Docker harbor私有仓库
Docker harbor私有仓库部署与管理,搭建本地私有仓库,但是本地私有仓库的管理和使用比较麻烦,这个原生的私有仓库并不好用,所以我们采用harbor也叫私服,更加人性化。
目录
一、Harbor概述
二、Harbor的特性
三、Harbor的构成
四、Harbor部署
五、测试
六、维护管理Harbor
七、远程同步
八、总结
一、Harbor概述
1.Harbor
Harbor是VWware 公司开源的企业级Docker Registry项目,其目标是帮助用户迅速搭建一个企业级的Docker Registry服务。
Harbor以Docker 公司开源的Registry 为基础,提供了图形管理UI、基于角色的访问控制(Role Based AccessControl)、AD/LDAI们成以心宙计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。
Harbor的每个组件都是以Docker 容器的形式构建的,使用docker-compose来对它进行部署。用于部署Harbor的docker-compose模板位于harbor/docker-compose.yml
二、Harbor的特性
1.harbor的特性
1.基于角色控制: 用户和仓库都是基于项目进行组织的,而用户在项目中可以拥有不同的权限。
2.基于镜像的复制策略: 镜像可以在多个Harbor实例之间进行复制(同步)。
3.支持LDAP/AD: Harbor可以集成企业内部已有的AD/LDAP(类似数据库的一张表),用于对已经存在的用户认证和管理。
4.镜像删除和垃圾回收: 镜像可以被删除,也可以回收镜像占用的空间。
5.图形化用户界面: 用户可以通过浏览器来浏览,搜索镜像仓库以及对项目进行管理。
6.审计管理: 所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
7.支持 RESTful API: RESTful API 提供给管理员对于Harbor更多的操控,使得与其它管理软件集成变得更容易。
8.Harbor和docker registry的关系: Harbor实质上是对docker registry做了封装,扩展了自己的业务模板。
三、Harbor的构成
1.Harbor的构成
Harbor 在架构上主要有 proxy、Registry、Core services、Database(Harbor-db)、Log collector(Harbor-log)、Job services六个组件。
(1)Proxy:是一个nginx的前端代理,Harbor的Registry、UI、Token服务等组件,都处在nginx反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端不同的服务上。
(2)Registry:负责储存Docker镜像,并处理Docker push/pull命令。由于要对用户进行访问控制,即不同用户对Docker镜像有不同的读写权限,Registry会指向一个Token服务,强制用户的每次Docker pull/push 请求都要携带一个合法的Token,Registry会通过公钥对Token进行解密验证。
(3)Core services:Harbor的核心功能,主要提供以下3个服务:
1.UI(harbor-ui):提供图形化界面,帮助用户管理Registry 上的镜像(image),并对用户进行授权。 2.WebHook:为了及时获取Registry 上image 状态变化的情况,在Registry 上配置 Webhook,把状态变化传递给 UI模块。 3.Token 服务:负责根据用户权限给每个Docker push/pull 命令签发Token。Docker 客户端向Reqistry服务发起的请求,如果不包含Docke Token,会被重定向到Token服务,获得Token后再重新向Registry进行请求。
(4)Database(harbor-db):为core services提供数据库服务,负责储存用户权限、审计日志、Docker镜像分组信息等数据。docker数据存储在文件系统,但是分组信息存储在数据库
(5)Job services:主要用于镜像复制,本地镜像可以被同步到远程Harbor实例上。
(6)Log collector(harbor-1og):负责收集其他组件的日志到一个地方。
2. Harbor的核心组件
①Proxy
通过一个前置的反向代理统一接收浏览器、Docker 客户端的请
求,并将请求转发给后端不同的服务
这是一个反向代理组件
②Registry
负责储存 Docker 镜像
处理 docker push/pull 命令来上传和下载
③Core services
Harbor 的核心功能,包括UI、webhook、 token 服务
webhook:网站的一些服务功能
token:令牌,提供身份验证服务
④Database
为 core services 提供数据库服务
数据库记录镜像的元信息及用户的身份信息
⑤Log collector
负责收集其他组件的日志,以供然后进行分析
健康检查等
3.docker Harbor私有仓库操作的过程
1.所有的请求或认为的操作都会首先交给proxy(反向代理)
2.proxy会先将请求转发给后端Core services,Core services 中包含 3.UI、token(身份验证服务)、webhook(网站的一些服务功能)
4.转发给registry(镜像存储),若需要下载镜像等权限操作,需要通过Core services中的token令牌的身份验证服务才行
