【Docker】如何搭建私有镜像仓库Harbor

Harbor是由VMware公司开源的企业级的Docker Registry管理项目，它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。

官网地址：https://github.com/goharbor/harbor

一，为Harbor自签发证书

第一步：创建根证书私钥

使用 OpenSSL 生成一个 3072 位的 RSA 私钥，并将其保存到一个名为 ca.key 的文件中,可以用这个私钥去签发证书或进行其他加密操作。

# 创建私钥,命名为ca.key
openssl genrsa -out ca.key 3072

解释说明：

• openssl 是调用 OpenSSL 命令行工具。
• genrsa 表示生成一个 RSA 私钥。
• -out ca.key 指定将生成的私钥保存到名为 ca.key 的文件中。
• 3072 指定生成的 RSA 密钥的长度为 3072 位。

第二步：用创建的根证书私钥，生成根证书

使用 OpenSSL 创建一个自签名的 X.509 证书，并将其保存到一个名为 ca.pem 的文件中，ca.pem 文件会包含一个自签名的证书，可以用于各种用途，比如作为一个简单的 CA（证书颁发机构）证书，或者在开发和测试环境中用于 HTTPS 等。

# 证书请求的文件,命名为ca.pem
openssl req -new -x509 -days 3650 -key ca.key -out ca.pem

解释说明：

• req 表示生成证书请求和证书的子命令。
• -new 表示创建一个新的证书请求。
• -x509 表示生成一个自签名的证书，而不是证书请求。X.509 是一种常用的证书标准。
• -days 3650 指定证书的有效期为 3650 天（大约 10 年）。
• -key ca.key 指定用于签名证书的私钥文件 ca.key。这个私钥文件应该是之前生成的。
• -out ca.pem 指定将生成的自签名证书保存到名为 ca.pem 的文件中。

第三步：创建根证书私钥02

使用 OpenSSL 生成一个 3072 位的 RSA 私钥，并将其保存到一个名为 harbormei.key 的文件中，生成的私钥文件 harbormei.key 是 PEM 格式，可以用 OpenSSL 工具进行查看和进一步处理。

openssl genrsa -out harbormei.key  3072

解释说明：

• openssl 是调用 OpenSSL 命令行工具。
• genrsa 表示生成一个 RSA 私钥。
• -out harbormei.key 指定将生成的私钥保存到名为 harbormei.key 的文件中。
• 3072 指定生成的 RSA 密钥的长度为 3072 位。

第四步：用创建的根证书私钥02，生成域名证书文件02

使用 OpenSSL 生成一个新的证书签名请求（CSR），并将其保存到一个名为 harbormei.csr 的文件中。该文件是一个 PEM 格式的文件，它包含了公钥和你输入的详细信息，但没有私钥。

openssl req -new -key harbormei.key -out harbormei.csr

解释说明：

• openssl 是调用 OpenSSL 命令行工具。
• req 表示生成证书请求的子命令。
• -new 表示创建一个新的证书签名请求。
• -key harbormei.key 指定使用之前生成的私钥文件 harbormei.key 来签名这个证书请求。
• -out harbormei.csr 指定将生成的证书签名请求保存到名为 harbormei.csr 的文件中。

运行这个命令后，系统会提示你输入一些信息，比如：

国家 (Country)
州或省 (State or Province)
地理位置 (Locality)
组织名称 (Organization)
组织单位名称 (Organizational Unit)
公共名 (Common Name)，通常是域名或 IP 地址
电子邮件地址 (Email Address)

第五步：签发正式证书

使用 ca.pem 和 ca.key 作为 CA 证书和私钥，来签署 harbormei.csr 生成的证书请求，最终生成一个新的证书 harbormei.pem。这个证书的有效期为 3650 天。生成的 harbormei.pem 证书可以用于各种安全通信用途，比如 HTTPS 服务器、客户端认证等。

openssl x509 -req -in harbormei.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out harbormei.pem -days 3650

解释说明：

• openssl 是调用 OpenSSL 命令行工具。
• x509 表示处理 X.509 证书的子命令。
• -req 表示这个命令输入的是一个证书签名请求（CSR）。
• -in harbormei.csr 指定输入的证书签名请求文件是 harbormei.csr。
• -CA ca.pem 指定用于签名的 CA 证书文件是 ca.pem。
• -CAkey ca.key 指定用于签名的 CA 私钥文件是 ca.key。
• -CAcreateserial 表示如果没有 CA 序列号文件（通常是一个 .srl 文件），则创建一个新的。
• -out harbormei.pem 指定输出生成的签名证书文件名为 harbormei.pem。
• -days 3650 指定生成的证书的有效期为 3650 天（大约 10 年）。

二，安装Harbor

准备环境

# 关闭防火墙
systemctl stop firewalld && systemctl disable firewalld

# 关闭selinux
setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
# 注意：修改selinux配置文件之后，重启机器，selinux才能永久生效
reboot

# 配置时间同步
yum install -y ntpdate
ntpdate cn.pool.ntp.org 

# 编写计划任务
crontab -e 
* * * * * /usr/sbin/ntpdate  cn.pool.ntp.org

# 重启crond服务使配置生效：
systemctl restart crond

配置hosts文件：

vim /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.40.62 harbormei.com

安装基础软件包

yum install -y  wget net-tools nfs-utils lrzsz gcc gcc-c++ make cmake libxml2-devel openssl-devel curl curl-devel unzip sudo ntp libaio-devel wget vim ncurses-devel autoconf automake zlib-devel  python-devel epel-release openssh-server socat ipvsadm conntrack 

