Docker Private Registry
Docker Private Registry
Docker Registry
网上有很多的Registry服务器都支持第三方用户注册,而后基于用户名去做自己的仓库,但是使用互联网上的Registry有一个缺陷,那就是我们去推送和下载镜像时都不会很快,而在生产环境中很可能并行启动的容器将达到几十、上百个,而且很有可能每个服务器本地是没有镜像的,此时如果通过互联网去下载镜像会有很多问题,比如下载速度会很慢、带宽会用很多等等,如果带宽不够的话,下载至启动这个过程可能要持续个几十分钟,这已然违背了使用容器会更加轻量、快速的初衷和目的。因此,很多时候我们很有可能需要去做自己的私有Registry。
Registry用于保存docker镜像,包括镜像的层次结构和元数据。用户可以自建Registry,也可以使用官方的Docker Hub。
Docker Registry分类:
- Sponsor Registry:第三方的Registry,供客户和Docker社区使用
- Mirror Registry:第三方的Registry,只让客户使用
- Vendor Registry:由发布docker镜像的供应商提供的registry
- Private Registry:通过设有防火墙和额外的安全层的私有实体提供的registry
事实上,如果运维的系统环境托管在云计算服务上,比如阿里云,那么用阿里云的Registry则是最好的选择。很多时候我们的生产环境不会在本地,而是托管在数据中心机房里,如果我们在数据中心机房里的某台主机上部署Registry,因为都在同一机房,所以属于同一局域网,此时数据传输走内网,效率会极大的提升。
所有的Registry默认情况下都是基于https工作的,这是Docker的基本要求,而我自建Registry时很可能是基于http工作的,但是Docker默认是拒绝使用http提供Registry服务的,除非明确的告诉它,我们就是要用http协议的Registry。
Docker Private Registry
为了帮助我们快速创建私有Registry,Docker专门提供了一个名为Docker Distribution的软件包,我们可以通过安装这个软件包快速构建私有仓库。
问:既然Docker是为了运行程序的,Docker Distribution能否运行在容器中?
容器时代,任何程序都应该运行在容器中,除了Kernel和init。而为了能够做Docker Private Registry,Docker Hub官方直接把Registry做成了镜像,我们可以直接将其pull到本地并启动为容器即可快速实现私有Registry。
Registry的主要作用是托管镜像,Registry运行在容器中,而容器自己的文件系统是随着容器的生命周期终止和删除而被删除的,所以当我们把Registry运行在容器中时,客户端上传了很多镜像,随着Registry容器的终止并删除,所有镜像都将化为乌有,因此这些镜像应该放在存储卷上,而且这个存储卷最好不要放在Docker主机本地,而应该放在一个网络共享存储上,比如NFS。不过,镜像文件自己定义的存储卷,还是一个放在Docker本地、Docker管理的卷,我们可以手动的将其改成使用其它文件系统的存储卷。
这就是使用容器来运行Registry的一种简单方式。自建Registry的另一种方式,就是直接安装docker-distribution软件。
使用docker-distribution自建Registry
在rh2上自建Registry
[root@rh2 ~]# dnf -y install http://mirror.centos.org/centos/7/extras/x86_64/Packages/docker-distribution-2.6.2-2.git48294d9.el7.x86_64.rpm #安装
[root@rh2 ~]# vim /etc/docker-distribution/registry/config.yml #编辑配置文件
version: 0.1
log:
fields:
service: registry
storage:
cache:
layerinfo: inmemory
filesystem:
rootdirectory: /var/lib/registry #根目录位置,可以自定义,这里默认不做更改
http:
addr: :5000
[root@rh2 ~]# systemctl start docker-distribution.service #启动
[root@rh2 ~]# ss -tanl #查看端口
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 *:5000 *:*
LISTEN 0 128 [::]:22 [::]:*
[root@rh2 ~]# systemctl stop firewalld.service #因为需要允许和rh1进行传输镜像,所以暂时关闭防火墙
在rh1上使用自建的Registry去上传镜像
[root@rh1 ~]# vim /etc/docker/daemon.json
{
"registry-mirrors": ["https://rpnfe8c5.mirror.aliyuncs.com"],
"insecure-registries": ["192.168.244.121:5000"] #这里的IP和端口为rh2的IP和Registry服务开放的端口
}
[root@rh1 ~]# systemctl daemon-reload #重新加载配置文件
[root@rh1 ~]# systemctl restart docker.service #重启docker服务
[root@rh1 ~]# docker images #查看当前所拥有的镜像
REPOSITORY TAG IMAGE ID CREATED SIZE
busybox latest beae173ccac6 7 months ago 1.24MB
[root@rh1 ~]# docker tag busybox:latest 192.168.244.121:5000/busybox:v1 #给需要上传的镜像打上标签
[root@rh1 ~]# docker push 192.168.244.121:5000/busybox:v1 #上传该镜像
The push refers to repository [192.168.244.121:5000/busybox]
