实战案例——Docker仓库的使用与维护

已于 2023-11-10 12:26:23 修改
阅读量214 收藏 2
点赞数 1
分类专栏: Docker 文章标签: docker 容器
于 2023-11-01 22:33:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44927958/article/details/134170094
版权

目录

Docker仓库的使用与维护

一、实验目标

  1. 了解主流的Docker仓库
  2. 掌握Harbor私有仓库的搭建与使用
  3. 掌握Harbor私有仓库的主从同步

二、节点规划

  1. 三台节点:分别命名为master(Harbor仓库节点)slave(Harbor备份节点)client(Docker客户端),三台节点网络配置同一网段,提前关闭防火墙(关闭后重启docker)
  2. 所有节点都已安装好Docker-ce,并执行脚本image.sh(前一篇安装Docker引擎实验时解压出来的),连通公网配置加速器。

三、实验步骤

3.1、配置镜像加速

阿里云镜像加速

#修改守护进程`/etc/docker/daemon.json`文件
# 添加加速地址;也可以自行查询添加阿里云镜像加速
[root@master]# vi /etc/docker/daemon.json
{
        "registry-mirrors":["https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn"]
}
# 重启Docker使加速器生效
systemctl restart docker

3.2、部署Harbor

3.2.1、生成CA证书
# 创建并进入证书路径
mkdir -p /data/ssl
cd /data/ssl

openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 2.235 -out ca.crt
(依次填写证书参数,以下仅为示例,可自定义)
CN #国家
Guizhou #州或省名
Guizhou #城市
Gzky #公司名称
Gzky #组织单位名称
www.gzky.edu.cn #域名
gzydzb@163.com #邮箱地址

#生成证书签名请求
openssl req -newkey rsa:4096 -nodes -sha256 -keyout www.gzky.edu.cn.key -out www.gzky.edu.cn.csr
(依次填写证书参数,以下仅为示例,可自定义)
CN
Guizhou
Guizhou
Gzky
Gzky
www.gzky.edu.cn
gzydzb@163.com
000000
gzky

# 生成注册表主机的证书
openssl x509 -req -days 2.35 -in www.gzky.edu.cn.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out www.gzky.edu.cn.crt

#查看证书文件
ll /data/ssl/
总用量 28
-rw-r--r-- 1 root root 2106 1027 18:57 ca.crt
-rw-r--r-- 1 root root 3272 1027 18:57 ca.key
-rw-r--r-- 1 root root   17 1027 19:12 ca.srl
-rw-r--r-- 1 root root 1988 1027 19:12 www.gzky.edu.cn.crt
-rw-r--r-- 1 root root 1801 1027 19:07 www.gzky.edu.cn.csr
-rw-r--r-- 1 root root 3272 1027 19:07 www.gzky.edu.cn.key
3.2.2、分发证书
# 将证书拷贝至证书源目录
cp -rvf ./www.gzky.edu.cn.crt /etc/pki/ca-trust/source/anchors/
# 启用证书并更新
update-ca-trust enable
update-ca-trust extract
3.2.3、安装Docker-compose
# 将上次实验中docker压缩包中解压出的compose文件下的docker-compose文件拷贝到/usr/local/bin/目录下
cp -rvf /root/compose/docker-compose /usr/local/bin

#添加可执行权限
chmod +x /usr/local/bin/docker-compose

#查看软件版本信息
docker-compose --version
3.2.4、载入Harbor安装包
# 将上次实验中docker压缩包中解压出的harbor-office-installer-v1.5.3.tgz压缩包解压到/opt目录下
tar -zxvf /root/harbor-office-installer-v1.5.3.tgz -C /opt
3.2.5、配置harbor
#跳转至Harbor目录
cd /opt/harbor/

#编辑配置文件
vi harbor.cfg
#修改以下参数
hostname = 192.168.200.10 #Harbor的启动IP,一般就是该主机IP
ui_url_protocol = https #启用加密传输协议https
ssl_cert = /data/ssl/www.gzky.edu.cn.crt #证书的位置
ssl_cert_key = /data/ssl/www.gzky.edu.cn.key #证书秘钥的位置
harbor_admin_password = 000000 #Harbor的admin用户的密码
3.2.6、安装Harbor
#运行prepare脚本以启用HTTPS,Harbor将nginx实例用作所有服务的反向代理。(该脚本在Harbor目录下)
./prepare
# 安装Harbor并启用镜像扫描(--with-clair为镜像扫描工具 --with-notary为安全性设置)
./install.sh --with-notary --with-clair

