docker学习

 

 

12、Docker容器的数据管理

Docker容器的数据卷

什么是数据卷？

数据卷是经过特殊设计的目录，可以绕过联合文件系统（UFS），为一个或者多个容器提供访问，数据卷设计的目的，在于数据的永久存储，它完全独立于容器的生存周期，因此，docker不会在容器删除时删除其挂载的数据卷，也不会存在类似的垃圾收集机制，对容器引用的数据卷进行处理，同一个数据卷可以只支持多个容器的访问。

 

数据卷的特点：

1.数据卷在容器启动时初始化，如果容器使用的镜像在挂载点包含了数据，这些数据会被拷贝到新初始化的数据卷中

2.数据卷可以在容器之间共享和重用

3.可以对数据卷里的内容直接进行修改

4.数据卷的变化不会影像镜像的更新

5.卷会一直存在，即使挂载数据卷的容器已经被删除

 

数据卷的使用：

1.为容器添加数据卷

docker run -v /datavolume:/data -it centos /bin/bash

 

如：

docker run --name volume -v ~/datavolume:/data -itd centos  /bin/bash

 

注：~/datavolume为宿主机目录，/data为docker启动的volume容器的里的目录

这样在宿主机的/datavolume目录下创建的数据就会同步到容器的/data目录下

 

（1）为数据卷添加访问权限

docker run --name volume1 -v ~/datavolume1:/data:ro -itd centos  /bin/bash

 

添加只读权限之后在docker容器的/data目录下就不能在创建文件了，为只读权限；在宿主机下的/datavolume1下可以创建东西

 

2.使用dockerfile构建包含数据卷的镜像

dockerfile指令：

 

volume[“/data”]

 

cat  dockerfile

FROM centos

VOLUME ["/datavolume3","/datavolume6"]

CMD /bin/bash

 

使用如下构建镜像

docker build -t="volume" .

 

启动容器

docker run --name volume-dubble -it volume

 

会看到这个容器下有两个目录，/datavolume3和/datavolume6

 

13、Docker的数据卷容器

什么是数据卷容器：

命名的容器挂载数据卷，其他容器通过挂载这个容器实现数据共享，挂载数据卷的容器，就叫做数据卷容器

挂载数据卷容器的方法

docker run --volumes-from [container name]

例：

docker run --name data-volume -itd volume（volume这个镜像是上面创建的带两个数据卷/datavolume3和/ddatavolume6的镜像）

 

docker exec -it data-volume /bin/bash（进入到容器中）

 

touch /datavolume6/lucky.txt

退出容器exit

 

创建一个新容器挂载刚才data-volume这个容器创建的数据卷

docker run --name data-volume2 --volumes-from  data-volume -itd centos /bin/bash

 

进入到新创建的容器

docker exec -it data-volume2 /bin/bash

 

查看容器的/datavolume6目录下是否新创建了lucky.txt文件

cd /datavolume6

可以看见有刚才在上一个容器创建的文件lucky.txt

 

14、docker数据卷的备份和还原

数据备份方法：

docker run  --volumes-from [container name] -v $(pwd):/backup centos tar czvf /backup/backup.tar [container data volume]

 

例子：

docker run --volumes-from data-volume2  -v  /root/backup:/backup --name datavolume-copy centos tar zcvf /backup/data-volume2.tar.gz /datavolume6

 

数据还原方法：

docker run --volumes-from [container name] -v $(pwd):/backup centos tar xzvf /backup/backup.tar.gz [container data volume]

 

例：

docker exec -it data-volume2 /bin/bash

cd /datavolume6

rm -rf lucky.txt

 

docker run --volumes-from data-volume2 -v /root/backup/:/backup centos tar zxvf /backup/data-volume2.tar.gz -C /datavolume6

 

docker exec -it data-volum2 /bin/bash

cd /datavolum6

可以看到还原后的数据

 

 

