使用Harbor构建docker私有仓库
生活随笔
收集整理的這篇文章主要介紹了
使用Harbor构建docker私有仓库
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
目錄
- 一、概述
- 1、什么是Harbor
- 2、Harbor的優勢
- 3、Docker私有倉庫架構
- 4、Harbor 配置文件以及相關參數
- (1)所需參數
- (2)可選參數
- 二、使用Harbor構建docker私有倉庫
- 1、部署 Harbor 服務
- (1)下載 Harbor 安裝程序
- (2)配置 Harbor 參數文件
- (3)啟動 Harbor
- (4)查看 Harbor 啟動鏡像和容器
- (5)在UI界面創建項目
- (6)在本地測試倉庫功能
- (7)在客戶端上傳鏡像
- 2、維護管理Harbor
- (1)停止現有的 Harbor 實例
- (2)修改配置文件 Harbor.cfg
- (3)運行 prepare 腳本來填充配置
- (4)重啟服務
- 3、創建 Harbor 用戶
- 3、移除 Harbor 服務容器以及全部數據
一、概述
1、什么是Harbor
Harbor 是VMware公司開源的云本地 registry 倉庫,有可視化的Web管理界面,可以方便的管理和儲存 Docker 鏡像。Harbor 支持在多個倉庫直接進行復制鏡像,提供用戶管理和訪問控制和活動審計。
2、Harbor的優勢
- 基于角色控制
- 基于鏡像的復制策略
- 支持LDAP/AD域,通過VPN連接域使用
- 圖像刪除和垃圾收集
- 圖像UI,方便
- 審計,此功能使用較少,一般企業中用ELK收集、分析日志
- RESTful API
3、Docker私有倉庫架構
圖中組件解釋
Proxy:通過一個前置的反向代理統一接收瀏覽器、Docker客戶端的請求,并將請求轉發給后端不同的服務
Registry:負責存儲Docker鏡像,并處理docker push/pull命令
Core services:Harbor的核心功能,包括UI、webhook、token服務
Database:為core services提供數據庫服務
Log collector:·負責收集其他組件的log,供日后進行分析
圖解
所有的請求都經過proxy代理,proxy代理轉發給Core services和Registry,其中Core services包括UI界面、token令牌和webhook網頁服務功能,Registry主要提供鏡像存儲功能。如果要進行下載上傳鏡像,要經過token令牌驗證然后從Registry獲取或上傳鏡像,每一次下載或上傳都會生成日志記錄,會記入Log collector,而用戶身份權限及一些鏡像語言信息會被存儲在Database中。
4、Harbor 配置文件以及相關參數
Harbor的配置文件是:/usr/local/harbor/harbor.cfg
關于 Harbor.cfg 配置文件中有兩類參數:所需參數和可選參數
(1)所需參數
修改此參數后,需要運行 install.sh腳本重新安裝 Harbour,參數才會生效。
- hostname
- 用于訪問用戶界面和 register 服務。
- 它應該是目標機器的 IP 地址或完全限定的域名(FQDN)
- 例如 192.168.163.100 或test.com。
- 不要使用 localhost 或 127.0.0.1 為主機名。
- ui_url_protocol(參數選項:http 或 https,默認為 http)
- 用于訪問 UI 和令牌/通知服務的協議。
- 如果公證處于啟用狀態,則此參數必須為 https。
- max_job_workers
- 鏡像復制作業線程。
- db_password
- 用于db_auth 的MySQL數據庫root 用戶的密碼。
- customize_crt
- 該屬性可設置為打開或關閉,默認打開。
- 打開此屬性時,準備腳本創建私鑰和根證書,用于生成/驗證注冊表令牌。
- 當由外部來源提供密鑰和根證書時,將此屬性設置為 off。
- ssl_cert
- SSL 證書的路徑,僅當協議設置為 https 時才應用。
- ssl_cert_key
- SSL 密鑰的路徑,僅當協議設置為 https 時才應用。
- secretkey_path
- 用于在復制策略中加密或解密遠程 register 密碼的密鑰路徑。
- 不建議配置,有很大的安全隱患
(2)可選參數
這些參數對于更新是可選的,即用戶可以將其保留為默認值,并在啟動 Harbor 后在 Web UI 上進行更新。
如果進入 Harbor.cfg,只會在第一次啟動 Harbor 時生效,隨后對這些參數 的更新,Harbor.cfg 將被忽略。
注意:如果選擇通過UI設置這些參數,請確保在啟動Harbour后立即執行此操作。具體來說,必須在注冊或在 Harbor 中創建任何新用戶之前設置所需的
- auth_mode
- 當系統中有用戶時(除了默認的 admin 用戶),auth_mode 不能被修改。
- Email
- Harbor需要該參數才能向用戶發送“密碼重置”電子郵件,并且只有在需要該功能時才需要。
- 請注意,在默認情況下SSL連接時沒有啟用。如果SMTP服務器需要SSL,但不支持STARTTLS,那么應該通過設置啟用SSL email_ssl = TRUE。
- harbour_admin_password
- 管理員的初始密碼,只在Harbour第一次啟動時生效。
- 之后,此設置將被忽略,并且應 UI中設置管理員的密碼。
- 默認的用戶名/密碼是 admin/Harbor12345。
- auth_mode
- 使用的認證類型
- 默認情況下,它是 db_auth,即憑據存儲在數據庫中。
- 對于LDAP身份驗證,請將其設置為 ldap_auth。
- self_registration
- 啟用/禁用用戶注冊功能。
- 禁用時,新用戶只能由 Admin 用戶創建,只有管理員用戶可以在 Harbour中創建新用戶。
- 注意:當 auth_mode 設置為 ldap_auth 時,自注冊功能將始終處于禁用狀態,并且該標志被忽略。
- Token_expiration
- 由令牌服務創建的令牌的到期時間(分鐘),默認為 30 分鐘。
- 即登錄–退出后,30分鐘內可以不輸入用戶名和密碼登錄,30分鐘后需要再次驗證。
- project_creation_restriction
- 用于控制哪些用戶有權創建項目的標志,表示哪些用戶可以創建項目。
- 默認情況下, 每個人都可以創建一個項目。
- 如果將其值設置為“adminonly”,那么只有 admin 可以創建項目。
- verify_remote_cert
- 打開或關閉,默認打開。
- 此標志決定了當Harbor與遠程 register 實例通信時是否驗證 SSL/TLS 證書。
- 將此屬性設置為 off 將繞過 SSL/TLS 驗證,這在遠程實例具有自簽名或不可信證書時經常使用。