根据提示的地址用登录后台,账号admin密码000000
Harbor仓库安装成功后的访问地址
私有仓库选择性配置:选择“配置管理”,将“项目创建”项修改为仅管理员、取消选中“允许自注册”的复选框,保存

3.3、镜像管理与安全

3.3.1、配置Docker
#配置本地daemon.json文件
vi /etc/docker/daemon.json
#在原有的基础上添加以下内容(仓库地址)
"insecure-registries":["192.168.200.10"]
#添加完成后重启docker
systemctl restart docker

守护进程文件添加仓库地址

3.3.2、重新启动Harbor私有镜像仓库
# 刷新https信息(Harbor目录下)
./prepare
# 清理所有Harbor容器进程
docker-compose down
# 后台启动所有Harbor容器进程
docker-compose up -d
3.3.3、上传镜像
# 从公有仓库拉取centos镜像
docker pull centos
# 标记centos镜像
docker tag centos:latest 192.168.200.10/library/centos:latest

# 登录验证Harbor仓库
docker login https://192.168.200.10
# Username:admin
# Password:000000

# 上传镜像到Harbor仓库
docker push 192.168.200.10/library/centos:latest

# 重新启动漏洞扫描(Harbor目录下)
./install.sh --with-notary --with-clair
3.3.4、查看上传结果

浏览器登录,选择项目>镜像仓库,如下图:
检查仓库镜像内容

3.3.5、设置镜像仓库等级

选择项目>配置管理,取消选中阻止潜在漏洞镜像的复选框。如下图:
关闭-阻止潜在漏洞镜像

3.4、Docker客户端验证Harbor仓库

3.4.1、为Docker客户端下发域名证书
# 将master节点的证书发送到客户端的证书源目录
cd /data/ssl/
scp -r www.gzky.edu.cn.crt 192.168.200.30:/etc/pki/ca-trust/source/anchors/

# 生效证书(client节点)
update-ca-trust enable
update-ca-trust extract
# 重启client节点的Docker服务
systemctl restart docker
3.4.2、配置仓库(client节点)
#与3.3.1步骤相同,编辑/etc/docker/daemon.json文件添加以下参数
"insecure-registries":["192.168.200.10"]

# 重新载入配置文件并重启docker
systemctl daemon-reload
systemctl restart docker
# 从公有仓库拉取Nginx镜像
docker pull nginx
3.4.3、登录Harbor仓库(client节点)
# docker-client登录Harbor仓库进行登录验证
cd /etc/pki/ca-trust/source/anchors/
docker login https://192.168.200.10
3.4.4、上传镜像
# 标记镜像名上传到Harbor私有仓库
docker tag nginx:latest 192.168.200.10/library/nginx:latest
docker push 192.168.200.10/library/nginx:latest

使用浏览器登录Harbor进行查看列表,如下所示:
检查Harbor仓库镜像

3.5、Harbor主从复制

3.5.1、slave节点安装Harbor

slave节点安装一个Harbor私有仓库作为Harbor的从库,步骤参考之前的master节点的安装步骤(从3.1配置到3.2末尾),配置环境时域名设置为www2.gzky.edu.cn(此为示例,为了与前一份证书做区别),在浏览器输入“https://192.168.200.20(slave节点的IP)”登录Harbor,如图:
slave节点的Harbor仓库

3.5.2、分发证书(master节点)

主从同步需要通过证书认证,所以需要将slave节点的证书拷贝到master节点

# 在master节点上将slave节点的证书拷贝到master节点下
scp 192.168.200.20:/data/ssl/www2.gzky.edu.cn.crt /etc/pki/ca-trust/source/anchors/

# 重新生效证书并重启docker
update-ca-trust enable
update-ca-trust extract
systemctl restart docker

# 重启Harbor
cd /opt/harbor
docker-compose down
./prepare
./install.sh --with-notary --with-clair
3.5.3、构建Harbor主从同步

登录master节点的Harbor,添加slave节点为从库,操作如下图所示:
构建主从同步-添加从库
在master节点的Harbor仓库添加主从复制规则,操作如下图所示:
构建主从同步-添加复制规则
添加成功后登录slave节点的Harbor仓库查看镜像列表:(完成效果图为slave节点的仓库会自动与master节点的仓库同步)
slave节点的Harbor仓库同步数据成功示例图