15、docker容器互联

 

docker run创建Docker容器时，可以用--net选项指定容器的网络模式，Docker有以下4种网络模式：

Ø bridge模式：使--net =bridge指定，默认设置；

Ø host模式：使--net =host指定；

Ø none模式：使--net =none指定；

Ø container模式：使用--net =container:NAME orID指定。

 

15.1 docker 容器的网络基础

1、docker0：

安装docker的时候，会生成一个docker0的虚拟网桥

 

2、Linux虚拟网桥的特点：

可以设置ip地址

相当于拥有一个隐藏的虚拟网卡

 

docker0: mtu 1500 qdisc noqueue state UP group default

    link/ether 02:42:28:ae:c0:42 brd ff:ff:ff:ff:ff:ff

    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0

       valid_lft forever preferred_lft forever

inet6 fe80::42:28ff:feae:c042/64 scope link

 

每运行一个docker容器都会生成一个veth设备对，这个veth一个接口在容器里，一个接口在物理机上。

 

 

3、安装网桥管理工具：

yum install bridge-utils -y

 

brctl show 可以查看到有一个docker0的网桥设备，下面有很多接口，每个接口都表示一个启动的docker容器，因为我在docker上启动了很多容器，所以interfaces较多，如下所示：

 

 

 

 

15.2 docker 容器的互联

下面用到的镜像的dockerfile文件如下：

cd dockerfile/inter-image

vim dockerfile

FROM centos

RUN rm -rf /etc/yum.repos.d/*

COPY Centos-vault-8.5.2111.repo /etc/yum.repos.d/

RUN yum install wget -y

RUN yum install nginx -y

RUN sed -i "7s/^/#/g" /etc/nginx/conf.d/default.conf

EXPOSE 80

CMD /bin/bash

 

 

[root@xianchaomaster1]# docker build -t="inter-image" .

 

允许所有容器间互联（也就是访问）

第一种方法：

例：

（1）基于上面的inter-image镜像启动第一个容器test1

docker run --name test1 -itd inter-image

进入到容器里面启动nginx：

/usr/sbin/ngnx

 

（2）基于上面的inter-image镜像启动第二个容器test2

docker run --name test2 -itd inter-image

 

 

（3）进入到test1容器和test2容器，可以看两个容器的ip，分别是

172.17.0.20和172.17.0.21

 

docker exec -it test2 /bin/bash

ping 172.17.0.20 可以看见能ping同test1容器的ip

 

curl http://172.17.0.20    

可以访问到test1容器的内容

 

上述方法假如test1容器重启，那么在启动就会重新分配ip地址，所以为了使ip地址变了也可以访问可以采用下面的方法

 

15.2.1 docker link设置网络别名

第二种方法：

可以给容器起一个代号，这样可以直接以代号访问，避免了容器重启ip变化带来的问题

--link

docker run --link=[CONTAINER_NAME]:[ALIAS] [IMAGE][COMMAND]

例：

1.启动一个test3容器

docker run --name test3 -itd inter-image /bin/bash

 

 

2.启动一个test5容器，--link做链接，那么当我们重新启动test3容器时，就算ip变了，也没关系，我们可以在test5上ping别名webtest

docker run --name test5 -itd --link=test3:webtest inter-image /bin/bash

 

3.test3和test5的ip分别是172.17.0.22和172.17.0.24

 

4.重启test3容器

docker restart test3

发现ip变成了172.17.0.25

 

5.进入到test5容器 

docker exec -it test5 /bin/bash

 

ping test3容器的ip别名webtest可以ping通，尽管test3容器的ip变了也可以通

 

16、docker容器的网络模式

docker run创建docker容器时，可以用--net选项指定容器的网络模式，Docker有以下4种网络模式：

Ø bridge模式：使--net =bridge指定，默认设置；

Ø host模式：使--net =host指定；

Ø none模式：使--net =none指定；

Ø container模式：使用--net =container:NAME orID指定。

 

16.1 none模式

Docker网络none模式是指创建的容器没有网络地址，只有lo网卡

 

[root@xianchaomaster1 ~]# docker run -itd  --name none --net=none --privileged=true centos  