5.每一次下载和上传都产生操作记录,生成日志,保存至database中
6.database记录保存镜像的元信息及用户与组的身份信息,通过验证授权才能允许相关操作
四、Harbor部署
前提准备:关闭防火墙,安装好docker
部署Docker Compose
#上传下载好的docker-compose文件 docker-compose mv docker-compose /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose #或者从github下载 curl -L https://github.com/docker/compose/releases/download/v2.0.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
下载Harbor软件包
#软件包下载地址 https://github.com/goharbor/harbor/releases/download/ #上传软件包到/opt/目录 ls harbor-offline-installer-v1.2.2.tgz #解压到/usr/local/目录 tar vxf harbor-offline-installer-v1.2.2.tgz -C /usr/local/
修改harbor安装的配置文件
vim /usr/local/harbor/harbor.cfg #第5行,修改,设置Harbor的IP地址或者域名。如果设置为域名,则需要做域名映射 5// hostname = 192.168.140.111 #59行,指定管理员的初始密码的,默认的用户名/密码是 admin/Harbor12345 59// harbor_admin_password = Harbor12345 #在配置好了 harbor.cfg 之后,执行 ./prepare 命令,为 harbor 启动的容器生成一些必要的文件(环境) cd /usr/local/harbor/ ./prepare
启动 Harbor
./install.sh #以 pull (获取)镜像并启动容器
查看 Harbor 启动镜像
docker-compose ps
镜像控制
docker-compose up -d #后台启动 docker-compose stop #停止 docker-compose restart #重新启动
创建一个新项目
(1)浏览器访问:http://192.168.140.111 登录 Harbor WEB UI 界面,默认的管理员用户名和密码是 admin/Harbor12345 (2)输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮 (3)填写项目名称为“myproject-hjp”,点击“确定”按钮,创建新项目 (4)此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下,Registry 服务器在端口 80 上监听。
命令行登录 Harbor 【两种登录方式】
1.docker login http://127.0.0.1 2.docker login -u admin -p Harbor12345 http://127.0.0.1
1.输入用户和密码登录仓库
2.免交互直接登录仓库
五、测试
1.下载镜像进行推送测试
将镜像打标签
#格式:docker tag 镜像:标签 仓库IP/项目名称/镜像名:标签 docker tag nginx:latest 127.0.0.1/myproject-hjp/nginx:v1
上传镜像到 Harbor
docker push 127.0.0.1/myproject-hjp/nginx:v1 #在 Harbor 界面 myproject-zzh 目录下可看见此镜像及相关信息
2.其他客户端上传镜像
以上操作都是在Harbor服务器本地操作。如果其他客户端登录到 Harbor,就会报如下错误。出现这问题的原因为Docker Registry 交互默认使用的是 HTTPS,但是搭建私有镜像默认使用的是 HTTP 服务,所以与私有镜像交互时出现以下错误。
在 Docker 客户端配置操作【192.168.140.111】
重启 Docker,再次登录
systemctl daemon-reload systemctl restart docker
再次登录 Harbor
docker login -u admin -p Harbor12345 http://192.168.140.111 WARNING! Using --password via the CLI is insecure. Use --password-stdin. WARNING! Your password will be stored unencrypted in /root/.docker/config.json. Login Succeeded
自动保存类似ip和密码,下次直接登录
下载镜像进行测试
docker pull 192.168.140.111/myproject-hjp/nginx:v1 docker images REPOSITORY TAG IMAGE ID CREATED SIZE 192.168.140.111/myproject-hjp/nginx v1 605c77e624dd 6 months ago 141MB
上传镜像进行测试
