Docker私有仓库harbor搭建

最新推荐文章于 2024-07-24 23:27:08 发布
最新推荐文章于 2024-07-24 23:27:08 发布
阅读量621 收藏
点赞数
文章标签: docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51574197/article/details/116465690
版权
本文详细介绍了如何搭建和管理Harbor企业级Docker私有仓库,包括安装Docker和docker-compose,配置Harbor,创建HTTPS证书,上传镜像,以及Harbor的工作原理和特性。Harbor提供基于角色的访问控制、LDAP集成和审计日志等功能,旨在为企业提供安全、高效的镜像管理解决方案。
摘要由CSDN通过智能技术生成

Harbor私有仓库搭建

复习

容器创建时需要指定镜像,每个镜像都有唯一的标识ImageID,和容器的Container ID一样,默认128位,可以使用前16为缩略形式,也可以使用镜像名与版本号两部分组合唯一标识,如果省略版本号,默认使用最新版本标签latest

镜像的分层:Docker的镜像通过联合文件系统(Union FileSystem)将各层文件系统叠加在一起

  • bootfs:用于系统引导文件系统,包括bootloader和kernel,容器启动完成后会被卸载以节省内存资源
  • rootfs:位于bootfs之上,表现为Docker容器的根文件系统
    • 传统模式中,系统启动时,内核挂载rootfs时首先挂载为“只读”模式,完整性自检完成后将其挂载为“读写”模式
    • Dokcer中,rootfs有内核挂载为“只读”模式,而后通过UFS技术挂载一个“可写层”
      • 已有分层只能读不能修改
      • 上层镜像优先级大于底层镜像

镜像的生成

  • 容器–>镜像 docker commit
  • dockerfile
    dockerfile时一种被docker程序解释的脚本,dockerfile时由一条一条的指令组成,每条指令对饮linux下面的一条命令。docker程序将这些指定翻译成真正的linux命令。dockerfile有自己的书写格式和支持的命令。docker程序解决这些命令间的依赖关系,类似makefile。docker程序将读取dockerfile。根据指令生成定制的image
    docker build -t 名字 路径

Harbor-企业级Docker私有仓库

安装需求
Python 2.7或更高
Docker引擎 1.10或更高版本
Docker Compose需要1.6.0或更高版本
Harbor官方网址

安装docker-compose

# 下载压缩包docker-compose
 curl -L https://github.com/docker/compose/releases/download/1.9.0/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose

# github如果慢的话可以使用daocloud的下载地址
curl -L https://get.daocloud.io/docker/compose/releases/download/1.25.4/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose

# 添加可执行权限
chmod +x /usr/local/bin/docker-compose

安装Harbor

tar -zxvf harbor-offline-installer-<version>.tgz -C /usr/local/harbor-<version>

  • 配置harbor.cfg

    • hostname:目标的足迹名或者完全限定域名
    • ui_url_protocol:https 默认为http
    • db_password:用于db_auth的MySQL数据库的根密码。
    • max_job_works:作业服务中的复制工作人员的最大数量。默认为3。对于每个映像复制作业,工作人员将存储库的所有标签同步到远程目标。增加此数字允许系统中更多的并发复制作业。但是,由于每个工 作人员都会消耗一定数量的网络/ CPU / IO资源,请根据主机的硬件资源,仔细选择该属性的值
    • customize_crt:默认on。当此属性打开时,prepare脚本将注册表的令牌的生成/验证创建私钥和根证书
    • ssl_cert:SSL证书的路径,仅当协议设置为https时才应用
    • ssl_cert_key:SSL密钥的路径
    • secretkey_path:用于在复制策略中加密或解密远程注册表的密码的密钥路径

  • 创建HTTPS证书以及配置相关目录权限

openssl genrsa -des3 out server.key 2038
openssl req -new-key server.key -out server.csr 
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 
mkdir /data/cert
chmod -R 777 /data/cert
  • 运行脚本进行安装
    ./install.sh
  • 访问测试
    https://reg.yourdomain.com的管理员门户(将reg.yourdomain.com更改为您的主机名harbor.cfg)。请注意,默认管理员用户名/密码为admin / Harbor12345

上传镜像

  • 指定镜像仓库地址
vim /etc/docker/daemon.json
{
"insecure-registries": ["serverip"]
}
  • 下载测试镜像
docker pull hello-world
  • 给镜像重新打标签
docker tag hello-world serverip/hello-world:tag
  • 登录仓库
docker login serverip
  • 上传镜像
docker push serverip/hello-world:tag
  • 其他docker客户端下载测试
    • 指定镜像仓库地址
vim /etc/docker/daemon.json
{
"insecure-registries": ["serverip"]
}
  • 下载测试镜像
 docker pull serverip/hello-world:tag

Harbor原理介绍

Harbor是VMware公司开源的企业级DockerRegistry项目,项目地址为https://github.com/vmware/harbor。其目标是帮助用户迅速搭建一个企业级的Dockerregistry服务。它以Docker公司开源的registry为基础,提供了管理UI, 基于角色的访问控制(Role Based Access Control), AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。Harbor的每个组件都是以Docker容器的形式构建的,使用Docker Compose来对它进行部署。用于部署Harbor的Docker Compose模板位于 /Deployer/docker-compose.yml,由5个容器组成,这几个容器通过Docker link的形式连接在一起,在容器之间通过容器名字互相访问。对终端用户而言,只需要暴露 proxy ( 即Nginx)的服务端口

