搭建Harbor私有镜像仓库

最新推荐文章于 2024-07-24 23:27:08 发布
最新推荐文章于 2024-07-24 23:27:08 发布
阅读量2.1k 收藏 4
点赞数 2
分类专栏: Docker 文章标签: docker harbor 搭建harbor镜像仓库 配置harbor https harbor基本使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RtxTitanV/article/details/107140001
版权

Docker容器应用的开发和运行离不开可靠的镜像管理,部署一个私有的镜像仓库是十分有必要的。虽然Docker官方提供了docker-registry用于构建私有的镜像仓库。但它的功能没有Harbor丰富,而Harbor提供了包括权限管理(RBAC)、LDAP、审计、安全漏洞扫描、镜像验真、管理界面等功能,基本满足企业级需求,应用也很广泛。

本文主要对搭建Harbor私有镜像仓库进行简单总结。

一、Harbor简介

Harbor是为企业用户设计的容器镜像仓库开源项目,提供了包括权限管理(RBAC)、LDAP、审计、安全漏洞扫描、镜像验真、管理界面、自我注册、HA和中文支持等企业必需的功能。Harbor还是CNCF(云原生计算基金会)的一个项目,提供合规性,高性能和互操作性,以帮助跨例如Kubernetes和Docker等云原生计算平台的项目进行持续和安全地管理。

二、前置条件

Harbor将被部署为多个Docker容器。因此,可以将其部署在任何支持Docker的Linux发行版上。搭建Harbor镜像仓库所需的具体前置条件如下。

1.硬件

部署Harbor最低和推荐的硬件配置:

  • CPU:最低2CPU,推荐4CPU。
  • 内存:最低4GB,推荐8GB。
  • 磁盘:最低40GB,推荐160GB。

2.软件

Harbor在目标主机上要求安装的软件:

3.网络端口

Harbor在目标主机上要求开放以下端口:

  • 443:HTTPS协议,Harbor在此端口上接收HTTPS请求。可以在配置文件中更改。
  • 4443:HTTPS协议,Harbor与Docker内信任服务间的连接。仅在启用Notary的情况下才需要。可以在配置文件中更改。
  • 80:HTTP协议,Harbor在此端口上接收HTTP请求。可以在配置文件中更改。

三、环境信息

准备两台主机,这里使用的是虚拟机,harbor-server用来搭建Harbor镜像仓库,这里选择搭建v2.0.1版的Harbor仓库,docker-client用来演示登录、推送和拉取等基本操作。这里harbor-server满足搭建的前置条件,两台主机均安装了Docker和Docker Compose。具体环境如下:

主机名ip配置操作系统DockerDocker ComposeHarbor备注
harbor-server192.168.1.64C4GCentOS Linux release 8.1.191119.03.111.26.0v2.0.1Harbor镜像仓库服务器,Docker和Docker Compose必须安装,Haebor选择v2.01
docker-client192.168.1.84C2GCentOS Linux release 8.1.191119.03.111.26.0/运行Docker的普通服务器,Docker必须安装,Docker Compose可选安装

四、下载安装

Harbor安装包分为在线安装包和离线安装包:

  • 在线安装包:从Docker Hub下载Harbor相关镜像,因此安装软件包非常小。
  • 离线安装包:包含预构建的镜像,因此安装包较大。推荐使用离线安装包。

1.手动下载并上传至目标服务器

可以从官方发布页面下载指定版本的Harbor离线或在线安装包,如下图所示:
手动下载安装包
然后上传到目标服务器。这里上传到harbor-server主机/usr/local目录下并进入/usr/local目录。

2.通过命令下载

也可以通过命令在目标服务器即harbor-server下载安装包,先安装wget:

yum install -y wget

进入/usr/local目录:

cd /usr/local

下载离线安装包:

wget https://github.com/goharbor/harbor/releases/download/v2.0.1/harbor-offline-installer-v2.0.1.tgz

下载在线安装包:

wget https://github.com/goharbor/harbor/releases/download/v2.0.1/harbor-online-installer-v2.0.1.tgz