另外,默認情況下,Harbour 將鏡像存儲在本地文件系統上。在生產環境中,可以考慮 使用其他存儲后端而不是本地文件系統,如 S3、Openstack Swif、Ceph 等。但需要更新common/templates/registry/config.yml 文件。
二、使用Harbor構建docker私有倉庫
案例環境
| Harbor(服務端) | Centos 7 | 192.168.163.100 | docker docker-compose harbor-offline-v1.1.2 |
| client(客戶端) | Centos 7 | 192.168.163.150 | docker |
案例需求
通過Harbor創建Docker私有倉庫
使用圖形化管理Docker私有倉庫鏡像
實驗準備
在服務端安裝docker和docker-compose
客戶端上安裝docker
關閉防火墻
修改主機名
1、部署 Harbor 服務
Harbor 被部署為多個 Docker 容器,因此可以部署在任何支持 Docker 的 Linux 發行版上。
服務端主機需要安裝Docker 和 Docker Compose。
安裝Docker:Docker的第一次接觸
安裝Docker Compose如下
(1)下載 Harbor 安裝程序
Harbor:192.168.163.100
安裝包下載
(2)配置 Harbor 參數文件
Harbor:192.168.163.100
vim /usr/local/harbor/harbor.cfg//第5行
hostname = 192.168.163.100
(3)啟動 Harbor
Harbor:192.168.163.100
sh /usr/local/harbor/install.sh- 1
(4)查看 Harbor 啟動鏡像和容器
Harbor:192.168.163.100
查看鏡像
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
查看容器
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
檢查服務容器是否開啟
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
(5)在UI界面創建項目
真機
上圖檢查一切正常,此時可以打開瀏覽器訪問 http://192.168.163.100 的管理頁面,默認的管理員用戶名和密碼是 admin/Harbor12345。
登錄后的頁面
添加項目并且填寫項目名稱
(6)在本地測試倉庫功能
Harbor:192.168.163.100
此時可使用 Docker 命令在本地通過 127.0.0.1 來登錄和推送鏡像。默認情況下,
Register 服務器在端口 80 上偵聽。
登錄
docker login -u admin -p Harbor12345 http://127.0.0.1- 1
下載鏡像進行測試
- 1
鏡像打標簽
- 1
上傳鏡像到Harbor
docker push 127.0.0.1/testproject/nginx:v1- 1
驗證是否上傳成功
(7)在客戶端上傳鏡像
client:192.168.163.150
上述操作都是在 Harbor 服務器本地操作。如果其他客戶端上傳鏡像到 Harbor,就會報
如下錯誤。出現這問題的原因 Docker Registry 交互默認使用的是 HTTPS,但是搭建私有鏡
像默認使用的是 HTTP 服務,所以與私有鏡像交互時出現以下錯誤。
- 1
- 2
- 3
- 4
解決方法
vim /usr/lib/systemd/system/docker.service #--------------------修改內容----------------------------------- ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.163.100 --containerd=/run/containerd/containerd.sock #---------------------------------------------------------------//重啟服務 systemctl daemon-reload systemctl restart docker//再次登錄 docker login -u admin -p Harbor12345 http://192.168.163.100 #----------------------輸出內容-------------------------------------------- WARNING! Using --password via the CLI is insecure. Use --password-stdin. WARNING! Your password will be stored unencrypted in /root/.docker/config.json. Configure a credential helper to remove this warning. See https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded #-------------------------------------------------------------------- docker pull tomcatdocker imagesdocker tag tomcat 192.168.163.100/testproject/tomcat:v2docker push 192.168.163.100/testproject/tomcat:v2- 1
- 2
- 3
- 4
- 5
- 6
- 7
2、維護管理Harbor
可以使用 docker-compose 來管理 Harbor。一些有用的命令如下所示,必須在與
docker-compose.yml 相同的目錄中運行。
修改 Harbor.cfg 配置文件所需選項的步驟
要更改 Harbour 的配置文件時,請先停止現有的 Harbor 實例并更新 Harbor.cfg;然
后運行 prepare 腳本來填充配置;最后重新創建并啟動 Harbour 的實例。
(1)停止現有的 Harbor 實例