[root@xianchaomaster1 ~]# docker exec -it none /bin/bash

 

[root@05dbf3f2daaf /]# ip addr

#只有本地lo地址

 

1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

 

16.2 container模式

Docker网络container模式是指，创建新容器的时候，通过--net container参数，指定其和已经存在的某个容器共享一个 Network Namespace。如下图所示，右方黄色新创建的container，其网卡共享左边容器。因此就不会拥有自己独立的 IP，而是共享左边容器的 IP 172.17.0.2,端口范围等网络资源，两个容器的进程通过 lo 网卡设备通信。

 

 

 

 

#和已经存在的none容器共享网络

[root@xianchaomaster1 ~]# docker run --name container2 --net=container:none  -it --privileged=true centos

 

[root@05dbf3f2daaf /]# ip addr

1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

 

16.3 bridge模式

 

默认选择bridge的情况下，容器启动后会通过DHCP获取一个地址

 

#创建桥接网络

[root@xianchaomaster1~]# docker run --name bridge -it  --privileged=true centos  bash

 

[root@a131580fb605 /]# ip addr

1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

64: eth0@if65: mtu 1500 qdisc noqueue state UP group default

    link/ether 02:42:ac:11:00:0d brd ff:ff:ff:ff:ff:ff link-netnsid 0

    inet 172.17.0.13/16 brd 172.17.255.255 scope global eth0

       valid_lft forever preferred_lft forever

 

16.4 host模式

Docker网络host模式是指共享宿主机的网络

 

#共享宿主机网络

[root@xianchaomaster1~]# docker run --name host -it --net=host --privileged=true centos  bash

 

 

 

 

17、docker资源配额

17.1 docker容器控制cpu

Docker通过cgroup来控制容器使用的资源限制，可以对docker限制的资源包括CPU、内存、磁盘

17.1.1  指定docker容器可以使用的cpu份额

#查看配置份额的帮助命令：

[root@xianchaomaster1 ~]# docker run --help | grep cpu-shares

cpu配额参数：-c, --cpu-shares int  

 

CPU shares (relative weight) 在创建容器时指定容器所使用的CPU份额值。cpu-shares的值不能保证可以获得1个vcpu或者多少GHz的CPU资源，仅仅只是一个弹性的加权值。

 

默认每个docker容器的cpu份额值都是1024。在同一个CPU核心上，同时运行多个容器时，容器的cpu加权的效果才能体现出来。

 

例： 两个容器A、B的cpu份额分别为1000和500，结果会怎么样？

情况1：A和B正常运行，占用同一个CPU，在cpu进行时间片分配的时候，容器A比容器B多一倍的机会获得CPU的时间片。

 

情况2：分配的结果取决于当时其他容器的运行状态。比如容器A的进程一直是空闲的，那么容器B是可以获取比容器A更多的CPU时间片的； 比如主机上只运行了一个容器，即使它的cpu份额只有50，它也可以独占整个主机的cpu资源。

 

cgroups只在多个容器同时争抢同一个cpu资源时，cpu配额才会生效。因此，无法单纯根据某个容器的cpu份额来确定有多少cpu资源分配给它，资源分配结果取决于同时运行的其他容器的cpu分配和容器中进程运行情况。

 

 

例1：给容器实例分配512权重的cpu使用份额

参数：  --cpu-shares 512

[root@xianchaomaster1 ~]# docker run -it --cpu-shares 512 centos  /bin/bash

[root@df176dd75bd4 /]# cat /sys/fs/cgroup/cpu/cpu.shares  #查看结果：

512

 

注：稍后，我们启动多个容器，测试一下是不是只能使用512份额的cpu资源。单独一个容器，看不出来使用的cpu的比例。 因没有docker实例同此docker实例竞争。

 

总结：

通过-c设置的 cpu share 并不是 CPU 资源的绝对数量，而是一个相对的权重值。某个容器最终能分配到的 CPU 资源取决于它的 cpu share 占所有容器 cpu share 总和的比例。通过 cpu share 可以设置容器使用 CPU 的优先级。