3.解压安装包

解压离线安装包:

tar -zxvf harbor-offline-installer-v2.0.1.tgz

解压在线安装包:

tar -zxvf harbor-online-installer-v2.0.1.tgz

这里使用的离线安装包安装。解压完成后进入/usr/local/harbor目录:

cd harbor

五、配置对Harbor的HTTPS访问

在开发和测试环境中,可以使用HTTP访问,但在生产环境,最好使用HTTPS。默认情况下,Harbor不附带证书。要配置HTTPS,必须创建SSL证书。可以使用由受信任的第三方CA机构签名的证书,也可以使用自签名证书。这里使用openssl创建自签名证书,如果没安装openssl工具的可以执行以下命令安装,有openssl工具就直接跳过:

yum install -y openssl

下文中的harbor.domain.com为自定义的域名,也可以使用ip地址。

1.生成CA证书

生成CA证书私钥:

openssl genrsa -out ca.key 4096

生成CA证书:

openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Chongqing/L=Chongqing/O=RtxTitanV/OU=Personal/CN=harbor.domain.com" \
 -key ca.key \
 -out ca.crt

2.生成服务器证书

生成私钥:

openssl genrsa -out harbor.domain.com.key 4096

生成证书签名请求(CSR):

openssl req -sha512 -new \
    -subj "/C=CN/ST=Chongqing/L=Chongqing/O=RtxTitanV/OU=Personal/CN=harbor.domain.com" \
    -key harbor.domain.com.key \
    -out harbor.domain.com.csr

生成一个v3版x509扩展文件:

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=harbor.domain.com
EOF

如果没有使用域名而是直接使用ip地址,则执行以下命令生成v3版x509扩展文件:

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:192.168.1.6
EOF

使用该v3.ext文件为Harbor主机生成证书:

openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in harbor.domain.com.csr \
    -out harbor.domain.com.crt

3.将证书提供给Harbor和Docker

在Harbor主机创建证书目录并将服务器证书和密钥复制到该目录下:

mkdir -p /data/cert/harbor/ && cp harbor.domain.com.crt harbor.domain.com.key /data/cert/harbor/

harbor.domain.com.crt转化为harbor.domain.com.cert供Docker使用,Dockr守护进程将.crt文件看成CA证书,将.cert看成客户端证书:

openssl x509 -inform PEM -in harbor.domain.com.crt -out harbor.domain.com.cert

在Harbor主机创建Docker证书目录并将服务器证书、密钥和CA证书复制到该目录下:

mkdir -p /etc/docker/certs.d/harbor.domain.com/ && cp harbor.domain.com.cert harbor.domain.com.key ca.crt /etc/docker/certs.d/harbor.domain.com/

如果将默认的nginx端口443映射到其他端口,需创建/etc/docker/certs.d/altrialily.com:port文件夹或/etc/docker/certs.d/harbor_IP:port

重启Docker:

systemctl restart docker

4.修改Harbor配置文件

v2.0.1版本Harbor配置文件名为harbor.yml.tmpl,将它拷贝到一份新的文件,名为harbor.yml

cp harbor.yml.tmpl harbor.yml

使用vi编辑器修改配置:

vi harbor.yml

修改如下配置:

# 设置访问地址,可以设置ip或域名
# 不能使用localhost或127.0.0.1,因为需要被外部客户端访问
hostname: harbor.domain.com

# http配置
http:
  # http端口,默认为80。如果启用https,该端口将重定向到https端口
  port: 8088

# https配置
https:
  # harbor的https端口,默认为443
  port: 443
  # 指定生成的服务器证书和私钥的路径
  certificate: /data/cert/harbor/harbor.domain.com.crt
  private_key: /data/cert/harbor/harbor.domain.com.key

# 设置Harbor登录密码,默认为Harbor12345,可以修改
harbor_admin_password: rtxtitanv

六、部署Harbor

Harbor使用一个nginx实例作为所有服务的反向代理,通过使用prepare脚本可以为nginx配置启用HTTPS。以下命令为运行prepare脚本以启用HTTPS:

./prepare

执行完成之后查看文件,生成了docker-compose.yml文件。
生成了docker-compose.yml文件
通过以下命令或sudo ./install.sh启动Harbor:

docker-compose up -d

查看容器,发现启动成功:
发现启动成功
如果想停止并删除所有实例(镜像不会删除),可以执行以下命令:

docker-compose down -v

下面验证Harbor是否部署成功,首先在Windows主机中访问Harbor仓库管理页面。由于是自定义域名,先打开C:\Windows\System32\drivers\etc\hosts文件,添加以下域名解析后保存:

192.168.1.6 harbor.domain.com

然后访问https://harbor.domain.com,出现Harbor登录页面,输入用户名密码登录:
Harbor登录页面
登录成功
能够访问Harbor仓库管理页面,说明Harbor镜像仓库搭建成功。下面在Windows主机中添加证书受信,先将ca.crt下载到Windows主机中,右键安装证书进行导入,选择本地计算机:
安装证书进行导入
选择将证书存储到受信任的根证书颁发机构:
将证书存储到受信任的根证书颁发机构
再次访问Harbor仓库管理页面,不会提示不安全连接了:
不会提示不安全连接了

七、Harbor基本使用

1.在Harbor主机登录Harbor仓库并推送镜像

下面在Harbor主机即harbor-server主机登录Harbor仓库。执行以下命令添加域名解析:

cat >> /etc/hosts << EOF
192.168.1.6 harbor.domain.com
EOF

执行以下命令使用admin用户登录harbor.domain.com

docker login harbor.domain.com

admin用户登录成功
下面进行镜像推送,注意推送至library项目必须先登录具有library管理权限的用户,而登录的admin用户默认就具有library的管理权限,所以可以推送。执行以下命令给redis:alpine镜像打上TAG并推送至harbor.domain.comlibrary中:

docker tag redis:alpine harbor.domain.com/library/myredis:v1
docker push harbor.domain.com/library/myredis:v1

推送harbor.domain.com/library/myredis:v1镜像
查看Harbor镜像仓库library项目发现推送成功:
harbor.domain.com/library/myredis:v1镜像推送成功

注意:如果使用HTTP而不是HTTPS连接Harbor镜像仓库,由于Harbor默认不允许HTTP连接,则必须在Docker客户端主机中使用--insecure-registry将Harbor镜像仓库访问地址添加进允许连接访问的列表中。即在Docker客户端主机中使用vi编辑器修改/etc/docker/daemon.json文件:

vi /etc/docker/daemon.json

新增以下内容:

{
"insecure-registries" : ["这里填自己的域名或ip:这里填HTTP暴露的端口(80可省略)", "0.0.0.0"]
}

daemon.json更新后必须重启Docker客户端主机中的Docker和Harbor主机中的Harbor:

systemctl restart docker
docker-compose down -v
docker-compose up -d

2.在Docker客户端主机登录Harbor仓库并拉取镜像

下面在docker-client主机登录Harbor仓库。先在docker-client主机执行以下命令添加域名解析:

cat >> /etc/hosts << EOF
192.168.1.6 harbor.domain.com
EOF

然后将Harbor主机即harbor-server主机的Docker证书目录(/etc/docker/certs.d/harbor.domain.com/)复制到docker-client主机/etc/docker/certs.d/目录下,在harbor-server主机执行以下命令:

scp -r /etc/docker/certs.d/ root@192.168.1.8:/etc/docker/certs.d/

然后在docker-client主机使用admin用户登录harbor.domain.com,登录成功:
docker-client主机使用admin用户登录harbor.domain.com成功
登出harbor.domain.com

docker logout harbor.domain.com

登出harbor.domain.com
拉取镜像:

docker pull harbor.domain.com/library/myredis:v1

拉取镜像成功
拉取镜像成功,因为library在Harbor中是公开项目,所以不用登陆也能拉取镜像,但推送至library必须先登录具有library管理权限的用户。

3.创建Harbor用户并赋予项目权限

在Harbor仓库管理页面创建一个新用户:
在Harbor仓库管理页面创建一个新用户
使用rtxtitanv用户登录harbor.domain.com并推送一个镜像至library,发现没有权限:
使用rtxtitanv用户登录harbor.domain.com并推送一个镜像至library没有权限
library项目下的成员中添加rtxtitanv用户,赋予用户该项目的管理权限,有以下5种权限,这里选项目管理员:
在library项目下的成员中添加rtxtitanv用户,赋予用户该项目的管理权限
再次上传,发现上传成功:
再次上传
上传成功