01fd6df81c8e: Pushed
v1: digest: sha256:62ffc2ed7554e4c6d360bce40bbcf196573dd27c4ce080641a2c59867e732dee size: 527
使用官方镜像自建Registry
在rh2上使用官方镜像自建Registry
[root@rh2 ~]# systemctl stop docker-distribution.service #关掉先前的服务,让5000端口不被占用
[root@rh2 ~]# docker pull registry #拉取registry镜像
Using default tag: latest
latest: Pulling from library/registry
213ec9aee27d: Pull complete
5299e6f78605: Pull complete
4c2fb79b7ce6: Pull complete
74a97d2d84d9: Pull complete
44c4c74a95e4: Pull complete
Digest: sha256:83bb78d7b28f1ac99c68133af32c93e9a1c149bcd3cb6e683a3ee56e312f1c96
Status: Downloaded newer image for registry:latest
docker.io/library/registry:latest
[root@rh2 ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
registry latest 3a0f7b0a13ef 33 hours ago 24.1MB
[root@rh2 ~]# vim /etc/docker/daemon.json
{
"insecure-registries": ["192.168.244.120:5000"] #同样的,添加这一行配置文件
}
[root@rh2 ~]# ss -tanl #查看5000端口是否开启
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 0.0.0.0:5000 0.0.0.0:*
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 [::]:5000 [::]:*
LISTEN 0 128 [::]:22 [::]:*
在rh1上上传镜像
[root@rh1 ~]# docker tag busybox:latest 192.168.244.121:5000/abc:v1 #先打上标签
[root@rh1 ~]# docker push 192.168.244.121:5000/abc:v1 #再进行上传
The push refers to repository [192.168.244.121:5000/abc]
01fd6df81c8e: Pushed
v1: digest: sha256:62ffc2ed7554e4c6d360bce40bbcf196573dd27c4ce080641a2c59867e732dee size: 527
[root@rh1 ~]# curl http://192.168.244.121:5000/v2/_catalog #查看rh2上私有仓库镜像
{"repositories":["abc"]}
[root@rh1 ~]# curl http://192.168.244.121:5000/v2/abc/tags/list #查看该镜像版本
{"name":"abc","tags":["v1"]}
Harbor
无论是使用Docker-distribution去自建仓库,还是通过官方镜像跑容器的方式去自建仓库,通过前面的演示我们可以发现其是非常的简陋的,还不如直接使用官方的Docker Hub去管理镜像来得方便,至少官方的Docker Hub能够通过web界面来管理镜像,还能在web界面执行搜索,还能基于Dockerfile利用Webhooks和Automated Builds实现自动构建镜像的功能,用户不需要在本地执行docker build,而是把所有build上下文的文件作为一个仓库推送到github上,让Docker Hub可以从github上去pull这些文件来完成自动构建。
但无论官方的Docker Hub有多强大,它毕竟是在国外,所以速度是最大的瓶颈,我们很多时候是不可能去考虑使用官方的仓库的,但是上面说的两种自建仓库方式又十分简陋,不便管理,所以后来就出现了一个被 CNCF 组织青睐的项目,其名为Harbor。
Harbor简介
Harbor是由VMWare在Docker Registry的基础之上进行了二次封装,加进去了很多额外程序,而且提供了一个非常漂亮的web界面。
Project Harbor 是一个开源的可信云原生注册表项目,用于存储、签名和扫描上下文。
Harbor 通过添加用户通常需要的功能(如安全性、身份和管理)来扩展开源 Docker 分发版。
Harbor 支持高级功能,例如用户管理、访问控制、活动监控和实例间复制。
Harbor的功能
Feathers:
- 多用户内容签名和验证
- 安全性和漏洞分析
- 审核日志记录
- 身份集成和基于角色的访问控制
- 实例之间的镜像复制
- 可扩展的 API 和图形用户界面
- 国际化(现为英文和中文)
Docker compose
Harbor在物理机上部署是非常难的,而为了简化Harbor的应用,Harbor官方直接把Harbor做成了在容器中运行的应用,而且这个容器在Harbor中依赖类似redis、mysql、pgsql等很多存储系统,所以它需要编排很多容器协同起来工作,因此VMWare Harbor在部署和使用时,需要借助于Docker的单机编排工具(Docker compose)来实现。
Compose 是用于定义和运行多容器 Docker 应用程序的工具。使用 Compose,您可以使用 YAML 文件来配置应用程序的服务。然后,使用单个命令,从配置中创建并启动所有服务。
Harbor部署
[root@rh1 ~]# curl -SL https://github.com/docker/compose/releases/download/v2.7.0/docker-compose-linux-x86_64 -o /usr/local/bin/docker-compose #下载docker-compose到指定目录下
