Docker(四)搭建harbor企业级仓库


一、harbor简介

虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境的Registry也是非常必要的。 所以Harbor孕育而生,Harbor是由VMware公司开源的企业级的Docker Registry管理项目,它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。

二、harbor的主要功能

  • 基于角色的访问控制
    用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。
  • 基于镜像的复制策略
    镜像可以在多个Registry实例中复制(可以将仓库中的镜像同步到远程的Harbor,类似于MySQL主从同步功能),尤其适合于负载均衡,高可用,混合云和多云的场景。
  • 图形化用户界面
    用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。
    支持 AD/LDAP
    Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。
  • 镜像删除和垃圾回收
    Harbor支持在Web删除镜像,回收无用的镜像,释放磁盘空间。image可以被删除并且回收image占用的空间。
  • 审计管理
    所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
  • RESTful API
    RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。
  • 部署简单
    提供在线和离线两种安装工具, 也可以安装到vSphere平台(OVA方式)虚拟设备。
    Harbor 的所有组件都在 Docker 中部署,所以 Harbor 可使用 Docker Compose 快速部署。

注意: 由于 Harbor 是基于 Docker Registry V2 版本,所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0

三、Harbor 架构组件

在这里插入图片描述

1、Proxy:反向代理工具,他是一个nginx前端代理,主要是分发前端页面ui访问和镜像上传和下载流量
2、Registry:负责存储docker镜像,处理上传/下载命令。对用户进行访问控制,它指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token,registry会通过公钥对token进行解密验证。
3、Core service:Harbor的核心功能:

  • UI:图形界面
  • Webhook:及时获取registry上image状态变化情况,在registry上配置 webhook,把状态变化传递给UI模块。
  • Token服务:复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向registry进行请求。

4、Database:提供数据库服务,存储用户权限,审计日志,docker image分组信息等数据
5、Log collector:为了帮助监控harbor运行,复责收集其他组件的log,供日后进行分析

四、搭建harbor仓库

1.harbor下载及安装

harbor仓库: 可以从github上进行下载:https://github.com/goharbor/harbor/releases
在这里插入图片描述
(本实验前:删除之前部署的registry私有仓库,不然会冲突)[root@server7 ~]# docker rm -f registry

离线包里有很多组件,拼凑成了一个平台。下载并解压:
[root@server7 ~]# tar zxf harbor-offline-installer-v2.5.0.tgz
[root@server7 ~]# cd harbor/
拷贝一下模板:
[root@server7 harbor]# cp harbor.yml.tmpl harbor.yml
由模板可知整个harbor的数据都会持久化到宿主机 /data
root@server7 harbor]# vim harbor.yml
在这里插入图片描述
在这里插入图片描述
此处的证书和key 是上一节创建好的,拷贝即可
[root@server7 ~ ]# mkdir /data
[root@server7 ~ ]# cp -r certs /data
在这里插入图片描述

2.docker-compose下载及部署

接下来我们将使用docker三剑客之一的docker-compose,可以同时控制多个容器,可以同时对外进行发布。
下载地址:https://github.com/docker/compose/releases/
下载的是一个二进制的可执行文件,直接扔进系统执行目录里:

[root@server7 ~]# mv docker-compose-linux-x86_64-v2.5.0 /usr/local/bin/docker-compose
[root@server7 ~]# chmod +x /usr/local/bin/docker-compose
在这里插入图片描述
记得在启动harbor之前要把之前的registry仓库删掉,以防端口冲突:
部署harbor
[root@server1 harbor]# ./install.sh
在这里插入图片描述
运行成功:
在这里插入图片描述
接下来我们就可以用docker-compose管理仓库了(注:必须在harbor目录中使用此条命令)
在这里插入图片描述

使用浏览器登录仓库 用户名:admin 密码是上面配置文件设置的westos
https://192.168.117.17
在这里插入图片描述
在这里插入图片描述