梦南司
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
docker维护操作
smallfatman的博客
08-16 393
docker维护操作 1.暂停、恢复容器中所有的进程(pause/unpause) 2.查看容器中运行的进程信息(top) 3.获取实时事件(events) 4,获取容器的日志(logs) 5.将文件系统作为一个tar归档文件导出到STDOUT(export) 6.从容器创建一个新的镜像(commit) 7.容器与主机之间的数据拷贝(cp) 8.检查容器里文件结构的更改(diff) 9.从镜像仓库中拉取或者更新指定镜像(pull) 10.将本地的镜像上传到镜像仓库,要先登陆到镜像仓库(push) 11.将指
详解docker私有仓库搭建与使用实战
01-10
hub.docker.com上可以保存镜像,但是网速相对较慢,在内部环境中搭建一个私有的公共仓库是个更好的方案,今天我们就来实战搭建私有docker仓库吧; 环境规划 需要两台机器:docker私服仓库的server和使用docker的普通...
Docker日常维护
zy
12-04 663
Docker日常维护磁盘清理 磁盘清理 df -h //查看磁盘 docker system df //清理磁盘,删除关闭的容器、无用的数据卷和网络,以及dangling镜像 docker system prune
Docker容器的日常维护和故障排除
晓晓的天空
12-22 447
当需要特定配置或依赖项时,构建自定义镜像是一种有效的方法。使用Dockerfile来定义自定义镜像的构建过程。示例代码:构建自定义镜像# 使用官方Node.js镜像作为基础镜像# 设置工作目录# 复制应用程序代码COPY . .# 安装应用程序依赖项# 暴露应用程序端口# 启动应用程序# 构建自定义镜像Docker容器的日常维护和故障排除是确保容器环境稳定性和可靠性的关键任务。
Docker-harbor——私有仓库部署与管理
最新发布
一坨小橙子的博客
04-30 1019
搭建本地私有仓库(下载Registry镜像、添加本地私有仓库配置、容器的拉取)、Harbor简介、Harbor概述、特性、构成、部署Docker-Harbor私有仓库Docker-Compose、Harbor服务)、维护管理Harbor(Web操作)
Docker的安装以及维护
王明的博客
09-20 446
Docker是基于镜像的。镜像类似于已经包含了文件、配置和安装好的程序的虚拟机镜像。同样的,你可以像启动虚拟机一样启动多个镜像实例。运行中的镜像称为容器。你可以修改容器(比如删除一个文件),但这些修改不会影响到镜像。不过,你使用docker commit <container-id> <image-name>命令可以把一个正在运行的容器变成一个新的镜像
Requires: container-selinux >= 2.9 报错
qq_43058911的博客
04-29 524
Error: Package: docker-ce-18.03.1.ce-1.el7.centos.x86_64 (docker-ce-edge) Requires: container-selinux >= 2.9 You could try using --skip-broken to work around the problem You could try running: rpm ...
Docker实战——项目容器化改造实战
02-24
谈到容器,就不得不将它与虚拟机进行对比,因为两者都是为应用提供封装和隔离。容器由两部分组成:应用程序本身依赖:比如应用程序需要的库或其他软件容器在Host操作系统的用户空间中运行,与操作系统的其他进程隔离...
基于RedHat——docker&docker-compose&nvidia-docker2&nvidia驱动离线安装
01-18
1.包含docker安装的包及依赖包 2.包含docker-compose安装的包及依赖包 3.基于RedHat系统的nvidia驱动包 4.nvidia-docker2驱动安装包及依赖包 5.安装命令简介 下载之后,可以在无网的环境下离线安装。
docker基础维护命令
weixin_30900589的博客
07-30 165
docker images显示当前存在的images docker ps,显示当前的container docker rm containerId 删除指定的container(需要先停止,才能删除) docker rmi imageid 删除指定的image docker stop containerId 停止某个container的运行 转载于:https://www.cnblogs....
docker基本维护命令
weixin_30772261的博客
09-13 221
docker search centos ##查服务器上面的镜像docker images ##查本地的镜像docker pull centos ##拉镜像docker run centos /bin/echo 'Hello world' ##docker run -d --name mycentos1 centos ...
docker容器日常维护指南
JackieJia的博客
08-24 911
docker日常维护指南,通过这篇文章基本上可以找到日常工作中遇到的各种docker容器的操作指令