[root@rh1 ~]# cd /usr/local/bin/
[root@rh1 bin]# ls
docker-compose
[root@rh1 bin]# chmod +x docker-compose #没有执行权限要添加执行权限
[root@rh1 bin]# which docker-compose
/usr/local/bin/docker-compose
[root@rh1 bin]# docker-compose -v #查看版本,确认无误
Docker Compose version v2.7.0
[root@rh1 ~]# wget https://github.com/goharbor/harbor/releases/download/v2.4.3/harbor-offline-installer-v2.4.3.tgz #下载harbor包
[root@rh1 ~]# ls #查看是否下载成功
harbor-offline-installer-v2.4.3.tgz
[root@rh1 ~]# tar -xf harbor-offline-installer-v2.4.3.tgz -C /usr/local/ #解压到指定目录
[root@rh1 ~]# ls /usr/local/ #查看是否有harbor目录
bin etc games harbor include lib lib64 libexec sbin share src
[root@rh1 ~]# cd /usr/local/harbor/
[root@rh1 harbor]# ls
common.sh harbor.v2.4.3.tar.gz harbor.yml.tmpl install.sh LICENSE prepare
[root@rh1 harbor]# mv harbor.yml.tmpl harbor.yml #将模板文件重命名
[root@rh1 harbor]# vim harbor.yml #编辑配置文件
***
hostname: 192.168.244.120
***
# https related config
#https:
# https port for harbor, default is 443 #因为我们使用的是私有仓库,无需连接公网,所以注释掉https相关配置
#port: 443
# The path of cert and key files for nginx
#certificate: /your/certificate/path
#private_key: /your/private/key/path
*****
harbor_admin_password: Harbor12345 #此行为管理员admin默认密码
[root@rh1 ~]# cd /etc/docker/
[root@rh1 docker]# vim daemon.json
{
"registry-mirrors": ["https://rpnfe8c5.mirror.aliyuncs.com"],
"insecure-registries": ["192.168.244.120"] #主机及时修改回本机ip
}
[root@rh1 docker]# systemctl daemon-reload
[root@rh1 ~]# cd /usr/local/harbor/
[root@rh1 harbor]# ./install.sh #启动服务
******
[Step 5]: starting Harbor ...
[+] Running 10/10
⠿ Network harbor_harbor Created 1.0s
⠿ Container harbor-log Started 1.1s
⠿ Container harbor-portal Started 3.2s
⠿ Container redis Started 2.7s
⠿ Container registryctl Started 3.0s
⠿ Container harbor-db Started 3.2s
⠿ Container registry Started 3.2s
⠿ Container harbor-core Started 3.8s
⠿ Container nginx Started 5.1s
⠿ Container harbor-jobservice Started 5.0s
✔ ----Harbor has been installed and started successfully.----
设置开机重启
[root@rh1 ~]# cd /usr/local/harbor/
[root@rh1 harbor]# vim starthb.sh #编辑重启脚本
#! /bin/bash
cd /usr/local/harbor
/usr/local/bin/docker-compose stop
/usr/local/bin/docker-compose start
[root@rh1 harbor]# chmod +x starthb.sh #为该脚本添加执行权限
[root@rh1 harbor]# ll starthb.sh
-rwxr-xr-x. 1 root root 105 8月 11 09:44 starthb.sh
[root@rh1 harbor]# vim /etc/rc.d/rc.local #在该配置文件中插入使用的shell和脚本路径
/bin/bash /usr/local/harbor/starthb.sh
[root@rh1 ~]# cd /etc/rc.d/
[root@rh1 rc.d]# chmod +x rc.local #为改文件添加执行权限
[root@rh1 ~]# reboot #重启测试
[root@rh1 ~]# docker ps | wc -l #查看是否自动启动所有容器
10
测试:
使用admin账户登录
创建用户
使用Harbor的注意事项:
- 在客户端上传镜像时一定要记得执行docker login进行用户认证,否则无法直接push
- 在客户端使用的时候如果不是用的https则必须要在客户端的/etc/docker/daemon.json配置文件中配置insecure-registries参数
- 数据存放路径应在配置文件中配置到一个容量比较充足的共享存储中
- Harbor是使用docker-compose命令来管理的,如果需要停止Harbor也应用docker-compose stop来停止,其他参数请--help