安装并启动docker

# 配置docker-ce国内yum源（阿里云）
yum install -y yum-utils
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

# 安装docker-ce
yum install docker-ce -y

# 启动docker服务并设置开机启动
systemctl start docker && systemctl enable docker

# 查看docker状态
systemctl status docker

# 查看Docker 版本信息
docker version 

三，开启包转发功能和修改内核参数

内核参数修改：
br_netfilter模块用于将桥接流量转发至iptables链，br_netfilter内核参数需要开启转发。

# 加载内核模块
modprobe br_netfilter

cat > /etc/sysctl.d/docker.conf <<EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
EOF

# 查看并加载出内容
sysctl -p /etc/sysctl.d/docker.conf

# 重启docker
systemctl restart docker

四，安装harbor

# 创建安装目录
mkdir /data/install -p
cd /data/install/

1，下载harbor离线包

或者把harbor的离线包harbor-offline-installer-v2.3.0-rc3.tgz上传到这个目录。

官网的地址：
https://github.com/goharbor/harbor/tags

# 解压
tar zxvf harbor-offline-installer-v2.3.0-rc3.tgz
cd harbor
cp harbor.yml.tmpl  harbor.yml 

# 修改配置文件：
vi harbor.yml

# 修改hostname，和签发证书的域名要相同
hostname: harbormei.com
# 证书路径配置
certificate: /data/ssl/harbor.pem
private_key: /data/ssl/harbor.key

其他配置 默认即可。

注意：harbor默认的账号密码：admin/Harbor12345

2，安装docker-compose

下载‘docker-compose-Linux-x86_64’安装包，或者上传离线包

# 移动到bin目录
mv docker-compose-Linux-x86_64.64 /bin/docker-compose

# 添加执行权限
chmod +x /bin/docker-compose

说明：
docker-compose项目是Docker官方的开源项目，负责实现对Docker容器集群的快速编排。
docker-compose的工程配置文件默认为docker-compose.yml，docker-compose运行目录下的必要有一个docker-compose.yml。
docker-compose可以管理多个docker实例。

3，安装harbor

安装离线的镜像包docker-harbor-2-3-0.tar.gz，该镜像是docker save -o命令生成，上传到harbor机器，并通过docker load -i 解压。

docker load -i docker-harbor-2-3-0.tar.gz 
cd /data/install/harbor
# 执行安装命令，该命令适用了docker-compose 进行批量安装
./install.sh

4，harbor图形界面

• 本地电脑hosts绑定域名，加入一下代码

192.168.40.62  harbormei.com

• 浏览器访问：https://www.harbormei.com

输入账号和密码：
账号：admin 密码：Harbor12345

5，扩展：关掉/启动harbor

# 停掉harbor：
cd /data/install/harbor
docker-compose stop 

# 启动harbor：
cd /data/install/harbor
docker-compose up -d

注意：如果docker-compose up -d 启动harbor之后，还是访问不了，那就需要重启虚拟机。

五，使用harbor私有镜像仓库

其他机器节点，如何使用配置好的镜像仓库呢？

1， 修改docker镜像源

vim /etc/docker/daemon.json

{
  "registry-mirrors": ["https://a88uijg4.mirror.aliyuncs.com","https://docker.m.daocloud.io"],
  "insecure-registries": ["192.168.40.62","harbormei.com"]
}

# 修改配置之后使配置生效：
systemctl daemon-reload && systemctl restart docker

# 查看docker是否启动成功
systemctl status docker

2，互绑定主机

所有机器节点，都添加上绑定域名

vi /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.40.180  mdymaster1
192.168.40.62   harbormei.com

3，登录harbor

所有非harbor安装主机的机器，都登录节点

# 登录harbor
docker login 192.168.40.62

# 或者域名登录
docker login harbormei.com

输入账号和密码：
账号：admin 密码：Harbor12345

4，上传和下载镜像

在本地服务器（比如node02上）操作（以 alpine镜像为例子）。

（1）用当前目录的 dockerfile 文件，创建新镜像：

docker build -t alpine:latest  .

（2），对该镜像文件，打新的标签

docker tag alpine:latest  192.168.40.62/alpine/alpine:v123

（3）在harbor后台，创建项目为 alpine。

（4）在harbor后台，创建项目为 alpine。

【命令格式】：
docker push/pull 192.168.40.62/[创建的项目名]/alpine:v123

# 上传镜像
docker push 192.168.40.62/alpine/alpine:v123

# 拉取镜像
docker pull 192.168.40.62/alpine/alpine:v123

【重点】Docker和Containerd 使用Harbor时，密码验证的区别

基于以上配置的前提下，重点进行下面配置。而且，必须让k8s每个节点和harbor通过主机名能互相访问（上面已配置）

1，Containerd

1-1 安装配置

安装Containerd的时候，配置文件’/etc/containerd/config.toml’ 已经对harbor访问授权：

1-2 创建pod：

# cat pod.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: nginx
  namespace: default
spec:
  containers:
  - name: nginx
    image: 192.168.40.62/library/nginx:v1.6   # 直接指定harbor镜像地址
    imagePullPolicy: Always

2，Docker

2-1 创建secret文件

# 创建Secret，类型为docker-registry， 名称为registry-pull-secret（用于pod调用）
kubectl create secret docker-registry registry-pull-secret --docker-server=192.168.40.62 --docker-username=admin --docker-password=Harbor12345

2-2 创建pod：

# cat pod.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: nginx
  namespace: default
spec:                                        # 与containerd 不同，需要特殊配置
  imagePullSecrets:                          # 指定secret 账号认证
  - name: registry-pull-secret               # 指定secret文件
  containers:
  - name: nginx
    image: 192.168.40.62/library/nginx:v1.6  # 指定harbor镜像地址
    imagePullPolicy: Always