需软件 |
---|---|---|
harbor | 20.0.0.10 | docker-ce、harbor、docker-compose |
client | 20.0.0.20 | docker-ce |
- 两台主机都安装docker-ce,harbor服务器还需要安装docker-compose
2.2、安装compose 和 harbor
//在线下载docker-compose包
curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
cp -p docker-compose /usr/local/bin/
//在harbor服务器上,在线下载harbor安装包
wget http://harbor.orientsoft.cn/harbor-1.2.2/harbor-offline-installer-v1.2.2.tgz
//解压到/usr/local中
tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/
[root@localhost bin]# cd /usr/local/harbor/ #在下图中可以看到install.sh脚本,还有.yml结尾的编排文件
//修改harbor的参数文件harbor.cfg
vi harbor.cfg
hostname = 20.0.0.10 #修改为harbor服务器IP地址,不能使用 localhost 或者127.0.0.1
2.3、启动harbor
install.sh会直接调用docker-compose.yml,进行编排容器服务
sh /usr/local/harbor/install.sh
2.4、查看harbor 启动镜像
docker images #查看镜像
docker ps -a #查看容器
2.5、harbor 图形化管理
如果一切都正常,应该可以打开浏览器访问 http://20.0.0.10 的管理页面,默认 的管理员用户名和密码是 admin/Harbor12345。
- 在harbor.cfg文件里可以找到登录UI界面的默认用户、密码。
- 打开浏览器输入harbor的IP地址20.0.0.10 登录UI界面。
- 在网页harbor上新建一个私有项目myproject-kgc,用来测试上传、下载镜像
此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下,
Register 服务器在端口 80 上侦听。
//登录harbor的字符界面
docker login -u admin -p Harbor12345 http://127.0.0.1/
//先从官方公有仓库下载一个镜像
docker pull cirros
//修改特定的标签,这个标签不能改,127.0.0.1代表本地地址,privateproject指定项目,cirros:v1指定具体镜像名称和版本
docker tag cirros:latest 127.0.0.1/privateproject/cirros:v1
//上传镜像到私有仓库
docker push 127.0.0.1/privateproject/cirros:v1
#注意:在harbor服务器上登录、定制tag、上传镜像都需要使用127.0.0.1,而不可以使用20.0.0.10,否则会出现错误
- 在UI界面可以看到刚刚上传的镜像。
2.6、客户端远程访问管理 harbor
以上操作都是在 Harbor 服务器本地操作。如果其他客户端上传镜像到 Harbor,就会报
如下错误。出现这问题的原因 Docker Registry 交互默认使用的是 HTTPS,但是搭建私有镜
像默认使用的是 HTTP 服务,所以与私有镜像交互时出现以下错误。
[root@client ~]# docker login -u admin -p Harbor12345 http://20.0.0.10
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get https://20.0.0.10/v2/: EOF
//解决:
[root@client ~]# vim /usr/lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 20.0.0.10 --containerd=/run/containerd/containerd.sock
[root@client ~]# systemctl daemon-reload
[root@client ~]# systemctl restart docker
//必须要先指定私有仓库的地址
vi /usr/lib/systemd/system/docker.service
//添加
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --insecure-registry 20.0.0.10
//重启服务
[root@client ~]# systemctl daemon-reload
[root@client ~]# systemctl restart docker.service
//登录
[root@client ~]# docker login -u admin -p Harbor12345 http://20.0.0.10
2.7、客户端下载、上传镜像到私有仓库
- 1、下载私有仓库的镜像
[root@client ~]# docker pull 20.0.0.10/myproject-kgc /cirros:v1
- 2、上传镜像到私有仓库
//先从官方仓库下载nginx镜像
[root@localhost system]# docker pull nginx
//给nginx镜像打标签
docker tag nginx:latest 20.0.0.10/myproject-kgc/nginx:v2
docker images
- 上传镜像到私有仓库
- 我们在 harbor 界面验证镜像是否上传到私有仓库。
总结
在搭建过程中,要注意客户端远程登录私有仓库时,必须先在docker.service文件里指明仓库地址,然后加载并重启docker,之后才能登录。
三、Harbor 管理维护
3.1、修改 Harbor.cfg 配置文件
- 修改harbor.cfg配置文件,先停止现有的Harbor实例并更新harbor.cfg中的配置,然后再运行prepare脚重新加载配置,最后重新创建并且启动harbor的实例。
- 详细步骤如下:
- 1、关闭所有容器
[root@harbor harbor]# pwd
/usr/local/harbor
[root@harbor harbor]# docker-compose down -v
- 2、修改参数文件
[root@harbor harbor]# pwd
/usr/local/harbor
[root@harbor harbor]# vi harbor.cfg ##修改配置参看实际需求
[root@localhost harbor]# ls #目录下有prepare脚本,下一步执行
common docker-compose.yml harbor.v1.2.2.tar.gz NOTICE
docker-compose.clair.yml harbor_1_1_0_template install.sh prepare
docker-compose.notary.yml harbor.cfg LICENSE upgrade
- 3、重新加载配置文件,重启服务
[root@harbor harbor]# ./prepare
[root@harbor harbor]# systemctl restart docker ##重启docker服务
[root@harbor harbor]# docker-compose up -d ##启动容器服务
Creating network "harbor_harbor" with the default driver
Creating harbor-log ... done
Creating harbor-db ... done
Creating registry ... done
Creating harbor-adminserver ... done
Creating harbor-ui ... done
Creating nginx ... done
Creating harbor-jobservice ... done
3.2、UI 界面操作
-
创建新用户 test-lisi,记住创建的密码,稍后使用 。
-
在项目里添加新的用户成员。
-
在client上,使用新用户远程登录harbor,来进行下载和上传镜像
//首先退出已登陆的账号
[root@localhost ~]# docker logout http://20.0.0.10
Removing login credentials for 20.0.0.10
//使用新的账户登录
[root@client ~]# docker login http://20.0.0.10
下载 harbor 仓库内的镜像
- 上传镜像
- 查看UI界面显示上传成功!
标签:harbor,企业级,Harbor,0.10,镜像,Docker,root,docker 来源: https://blog.csdn.net/Houtieyu/article/details/110480495