 

比如在 host 中启动了两个容器：

docker run --name "container_A" -c 1024 ubuntu

docker run --name "container_B" -c 512 ubuntu

 

container_A 的 cpu share 1024，是 container_B 的两倍。当两个容器都需要 CPU 资源时，container_A 可以得到的 CPU 是 container_B 的两倍。

 

需要注意的是，这种按权重分配 CPU只会发生在 CPU资源紧张的情况下。如果 container_A 处于空闲状态，为了充分利用 CPU资源，container_B 也可以分配到全部可用的 CPU。

 

17.1.2  CPU core核心控制

参数：--cpuset可以绑定CPU

对多核CPU的服务器，docker还可以控制容器运行限定使用哪些cpu内核和内存节点，即使用--cpuset-cpus和--cpuset-mems参数。对具有NUMA拓扑（具有多CPU、多内存节点）的服务器尤其有用，可以对需要高性能计算的容器进行性能最优的配置。如果服务器只有一个内存节点，则--cpuset-mems的配置基本上不会有明显效果。

 

扩展：

服务器架构一般分： SMP、NUMA、MPP体系结构介绍

从系统架构来看，目前的商用服务器大体可以分为三类：

1. 即对称多处理器结构(SMP ： Symmetric Multi-Processor) 例： x86 服务器，双路服务器。主板上有两个物理cpu

2. 非一致存储访问结构 (NUMA ： Non-Uniform Memory Access) 例：  IBM 小型机 pSeries 690

3. 海量并行处理结构 (MPP ： Massive ParallelProcessing) 。  例： 大型机  Z14

 

17.1.3  CPU配额控制参数的混合使用

在上面这些参数中，cpu-shares控制只发生在容器竞争同一个cpu的时间片时有效。

如果通过cpuset-cpus指定容器A使用cpu 0，容器B只是用cpu1，在主机上只有这两个容器使用对应内核的情况，它们各自占用全部的内核资源，cpu-shares没有明显效果。

 

如何才能有效果？

 

容器A和容器B配置上cpuset-cpus值并都绑定到同一个cpu上，然后同时抢占cpu资源，就可以看出效果了。

 

例1：测试cpu-shares和cpuset-cpus混合使用运行效果，就需要一个压缩力测试工具stress来让容器实例把cpu跑满。

 

 

如何把cpu跑满？

如何把4核心的cpu中第一和第三核心跑满？可以运行stress，然后使用taskset绑定一下cpu。

  

先扩展：stress命令

概述：linux系统压力测试软件Stress 。

 

 

[root@xianchaomaster1 ~]# yum install -y epel-release

[root@xianchaomaster1 ~]# yum install stress -y

 

stress参数解释

-?        显示帮助信息

-v        显示版本号

-q       不显示运行信息

-n       显示已完成的指令情况

-t        --timeout  N  指定运行N秒后停止        

           --backoff   N   等待N微妙后开始运行

-c       产生n个进程 ：每个进程都反复不停的计算随机数的平方根，测试cpu

-i        产生n个进程 ：每个进程反复调用sync()，sync()用于将内存上的内容写到硬盘上，测试磁盘io

-m     --vm n 产生n个进程,每个进程不断调用内存分配malloc（）和内存释放free（）函数 ，测试内存

          --vm-bytes B  指定malloc时内存的字节数 （默认256MB）

         --vm-hang N   指定在free栈的秒数   

-d    --hadd n  产生n个执行write和unlink函数的进程

         -hadd-bytes B  指定写的字节数

         --hadd-noclean  不unlink        

注：时间单位可以为秒s，分m，小时h，天d，年y，文件大小单位可以为K，M，G

 

例1：产生2个cpu进程，2个io进程，20秒后停止运行

[root@xianchaomaster1]# stress -c 2 -i 2 --verbose --timeout 20s  

#如果执行时间为分钟，改20s 为1m

 

查看：

top

 

 

 