4.创建Harbor项目并验证访问权限

新建一个名为myproject的项目,访问级别设置为私有,不设置存储容量上限:
新建一个名为myproject的项目
myproject的项目创建成功
然后赋予rtxtitanv用户该项目的管理权限后,推送一个harbor.domain.com/myproject/myredis:v3镜像至myproject
赋予rtxtitanv用户该项目的管理权限后推送一个harbor.domain.com/myproject/myredis:v3镜像至myproject
然后在harbor-server主机拉取这个镜像,如果登录了用户先登出再拉取,发现没有权限:
如果登录了用户先登出再拉取结果没有权限
这里为了演示再创建一个名为harbortest的用户,没有赋予myproject项目的管理权限,登录harbortest用户拉取镜像,发现依然没权限:
登录没有赋予myproject项目的管理权限的harbortest用户拉取镜像结果依然没权限
然后登录赋予了myproject管理权限的rtxtitanv用户拉取镜像,拉取成功:
然后登录赋予了myproject管理权限的rtxtitanv用户拉取镜像成功
说明私有访问级别的项目必须登录具有该项目管理权限的用户才能进行推送和拉取镜像。

RtxTitanV
关注
专栏目录
Docker(十六):使用Docker部署Harbor私有镜像仓库
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
03-28 2万+
🟢 Docker(十六):使用Docker部署Harbor私有镜像仓库
部署harbor私有镜像仓库
weixin_44147924的博客
05-10 1031
Ui_url_protocol = https(如果用https就加,不用的话不加,并且需要把https的行注释掉)1.下载harbor-offline-installer-v2.0.0-rc3.tgz到服务器/root目录下。Hostname=192.168.137.51(也可以用主机名,但前提是能DNS解析出来,如果不能就写IP)2.由于安装harbor需要docker-compose,所以需要再下载compose。并且查看端口可以看到80端口已占用。
Docker搭建Docker私库Harbor
zhilianxian2212的博客
10-20 1527
Harbor安装以及使用
Harbor系列之3:使用docker环境安装Harbor仓库-https部署
最新发布
lldhsds的专栏
07-24 1386
Harbor 是一个开源的云原生镜像仓库,用于存储和分发容器镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有 Registry 服务器,Harbor 提供了更好的性能和安全。本文记录使用docker环境安装部署Harbor仓库使用https协议,采用自签名证书。本文时间部署Harbor v2.11.0版本,采用离线部署安装包。
Kubernetes-通过Rancher从Harbor私有仓库拉取镜像
weixin_33704591的博客
09-18 1794
引言   前一篇文章详细描述了如何使用rancher搭建Kubernetes高可用集群,集群搭建好了后,我们就需要开始部署应用了,那么如何从私有镜像仓库拉取镜像呢? 原理   Harbor使用了基于角色的访问控制策略,正常情况下我们从Harbor中拉去镜像的时候,首先要配置docker daemon,配置...
rancher拉取harbor私有镜像失败,报错ImagePullBackOff: Back-off pulling image
热门推荐
代码改变世界!
12-12 1万+
rancher下的k8s拉取harbors私有镜像失败
Rancher和Harbor联合使用四部曲
q2606281216的博客
10-27 1637
一、四个步骤 1、通过docker commit 把容器创建成镜像 2、通过kubectl连接harbor 3、docker tag 对本地镜像打tag标签到镜像仓库服务器 4、rancher拉取镜像 二、步骤详解 1、容器创建成镜像 docker commit 容器ID newname:latest 2、通过kubectl连接harbor 去看下发连接https://blog.csdn.net/q2606281216/article/details/120999021.
搭建 Harbor 私有镜像仓库
chunqizhi
02-24 816
1.什么是 Harbor ? Harbor 是一个 CNCF 基金会托管的开源的可信的云原生 docker registry 项目,可以用于存储、签名、扫描镜像内容, Harbor 通过添加一些常用的功能如安全性、身份权限管理等来扩展 docker registry 项目,此外还支持在 registry 之间复制镜像, 还提供更加高级的安全功能,如用户管理、访问控制和活动审...
