Harbor简介
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署企业内部的私有环境Registry是非常必要的,Harbor和docker中央仓库的关系,就类似于nexus和Maven中央仓库的关系,Harbor除了存储和分发镜像外还具有用户管理,项目管理,配置管理和日志查询,高可用部署等主要功能。
Harbor搭建
在本地搭建一个Harbor服务,其他在同一局域网的机器可以使用Harbor进行镜像提交和拉取,搭建前需要本地安装docker服务和docker-compose,docker-compose可以直接使用pip安装。
pip install docker-compose
下载Harbor离线安装包harbor-offline-installer-v2.1.0.tgz,在github官网或者其他资源链接下载,下载后解压。
tar -zxvf harbor-offline-installer-v2.1.0.tgz
解压完成后在当前目录生成harbor目录,复制和修改harbor目录下的harbor.yml
cp harbor.yml.tmpl harbor.yml
注释掉htps的配置内容,配置htp相关的参数,主要是hostname,port,其他都可以不用动。
# vim harbor.yml hostname: 10.3.10.55 # htp related config htp: # port for htp, default is 80. If htps enabled, this port will redirect to htps port port: 8081
进行本地安装:
bash prepare bash install.sh
安装完成后在本地生成docker-compose.yml文件,此时可以启动harbor服务;
docker-compose up -d
打开在harbor.yml中噢诶之的host和port,10.3.10.55:8081:
初始的默认用户是admin,密码是Harbor12345,登录成功:
下一步使用docker login到私服,需要将私服的htp地址配置到docker的不安全register中;
# vim /etc/docker/daemon.json
{
"insecure-registries": ["10.3.10.55:8081"]
}
重启docker服务后可以正常login进docker私服;
systemctl daemon-reload && systemctl restart docker
docker login 10.3.10.55:8081 user:admin password: Login Succeeded
Harbor Web客户端基础使用
左侧功能栏分为三大块,项目,日志和系统管理;
(1)修改admin登录密码
修改admin登录密码,点击右上角用户名->修改密码;
(2)新增用户
点击左侧系统管理->用户管理->创建用户;
可以进一步设置为管理员;
(3)新增项目和设置项目成员权限
镜像都需要根据项目名做分类索引进行存放,新建一个项目,点击项目->新建项目;
将项目设置为公开,所有用户都可以读取,如果设置了私有项目,只有登陆了相关用户才可以操作,默认是私有项目;
点击进行新建的项目,创建项目成员;
添加用户xiaogp,角色是开发者,管理员对项目拥有所有操作权限,push/pull/delete/复制策略等操作,开发人员只能push/pull,访客只能pull;
添加完成后项目拥有两个项目成员,分别是管理员admin和开发者xiaogp,可以点击其他操作修改成员的权限或者移除成员;
Harbor上传和拉取镜像
上传镜像需要在docker主机进行操作,对于私有项目必须登录Harbor私服才能进行pull和push操作,push到Harbor的镜像的命名必须按照如下规则。
{Harbor地址}:{端口}/{Harbor项目名}/{自定义镜像名}:{自定义tag}
由于harbor采用的是htp服务,而docker仓库默认采用htps,如果对私服采用docker login、pull、push等命令操作非htps的docker regsitry的时就会报错,所以需要在docker的配置文件中将harbor私服地址配置到insecure-registry作为不安全的地址运行访问。
# touch /etc/docker/daemon.json
{
: ["192.168.1.28:80"]
}
重启docker,查看docker info是否配置私服地址成功;
# docker info Insecure Registries: 192.168.1.28:80 # 已经配置成功 127.0.0.0/8
下一步测试登录私服,登录成功;
root@ubuntu:~# docker login 192.168.1.28:80 -u xiaogp Password: WARNING! Your password will be stored unencrypted in /home/xiaogp/.docker/config.json. Configure a credential helper to remove this warning. See docs.docker.com/engine/reference/commandline/login/#credentials-store Login Succeeded
下一步将docker本机的镜像上传push到harbor,先使用docker tag创建一个新的镜像并且重命名为harbor指定的ip:host/项目名格式,然后直接push。
root@ubuntu:~# docker tag xiaogp/my_image_test:v1 192.168.1.28:80/test_public/my_image_test:v1
root@ubuntu:~# docker push 192.168.1.28:80/test_public/my_image_test:v1 The push refers to repository [192.168.1.28:80/test_public/my_image_test] bc6c5868a244: Pushed 52cec1fdc1f3: Pushed 6b24a3d04a66: Pushed d5f992479e0c: Pushed 5adaa6cddd5f: Pushed 9f5b4cdea532: Pushed cd702377e4e5: Pushed aa7af8a465c6: Pushed ef9a7b8862f4: Pushed a1f2f42922b1: Pushed 4762552ad7d8: Pushed v1: digest: sha256:567000120e42943f598efe5084006ffa5f307f4ffbd8871003602351876aba1b size: 2640