例1：测试cpuset-cpus和cpu-shares混合使用运行效果，就需要一个压缩力测试工具stress来让容器实例把cpu跑满。 当跑满后，会不会去其他cpu上运行。 如果没有在其他cpu上运行，说明cgroup资源限制成功。

实例3：创建两个容器实例:docker10 和docker20。 让docker10和docker20只运行在cpu0和cpu1上，最终测试一下docker10和docker20使用cpu的百分比。实验拓扑图如下：

 

 

 

运行两个容器实例 

[root@xianchaomaster1 ~]# docker run -itd --name docker10 --cpuset-cpus 0,1 --cpu-shares 512 centos  /bin/bash

#指定docker10只能在cpu0和cpu1上运行，而且docker10的使用cpu的份额512

#参数-itd就是又能打开一个伪终端，又可以在后台运行着docker实例

[root@xianchaomaster1 ~]# docker run -itd --name docker20 --cpuset-cpus 0,1 --cpu-shares 1024 centos  /bin/bash

#指定docker20只能在cpu0和cpu1上运行，而且docker20的使用cpu的份额1024，比dcker10多一倍

 

测试1： 进入docker10，使用stress测试进程是不是只在cpu0,1上运行：

[root@xianchaomaster1 ~]# docker exec -it  docker10  /bin/bash

[root@d1a431815090 /]#  yum install -y epel-release  #安装epel扩展源

[root@d1a431815090 /]# yum install stress -y    #安装stress命令

[root@d1a431815090 /]#  stress -c 2 -v   -t  10m  #运行2个进程，把两个cpu占满

在物理机另外一个虚拟终端上运行top命令，按1快捷键，查看每个cpu使用情况：

 

可看到正常。只在cpu0,1上运行

 

测试2： 然后进入docker20，使用stress测试进程是不是只在cpu0,1上运行，且docker20上运行的stress使用cpu百分比是docker10的2倍

[root@xianchaomaster1 ~]# docker exec -it  docker20  /bin/bash

[root@d1a431815090 /]#  yum install -y epel-release  #安装epel扩展源

[root@d1a431815090 /]# yum install stress -y  

[root@f24e75bca5c0 /]# stress  -c 2 -v -t 10m

 

在另外一个虚拟终端上运行top命令，按1快捷键，查看每个cpu使用情况：

 

 

注：两个容器只在cpu0,1上运行，说明cpu绑定限制成功。而docker20是docker10使用cpu的2倍。说明--cpu-shares限制资源成功。

 

 

17.2  docker容器控制内存

Docker提供参数-m, --memory=""限制容器的内存使用量。

例1：允许容器使用的内存上限为128M：

[root@xianchaomaster1 ~]# docker run -it  -m 128m centos

查看：

[root@40bf29765691 /]# cat /sys/fs/cgroup/memory/memory.limit_in_bytes

134217728

注：也可以使用tress进行测试，到现在，我可以限制docker实例使用cpu的核心数和权重，可以限制内存大小。

 

例2：创建一个docker，只使用2个cpu核心，只能使用128M内存

[root@xianchaomaster1 ~]# docker run -it --cpuset-cpus 0,1 -m 128m centos

 

17.3  docker容器控制IO

[root@xianchaomaster1 ~]# docker run --help | grep write-b

      --device-write-bps value      Limit write rate (bytes per second) to a device (default [])  

#限制此设备上的写速度（bytes per second），单位可以是kb、mb或者gb。

--device-read-bps value   #限制此设备上的读速度（bytes per second），单位可以是kb、mb或者gb。

 

情景：防止某个 Docker 容器吃光你的磁盘 I / O 资源

 

例1：限制容器实例对硬盘的最高写入速度设定为 2MB/s。

--device参数：将主机设备添加到容器

[root@xianchaomaster1 ~]# mkdir -p /var/www/html/

[root@xianchaomaster1 ~]#  docker run -it  -v /var/www/html/:/var/www/html --device /dev/sda:/dev/sda --device-write-bps /dev/sda:2mb centos  /bin/bash

 