docker pull centos docker tag centos:latest 192.168.140.111/myproject-hjp/centos:v1 docker push 192.168.140.111/myproject-hjp/centos:v1
上传镜像
六、维护管理Harbor
1.通过 Harbor Web 创建项目
在 Harbor 仓库中,任何镜像在被 push 到 regsitry 之前都必须有一个自己所属的项目。
单击“+项目”,填写项目名称,项目级别若设置为"私有",则不勾选。如果设置为公共仓库,则所有人对此项目下的镜像拥有读权限,命令行中不需要执行"Docker login"即可下载镜像,镜像操作与 Docker Hub 一致。
2.创建 Harbor 用户
在 Web 管理界面中单击系统管理 -> 用户管理 -> +用户,填写用户名为“zhangsan”,邮箱为“2498143565@qq.com”,全名为“zhangsan”,密码为“ Abc123456 ”,注释为“管理员”(可省略)。
附:用户创建成功后,单击左侧“…”按钮可将上述创建的用户设置为管理员角色或进行删除操作,本例不作任何设置。
角色 权限说明
访客 对于指定项目拥有只读权限
开发人员 对于指定项目拥有读写权限,但没用删除权限
维护人员 对于指定项目拥有读写权限,也能对修改其它配置,比如创建 Webhooks
项目管理员 除了读写权限,同时拥有用户管理/镜像扫描等管理权限
创建用户成功
3.添加项目成员
单击项目 -> myproject-zhangsan-> 成员 -> + 成员,填写上述创建的用户zhangsan并分配角色为“开发人员”。
4.在客户端上使用普通账户操作镜像
#删除上述打标签的本地镜像 docker rmi 5d0da3dc9764 -f #使用上述创建的账户登录 docker login -u zhangsan -p Abc123456 http://192.168.140.111 #下载和上传镜像进行测试 docker pull 192.168.140.111/myproject-zhangsan/nginx:v2
docker tag 192.168.140.111/myproject-zhangsan/nginx:v1 192.168.140.111/myproject-zhangsan/nginx:v2 docker push 192.168.140.111/myproject-zhangsan/nginx:v2
打标签,上传成功
5.查看日志
6.修改 Harbor.cfg 配置文件
要更改 Harbor的配置文件中的可选参数时,请先停止现有的 Harbor实例并更新 Harbor.cfg;然后运行 prepare 脚本来填充配置; 最后重新创建并启动 Harbor 的实例。 使用 docker-compose 管理 Harbor 时,必须在与 docker-compose.yml 相同的目录中运行。 cd /usr/local/harbor docker-compose down -v vim harbor.cfg #只能修改可选参数
./prepare docker-compose up -d //如果有以下报错,需要开启防火墙 firewalld 服务解决 Creating network "harbor_harbor" with the default driver ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t nat -I DOCKER -i br-b53c314f45e8 -j RETURN: iptables: No chain/target/match by that name. (exit status 1)) 重启docker
systemctl restart firewalld.service docker-compose up -d
7. harbor迁移
移除 Harbor 服务容器同时保留镜像数据/数据库,并进行迁移
//在Harbor服务器上操作 (1)移除 Harbor 服务容器 cd /usr/local/harbor docker-compose down -v
(2)把项目中的镜像数据进行打包 //持久数据,如镜像,数据库等在宿主机的/data/目录下,日志在宿主机的/var/log/Harbor/目录下 ls /data/registry/docker/registry/v2/repositories/ cd /data/registry/docker/registry/v2/repositories/myproject-hjp tar zcvf hjp-registry.tar.gz ./*
8.重新部署harbor
如需重新部署,需要移除 Harbor 服务容器全部数据 cd /usr/local/harbor docker-compose down -v rm -r /data/database rm -r /data/registry
七、远程同步
1.安装第二台harbor
安装上面的安装步骤在客户端安装harbor服务,做第二台harbor服务器
2.配置同步
在源harbor:192.168.140.111
模板harbor:192.168.140.223
同步完成
八、总结
Harbor是一个开源的企业级Docker镜像仓库,用于管理和存储Docker镜像。它提供了强大的安全性、访问控制、镜像复制和多租户支持等功能。Harbor可以帮助组织建立自己的私有镜像仓库,提供了集中的镜像管理、版本控制和审计跟踪,以提高开发团队的效率和安全性。总之,Harbor是一个可靠的解决方案,用于构建和管理容器镜像,并满足企业级的安全和管理需求。