在harbot web客户端查看镜像,在test_public下已经可以查看到镜像。
近一步点进去可以查看镜像的标签信息,点击操作可以对镜像进行添加标签,删除等操作,当前界面是以xiaogp用户(开发者)进行登录的,因此没有删除权限,也没有左侧的系统管理栏。
在harbor的主机的/data/registry/docker/registry/v2/目录下可以查到到镜像的存储位置。
root@ubuntu:/data/registry/docker/registry/v2/repositories# ll total 12 drwxr-xr-x 3 10000 10000 4096 7月 17 17:25 ./ drwxr-xr-x 4 10000 10000 4096 7月 17 17:25 ../ drwxr-xr-x 3 10000 10000 4096 7月 17 17:25 test_public/
下一步在另一台docker机器从私服拉去镜像,确保这台机器和私服ip互通,并且将私服地址添加到docker的不安全仓库地址配置文件中,直接使用docker pull命令拉取私服镜像。
root@cloudera01:~# docker pull 192.168.1.28:80/test_public/my_image_test:v1
对于公开项目不需要login就可以被能够访问到私服的用户拉取和上传,但是对于私有项目需要login才能进行操作,先创建一个私有仓库test_private。
然后进行tag和push,报错未授权访问存储库;
root@ubuntu:~# docker tag xiaogp/my_image_test:v1 192.168.1.28:80/test_private/my_image_test:v1 root@aubuntu:~# docker push 192.168.1.28:80/test_private/my_image_test:v1 The push refers to repository [192.168.1.28:80/test_private/] Preparing 52 Preparing 6 Preparing Preparing 5 Preparing 9 Waiting Waiting Waiting Waiting Waiting 4762552ad7d8: Waiting unauthorized: unauthorized to access repository: test_private/my_image_test, action: push: unauthorized to access repository: test_private/, action: push
测试使用admin项目管理员权限登录私服在上传,成功:
root@ubuntu:~# docker login 192.168.1.28:80 -uadmin Password: WARNING! Your password will be stored unencrypted in /home/xiaogp/.docker/config.json. Configure a credential helper to remove this warning. See docs.docker.com/engine/referencelogin/ Login Succeeded root@ubuntu:~ The push refers to repository [192.168.1.28:80] Pushed 52 Pushed 6 Pushed Pushed 5 Pushed 9 Pushed Pushed Pushed Pushed Pushed 4762552ad7d8: Pushed v1: digest: sha256:567000120e42943 size: 2640
如果以普通账号(xiaogo访客权限)登录,报错未授权访问存储库,访客权限不能push镜像;
root@ubuntu:~ Password: WARNING! Your password will be stored unencrypted in /home/xiaogp/.docker/config.json. Configure a credential helper to remove this warning. See docs.docker.com/engine/referencelogin/ Login Succeeded root@ubuntu:~ The push refers to repository [192.168.1.28:80] Layer already exists 52 Layer already exists 6 Layer already exists d5f992479e0c: Layer already exists 5adaa6cddd5f: Layer already exists 9f5b4cdea532: Layer already exists cd702377e4e5: Layer already exists aa7af8a465c6: Layer already exists ef9a7b8862f4: Layer already exists a1f2f42922b1: Layer already exists 4762552ad7d8: Layer already exists unauthorized: unauthorized to access repository: test_private/my_image_test, action: push: unauthorized to access repository: test_private/my_image_test, action: push
对于已经在harbor上存在的镜像,如果修改了原镜像层,指定同样的tag再次上传,则会用新上传的镜像更新旧的到最新,以最新上传的镜像作为指定的tag,之前的镜像依旧存在但是tag置位空。
可以在垃圾清理栏中勾选回收无tag的镜像进行清理删除
执行完毕后在test_private下已经没有旧的被更新的镜像,在删除日志中也可以查到删除的镜像名,好了本文就到这里,希望对你有帮助。
1468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