[root@bd79042dbdc9 /]# time dd if=/dev/sda of=/var/www/html/test.out bs=2M count=50 oflag=direct,nonblock

 

注：dd 参数：

direct：读写数据采用直接IO方式，不走缓存。直接从内存写硬盘上。

nonblock：读写数据采用非阻塞IO方式，优先写dd命令的数据

50+0 records in

50+0 records out

52428800 bytes (52 MB) copied, 50.1831 s, 2.0 MB/s

 

real 0m50.201s

user 0m0.001s

sys 0m0.303s

注： 发现1秒写2M。 限制成功。

 

18、docker容器运行结束自动释放资源

[root@xianchaomaster1 ~]# docker run --help | grep rm

      --rm 参数：                 Automatically remove the container when it exits

作用：当容器命令运行结束后，自动删除容器，自动释放资源  

 

例：

[root@xianchaomaster1 ~]# docker run -it --rm --name xianchao centos  sleep 6

物理上查看：

[root@xianchaomaster1 ~]# docker ps -a | grep xianchao

6c75a9317a6b        centos              "sleep 6"           6 seconds ago       Up 4 seconds                            mk

等5s后，再查看：

[root@xianchaomaster1 ~]# docker ps | grep xianchao #自动删除了

 

18、docker私有镜像仓库harbor

 

Harbor介绍

Docker容器应用的开发和运行离不开可靠的镜像管理，虽然Docker官方也提供了公共的镜像仓库，但是从安全和效率等方面考虑，部署我们私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目，它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。

官网地址：https://github.com/goharbor/harbor

 

 

实验环境： 

安装harbor的机器，主机名设置成harbor

 

机器需要的内存至少要2G，我分配的是4G 

 

机器ip：192.168.40.181

4vCPU/4G内存/100G硬盘

18.1 为Harbor自签发证书

[root@192 ~]# hostnamectl set-hostname harbor && bash

[root@harbor ~]# mkdir /data/ssl -p

[root@harbor ~]# cd /data/ssl/

 

生成ca证书：

openssl genrsa -out ca.key 3072

#生成一个3072位的key，也就是私钥

openssl req -new -x509 -days 3650 -key ca.key -out ca.pem

#生成一个数字证书ca.pem，3650表示证书的有效时间是3年，按箭头提示填写即可，没有箭头标注的为空：

 

 

 

 

生成域名的证书：

openssl genrsa -out harbor.key  3072

#生成一个3072位的key，也就是私钥

openssl req -new -key harbor.key -out harbor.csr

#生成一个证书请求，一会签发证书时需要的，标箭头的按提示填写，没有箭头标注的为空：

 

 

 

签发证书：

openssl x509 -req -in harbor.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out harbor.pem -days 3650

显示如下，说明证书签发好了：

 

 

18.2 安装Harbor

18.2.1 安装Docker

 

关闭防火墙

[root@ harbor~]# systemctl stop firewalld && systemctl disable firewalld

 

关闭iptables防火墙

[root@ harbor~]# yum install iptables-services -y  #安装iptables

禁用iptables

root@ harbor~]# service iptables stop   && systemctl disable iptables

清空防火墙规则

[root@ harbor~]# iptables -F 

 

关闭selinux

[root@ harbor~]# setenforce 0

[root@harbor~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

注意：修改selinux配置文件之后，重启机器，selinux才能永久生效

 

#配置时间同步

[root@harbor~]# yum install -y ntp ntpdate

[root@xianchaomaster1 ~]# ntpdate cn.pool.ntp.org 

#编写计划任务

[root@harbor~]# crontab -e 

* */1 * * * /usr/sbin/ntpdate   cn.pool.ntp.org

重启crond服务使配置生效：

[root@xianchaomaster1 ~]# systemctl restart crond

    

 配置hosts文件

[root@xianchaomaster1 ~]# cat /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.40.180 xianchaomaster1

192.168.40.181 harbor

 

[root@harbor harbor]# cat /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.40.180 xianchaomaster1

192.168.40.181 harbor

 