docker-compose down -v #---------------輸出內容-------------------- Stopping nginx ... done Stopping harbor-jobservice ... done Stopping harbor-ui ... done Stopping registry ... done Stopping harbor-db ... done Stopping harbor-adminserver ... done Stopping harbor-log ... done Removing nginx ... done Removing harbor-jobservice ... done Removing harbor-ui ... done Removing registry ... done Removing harbor-db ... done Removing harbor-adminserver ... done Removing harbor-log ... done Removing network harbor_harbor- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
(2)修改配置文件 Harbor.cfg
vim harbor.cfg- 1
(3)運行 prepare 腳本來填充配置
./prepare #---------------------------輸出內容---------------------------- Clearing the configuration file: ./common/config/adminserver/env Clearing the configuration file: ./common/config/ui/env Clearing the configuration file: ./common/config/ui/app.conf Clearing the configuration file: ./common/config/ui/private_key.pem Clearing the configuration file: ./common/config/db/env Clearing the configuration file: ./common/config/jobservice/env Clearing the configuration file: ./common/config/jobservice/app.conf Clearing the configuration file: ./common/config/registry/config.yml Clearing the configuration file: ./common/config/registry/root.crt Clearing the configuration file: ./common/config/nginx/nginx.conf loaded secret from file: /data/secretkey Generated configuration file: ./common/config/nginx/nginx.conf Generated configuration file: ./common/config/adminserver/env Generated configuration file: ./common/config/ui/env Generated configuration file: ./common/config/registry/config.yml Generated configuration file: ./common/config/db/env Generated configuration file: ./common/config/jobservice/env Generated configuration file: ./common/config/jobservice/app.conf Generated configuration file: ./common/config/ui/app.conf Generated certificate, key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt The configuration files are ready, please use docker-compose to start the service.- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
(4)重啟服務
docker-compose up -d #-----------輸出內容----------------------------------- Creating network "harbor_harbor" with the default driver Creating harbor-log ... done Creating registry ... done Creating harbor-adminserver ... done Creating harbor-db ... done Creating harbor-ui ... done Creating harbor-jobservice ... done Creating nginx ... done- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
如果啟動時報錯(此報錯比較少見,畢竟防火墻已開始就關閉了)
docker-compose up -dCreating network "harbor_harbor" with the default driver ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t nat -I DOCKER -i br-25094fc09b3c -j RETURN: iptables: No chain/target/match by that name.(exit status 1))解決方法:關閉防火墻后,docker需要重啟
systemctl stop firewalld systemctl restart docker docker-compose up -d- 1
- 2
- 3
3、創建 Harbor 用戶
創建項目開發人員
在客戶端上操作
刪除之前打標簽的鏡像
- 1
- 2
- 3
- 4
測試創建的新用戶能否使用
3、移除 Harbor 服務容器以及全部數據
移除 Harbor 服務容器同時保留鏡像數據/數據庫
//在Harbor服務器上操作
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
如需重新部署,需要移除 Harbor 服務容器全部數據
持久數據,如鏡像,數據庫等在宿主機的/data/目錄下,日志在宿主機的
/var/log/Harbor/目錄下。
- 1
- 2
總結
以上是生活随笔為你收集整理的使用Harbor构建docker私有仓库的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 焊接DDR3内存:三步轻松掌握,让你的电
- 下一篇: Docker通过Cgroup 资源配置