3.测试:主机拉取/推送仓库镜像

server7
上传镜像,首先需要执行docker login reg.westos.org

[root@server7 ~]# docker tag busybox:latest reg.westos.org/library/busybox:latest
[root@server7 ~]# docker tag nginx:latest reg.westos.org/library/nginx:latest
[root@server7 ~]# docker push reg.westos.org/library/nginx:latest
[root@server7 ~]# docker push reg.westos.org/library/busybox:latest
在这里插入图片描述
已上传成功
在这里插入图片描述

其次,我们再开一台虚拟机做测试用:
因为我们要在server8上安装docker,所以我们将server7上的docker的yum源传给server8,将证书、解析等配置文件进行修改

配置默认仓库                           ##不配置仓库默认从官网下载
[root@server8 ~]# vim /etc/docker/daemon.json
{
  "registry-mirrors": ["https://reg.westos.org"]
}

[root@server8 ~]# systemctl  restart docker

library项目中的镜像下载时可以直接写镜像名称
[root@server2 ~]# docker pull nginx

在这里插入图片描述
配置默认仓库后
在这里插入图片描述
拉取成功,并看到拉去记录
在这里插入图片描述
在这里插入图片描述

4.创建私有仓库、新建用户、授权维护私有仓库

创建私有仓库
在这里插入图片描述
新建用户
在这里插入图片描述
授权维护私有仓库
在这里插入图片描述
私有仓库上传下载都需要认证,并且还要指定仓库域名

[root@server1 ~]# docker tag ubuntu:latest reg.westos.org/westos/ubuntu:latest
[root@server1 ~]# docker push reg.westos.org/westos/ubuntu:latest

[root@server2 ~]# docker login reg.westos.org
Username: gong
Password: ***

[root@server2 ~]# docker pull reg.westos.org/westos/ubuntu

删除harbor仓库
[root@server1 harbor]# docker-compose down

5.其他功能:添加功能、扫描功能、签名功能

1.添加功能

首先先将docker-compose停掉、 down 移除:
在这里插入图片描述
移除后需要再 install.sh 一下,这次我们安装时再加点功能:
在这里插入图片描述
在这里插入图片描述
我们再进入web端查看,发现我们之前上传的镜像还在,这是因为harbor在启动时仍然挂接的是/data 中的数据,因为我们刚刚上传的数据他都会持久化到我们的宿主机中/data ,所以容器创建删除无所谓,它已经和数据分离开了:但是多了一个项
在这里插入图片描述
查看harbor创建的网络,都是桥接类型:
在这里插入图片描述

2.扫描功能
我们可以对我们上传的镜像进行扫描,查看是否有病毒(时间较长,因为要联网更新病毒库):
在这里插入图片描述

3.签名功能
此时还未签名:
在这里插入图片描述
在配置管理中,如果把内容信任打开,那么它不允许匿名用户上传,仅允许签名用户上传,当我们往项目中添加镜像的时候,可以进行自动扫描。
在这里插入图片描述
此时,我们启用library中的内容信任并保存:
在这里插入图片描述
然后我们再从server2上拉取镜像,因为没有做签名所以无法拉取:
在这里插入图片描述
部署根证书:

4443 是内容信任服务器的地址:

在这里插入图片描述
启用docker内容信任
在这里插入图片描述

一旦我们不需要做做签名了,就将第一个参数设为0,因为会影响我们docker命令的使用。

上传镜像:(注:做了签名之后再上传镜像就必须要加后缀tag信息)
在这里插入图片描述
再上传镜像时,我们需要设置根key和仓库的key,当我们上传的镜像还是nginx时,就不需要重新设置根key,但是当nginx的tag改变时,我们要重新设置仓库的key。此时,我们上传的镜像就签名成功了。

在这里插入图片描述
此时我们在server2上拉取刚刚上传的签名成功的镜像,可以正常拉取:
在这里插入图片描述

在这里插入图片描述


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值