安装基础软件包

[root@ harbor~]# yum install -y  wget net-tools nfs-utils lrzsz gcc gcc-c++ make cmake libxml2-devel openssl-devel curl curl-devel unzip sudo ntp libaio-devel wget vim ncurses-devel autoconf automake zlib-devel  python-devel epel-release openssh-server socat  ipvsadm conntrack

 

#安装docker-ce

配置docker-ce国内yum源（阿里云）

[root@ harbor~]# yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

 

安装docker依赖包

[root@ harbor~]# yum install -y yum-utils device-mapper-persistent-data lvm2

 

安装docker-ce

[root@ harbor~]# yum install docker-ce -y

 

 

#启动docker服务

[root@ harbor~]# systemctl start docker && systemctl enable docker

[root@ harbor~]# systemctl status docker

● docker.service - Docker Application Container Engine

   Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled)

   Active: active (running) since Thu 2021-07-01 21:29:18 CST; 30s ago

     Docs: https://docs.docker.com

 

看到running，表示docker正常运行

 

#查看Docker 版本信息

[root@ harbor~]# docker version    

 

18.2.2 开启包转发功能和修改内核参数

内核参数修改：br_netfilter模块用于将桥接流量转发至iptables链，br_netfilter内核参数需要开启转发。

[root@ harbor~]# modprobe br_netfilter

[root@ harbor~]# cat > /etc/sysctl.d/docker.conf <

net.bridge.bridge-nf-call-ip6tables = 1

net.bridge.bridge-nf-call-iptables = 1

net.ipv4.ip_forward = 1

EOF

    [root@harbor ~]# sysctl -p /etc/sysctl.d/docker.conf

 

注：

Docker 安装后出现：WARNING: bridge-nf-call-iptables is disabled 的解决办法：

net.bridge.bridge-nf-call-ip6tables = 1

net.bridge.bridge-nf-call-iptables = 1

 

net.ipv4.ip_forward = 1：

将Linux系统作为路由或者VPN服务就必须要开启IP转发功能。当linux主机有多个网卡时一个网卡收到的信息是否能够传递给其他的网卡 如果设置成1 的话 可以进行数据包转发，可以实现VxLAN 等功能。不开启会导致docker部署应用无法访问。

 

#重启docker

[root@xianchaomaster1 ~]# systemctl restart docker  

 

[root@xianchaomaster1 ~]# scp /etc/docker/daemon.json 192.168.40.181:/etc/docker/

[root@harbor ~]# systemctl daemon-reload

[root@harbor ~]# systemctl restart docker

 

18.2.4 安装harbor

创建安装目录

[root@harbor ssl]# mkdir /data/install -p

[root@harbor ssl]# cd /data/install/

安装harbor

/data/ssl目录下有如下文件：

ca.key  ca.pem  ca.srl  harbor.csr  harbor.key  harbor.pem

 

[root@harbor install]# cd /data/install/

#把harbor的离线包harbor-offline-installer-v2.3.0-rc3.tgz上传到这个目录，离线包在课件里提供了

 

下载harbor离线包的地址：

https://github.com/goharbor/harbor/releases/tag/

 

解压：

[root@harbor install]# tar zxvf harbor-offline-installer-v2.3.0-rc3.tgz

[root@harbor install]# cd harbor

[root@harbor harbor]# cp harbor.yml.tmpl harbor.yml 

[root@harbor harbor]# vim harbor.yml

 

修改配置文件：

hostname:  harbor  

#修改hostname，跟上面签发的证书域名保持一致

#协议用https

certificate: /data/ssl/harbor.pem

private_key: /data/ssl/harbor.key

 

邮件和ldap不需要配置，在harbor的web界面可以配置

其他配置采用默认即可

修改之后保存退出

注：harbor默认的账号密码：admin/Harbor12345

 

安装docker-compose

上传课件里的docker-compose-Linux-x86_64文件到harbor机器

 

[root@harbor harbor]# mv docker-compose-Linux-x86_64.64 /usr/bin/docker-compose

[root@harbor harbor]# chmod +x /usr/bin/docker-compose

 