Docker的日常运维方法
Dark不必
01-06 927
问题一:软件更新升级!!!! 解决方法一:直接在公司打好镜像,然后整个镜像替换掉; 解决方法二:直接换镜像中的程序,缺点是替换完成后再打镜像包会很大;后期可以优化...
docker运维技术总结】
weixin_43900087的博客
02-08 1405
docker运维技术总结dockerdocker核心对象镜像(Image)容器(container)docker应用架构分析Docker运行机制Docker 安装实践准备工作离线安装Docker系统在线安装DockerDocker 服务基本操作Docker镜像操作实践Docker 容器操作实践Docker数据管理实践Dockerfile及镜像制作实践制作JDK镜像基于JDK镜像启动sentinel制作Sentinel镜像Docker 镜像安装实践安装MySql数据库登陆mysql服务安装Redis数据库访问
【运维】docker镜像私有库搭建与使用
风吹柳花满店香
11-13 130
文章目录操作系统 centos7依赖版本要求安装 docker-cestep1 删除docker-enginestep2 设置docker-ce源step3 安装docker-ce安装docker-compose安装harborstep1 下载harborstep2 配置httpsstep3 运行 install.sh 操作系统 centos7 依赖版本要求 docker : 17.06.0-ce...
Docker运维常见命令调优和维护
小渣渣的学习与运维日常
08-20 276
当需要在不同的Docker主机之间共享镜像时,可以使用导入(import)和导出(export)的操作。请注意,导入的镜像将包含在文件中的所有层次结构,这使得重新加载镜像变得非常方便。总之,在需要在不同的Docker主机之间共享镜像时,导出和导入操作是非常有用的工具。定期清理不再需要的镜像容器,减少存储占用。使用Docker的资源限制功能,如CPU和内存限制,防止容器过度使用系统资源,避免影响其他容器或宿主机。使用轻量级、经过验证的基础镜像,避免包含不必要的组件,减小容器的大小,提高启动速度和安全性。
Docker 应用实践-仓库
栗筝i的博客
02-25 2296
目前 Docker 官方维护了一个公共仓库 Docker Hub,用于查找和与团队共享容器镜像,界上最大的容器镜像存储库,拥有一系列内容源,包括容器社区开发人员、开放源代码项目和独立软件供应商(ISV)在容器中构建和分发代码。大部分需求都可以通过在 Docker Hub 中直接下载镜像来实现。
【运维知识大神篇】运维人必学的Docker教程1(Docker安装部署+Docker镜像管理+容器管理常用命令+搭建docker的本地yum源+windows系统安装docker环境)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
12-21 4971
本篇文章开始给大家介绍Docker的部署使用。所谓的容器技术就是能够将计算机的程序及其所依赖的库进行打包的一种技术手段,方便进行传输,部署,运行;容器可以实现帮我们将程序和其所依赖的库文件进行打包。
Docker harbor私有仓库部署与管理
m0_73464307的博客
02-05 106
Harbor 是 VMware 公司开源的企业级 Docker Registry 项目,其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务。Harbor以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。
Docker监控之——DockerUI
05-19
DockerUI是一个Docker容器,用于监控和管理Docker主机上的容器。它提供了一个Web界面,可以方便地查看和管理Docker容器的状态和资源使用情况。 安装DockerUI非常简单,只需要执行以下命令: ``` docker run -d -p 9000:9000 --privileged --name=dockerui -v /var/run/docker.sock:/var/run/docker.sock uifd/ui-for-docker ``` 这个命令会从Docker Hub上下载DockerUI镜像,并在本地启动一个名为dockerui的容器。其中,-p选项用于指定容器内部端口与主机端口的映射,--privileged选项用于允许容器访问主机的特权资源,-v选项用于将主机上的Docker Socket文件挂载到容器内部,以便DockerUI能够与Docker守护进程通信。 启动DockerUI后,可以通过浏览器访问http://localhost:9000来打开DockerUI的Web界面。在这个界面上,可以查看所有运行中的容器,并对它们进行启动、停止、重启、删除等操作。此外,还可以查看容器的日志、资源使用情况、端口映射等详细信息。 总的来说,DockerUI是一个非常方便的工具,可以帮助我们更好地管理和监控Docker容器。不过需要注意的是,由于它需要访问主机的特权资源,因此在使用时需要谨慎操作,以免产生安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梦南司

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值