Harbor私有镜像仓库部署包
03-15
解压得到部署harbor私有镜像仓库所需的docker-ce、docker-compose、harbor包。 1.环境准备 可使用已下载好的包,也可自行下载。 2.安装docker 部署docker,安装后需进行重启,使docker接管iptables规则 3.配置镜像...
在服务器上搭建Harbor私有镜像仓库并通过HTTPS访问
A15280019132的博客
10-17 2103
Harbor 是为企业用户设计的容器镜像仓库开源项目,包括了权限管理(RBAC)、LDAP、审计、安全漏洞扫描、镜像验真、管理界面、自我注册、HA 等企业必需的功能。(转自官方文档)当然,我们用不到这么多的功能,得益于他的镜像复制功能和简洁的图形化用户界面,Harbor同样可以作为一个我们个人的私有镜像仓库搭建使用
【Rancher - k8s】通过Rancher新安装k8s 拉取harbor镜像ImagePullBackOff 解决:修改daemon.json打通k8s与harbor连接
CTRA®王大大技术中心
03-16 1057
通过Rancher新安装k8s 拉取harbor镜像ImagePullBackOff 解决:修改daemon.json打通k8s与harbor连接
harbor搭建
null
03-13 641
环境要求: 硬件: cpu >= 2核, 推荐4核 内存>= 4G, 推荐8G 磁盘 >=40G, 推荐160 软件: Python >= 2.7 docker engine >= 1.10 docker compose >= 1.6.0 openssl 推荐最新版本(查看openssl版本:openssl version) 网络: 443: https请求 ...
Docker技术:Harbor私服搭建使用以及私服推送和拉取镜像(附常见问题,server gave HTTP response to HTTPS client)
Sunshine_Mr_Sun的博客
04-10 2401
前言 公司技术体系逐步基于DDD领域驱动设计结合DevOps,最终在技术实现中转向于微服务+k8s的体系。 以Harbor作为公司镜像私服~ 再此,就记录一下操作过程,分享给道友,避免浪费时间。 享受优质模板,进行阅读——点击 Harbor harbor git 地址 优点: 本身自代 docker 私有仓库 支持基于角色的权限管理 支持LDAP认证:Harbor的用户授权可以使用已经存在的用户。 图形化用户界面 审计管理:所有这怒地镜像仓库的错都可以被记录追溯,用于审计管理 镜
rancher2.5.6配置拉取harbor镜像
qq_23605089的博客
01-12 1068
rancher 2.5.6 想要获取到本地harbor 仓库里的镜像
Rancher 2.x 微服务部署—Docker私有仓库Harbor(四)
ZHANGSHUN_qi的博客
04-30 1402
一、Harbor服务 晚点更新
rancher 镜像离线推送自己harbor仓库
sinat_36759535的博客
07-19 1279
使用场景: 在客户环境中不能上外网前提下,部署rancher k8s 环境 需要提前准备rancher相关镜像到自己机器的harbor仓库中。 harbor搭建,参考:https://www.cnblogs.com/leozhanggg/p/12554399.html 我使用里面的离线安装方式。使用里面的证书第一种,在/data/cert下执行那条命令。并修改/etc/hosts文件把本机ip 和harbor域名进行绑定。 遇到的坑如下,在这台机器上执行docker login harbor的域名失败。
企业实战(5) Docker私有镜像仓库Harbor的部署与使用详解
非著名运维的博客
04-24 970
Harbor简介:  Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源...
K8s如何从私有Harbor拉取镜像并完成部署
哈利路亚的收藏夹
07-21 3763
对k8s进行扫盲,然后提供了前后台部署的yaml文件模板
搭建Harbor:企业级Docker私有镜像仓库实战
"详解基于Harbor搭建Docker私有镜像仓库" 在云环境中,管理和分发Docker镜像成为了一项重要任务。Harbor作为VMware公司开源的企业级Docker Registry服务器,为用户提供了一个安全、高效的方式来存储和分发Docker...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RtxTitanV

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值