注： docker-compose项目是Docker官方的开源项目，负责实现对Docker容器集群的快速编排。Docker-Compose的工程配置文件默认为docker-compose.yml，Docker-Compose运行目录下的必要有一个docker-compose.yml。docker-compose可以管理多个docker实例。

 

 

安装harbor需要的离线镜像包docker-harbor-2-3-0.tar.gz在课件，可上传到harbor机器，通过docker load -i解压

[root@harbor install]#  docker load -i docker-harbor-2-3-0.tar.gz

[root@harbor install]# cd /data/install/harbor

[root@harbor harbor]# ./install.sh

 

看到下面内容，说明安装成功：

[Step 5]: starting Harbor ...

Creating network "harbor_harbor" with the default driver

Creating harbor-log ... done

Creating registryctl   ... done

Creating harbor-db     ... done

Creating redis         ... done

Creating registry      ... done

Creating harbor-portal ... done

Creating harbor-core   ... done

Creating harbor-jobservice ... done

Creating nginx             ... done

✔ ----Harbor has been installed and started successfully.----

 

在自己电脑修改hosts文件

 

 

在hosts文件添加如下一行，然后保存即可

192.168.40.181  harbor

 

扩展：

如何停掉harbor：

[root@harbor harbor]# cd /data/install/harbor

[root@harbor harbor]# docker-compose stop

如何启动harbor：

[root@harbor harbor]# cd /data/install/harbor

[root@harbor harbor]# docker-compose start

 

如果docker-compose start启动harbor之后，还是访问不了，那就需要重启虚拟机

 

18.3 Harbor 图像化界面使用说明

在浏览器输入：

https://harbor

 

接收风险并继续，出现如下界面，说明访问正常

 

 

 

账号：admin

密码：Harbor12345

输入账号密码出现如下：

 

 

所有基础镜像都会放在library里面，这是一个公开的镜像仓库

 

新建项目->起个项目名字test（把访问级别公开那个选中，让项目才可以被公开使用）

 

 

 

 

18.4 测试使用harbor私有镜像仓库

#修改docker配置 

[root@xianchaomaster1 ~]# vim /etc/docker/daemon.json

 

{  "registry-mirrors": ["https://rsbud4vc.mirror.aliyuncs.com","https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"],

"insecure-registries": ["192.168.40.181","harbor"]

}

 

修改配置之后使配置生效：

[root@xianchaomaster1 ~]# systemctl daemon-reload && systemctl restart docker

#查看docker是否启动成功

[root@xianchaomaster1 ~]# systemctl status docker

#显示如下，说明启动成功：

Active: active (running) since Fri … ago

注意：

配置新增加了一行内容如下：

"insecure-registries":["192.168.40.181"],

上面增加的内容表示我们内网访问harbor的时候走的是http，192.168.40.181是安装harbor机器的ip

 

登录harbor：

[root@xianchaomaster1]# docker login 192.168.40.181

 

Username：admin 

Password:  Harbor12345

 

输入账号密码之后看到如下，说明登录成功了：

Login Succeeded

#导入tomcat镜像，tomcat.tar.gz在课件里

 

[root@xianchaomaster1 ~]# docker load -i tomcat.tar.gz

#把tomcat镜像打标签

[root@xianchaomaster1 ~]# docker tag tomcat:latest  192.168.40.181/test/tomcat:v1

执行上面命令就会把192.168.40.181/test/tomcat:v1上传到harbor里的test项目下

[root@xianchaomaster1 ~]# docker push 192.168.40.181/test/tomcat:v1

执行上面命令就会把192.168.40.181/test/tomcat:v1上传到harbor里的test项目下

 

18.5 从harbor仓库下载镜像

在xianchaomaster1机器上删除镜像

[root@xianchaomaster1 ~]# docker rmi -f 192.168.40.181/test/tomcat:v1

拉取镜像

[root@xianchaomaster1 ~]#docker pull 192.168.40.181/test/tomcat:v1