  • Proxy:由Nginx服务器构成的反向代理
  • Registry:由Docker官方的开源 registry 镜像构成的容器实例。
  • UI:即架构中的 core services, 构成此容器的代码是 Harbor 项目的主体。
  • MySQL:由官方 MySQL 镜像构成的数据库容器。
  • Log:运行着 rsyslogd 的容器,通过 log-driver 的形式收集其他容器的日志

Harbor特性

  • 基于角色控制:用户和仓库都是基于项目进行组织的, 而用户基于项目可以拥有不同的权限
  • 基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制 c、支持LDAP: Harbor的用户授权可以使用已经存在LDAP用户
  • 镜像删除 & 垃圾回收: Image可以被删除并且回收Image占用的空间,绝大部分的用户操作API, 方便用户对系统进行扩展
  • 用户UI:用户可以轻松的浏览、搜索镜像仓库以及对项目进行管理
  • 轻松的部署功能: Harbor提供了online、offline安装,除此之外还提供了virtualappliance安装
  • Harbor 和 docker registry 关系: Harbor实质上是对 docker registry 做了封装,扩展了自己的业务模块

在这里插入图片描述

Harbor认证过程

  • dockerdaemon从docker registry拉取镜像。
  • 如果dockerregistry需要进行授权时, registry将会返回401 Unauthorized响应,同时在响应中包含了docker client如何进行认证的信息。
  • dockerclient根据registry返回的信息,向auth server发送请求获取认证token。
  • auth server则根据自己的业务实现去验证提交的用户信息是否存符合业务要求。e、用户数据仓库返回用户的相关信息。
  • auth server将会根据查询的用户信息,生成token令牌,以及当前用户所具有的相关权限信息.上述就是完整的授权过程.当用户完成上述过程以后便可以执行相关的pull/push操作。认证信息会每次都带在请求头中
  • 在这里插入图片描述

Harbor认证流程

  • 首先,请求被代理容器监听拦截,并跳转到指定的认证服务器。
  • 如果认证服务器配置了权限认证,则会返回401。通知dockerclient在特定的请求中需要带上一个合法的
    token。而认证的逻辑地址则指向架构图中的core services。
  • 当docker client接受到错误code。client就会发送认证请求(带有用户名和密码)到coreservices进行basic auth认证。
  • 当C的请求发送给ngnix以后, ngnix会根据配置的认证地址将带有用户名和密码的请求发送到core serivces。
  • coreservices获取用户名和密码以后对用户信息进行认证(自己的数据库或者介入LDAP都可以)。成功以后,返回认证成功的信息

在这里插入图片描述

最强滴菜鸟
关注
【Kubernetes系列】Kubenetes如何访问Harbor私有仓库(401 Unauthorized问题解决)
邓邓子的博客
06-17 3965
Kubenetes 拉取 Harbor 私有仓库镜像报 401 Unauthorized 错误: 二、解决方法 需要在 Kubenetes 配置 Secret 访问 Harbor。 2.查看登录的密钥数据 3.加密密钥 4.Harbor 上创建机器人账号 Harbor 上创建机器人账号,账号名称与将要创建的 Secret 名称一致: (2)方式二:yaml 文件创建 创建 harbor-secret.yaml 文件,其中 .dockerconfigjson 的值为第 3 步获得的加密串: 执行: 6
docker私有仓库Harbor搭建
meanscsdn的博客
10-13 674
下载docker-compose curl -L https://get.daocloud.io/docker/compose/releases/download/1.27.4/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose 修改文件权限 chmod +x /usr/local/bin/docker-compose 下载压缩包并上传,使用xftp上传即可 http://harbor.orientsoft.cn
Docker私有仓库Harbor构建
jiaoshu__的博客
09-12 500
文章目录一、Docker Harbor简介1.1Docker Harbor概述1.2Harbor优势1.3Harbor构成1.4Harbor.cfg 配置文件中有两类参数1.4.1 所需参数1.4.2可选参数 一、Docker Harbor简介 1.1Docker Harbor概述 Docker Harbor有可视化的web管理界面,可以方便管理Docker镜像,有提供了多个项目的镜像权限管理及控制功能 Harbor是VMware公司开源的企业级Docker Registry项目 1.2Harbor
podman加速器配置&Harbor
weixiaoya0204的博客
12-15 2026
目录podman加速器配置Harbor镜像仓库部署HarborHarbor简介Harbor的功能Docker composeHarbor部署 podman加速器配置 //配置加速器,不需要重启,立马生效 centos8: [root@localhost ~]# vi /etc/containers/registries.conf [[registry]] prefix="docker.io" location="arq8p4a6.mirror.aliyuncs.com" centos7: [root@l
Harbor系列之3:使用docker环境安装Harbor仓库-https部署
最新发布
lldhsds的专栏
07-24 1339
Harbor 是一个开源的云原生镜像仓库,用于存储和分发容器镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有 Registry 服务器,Harbor 提供了更好的性能和安全。本文记录使用docker环境安装部署Harbor仓库,使用https协议,采用自签名证书。本文时间部署Harbor v2.11.0版本,采用离线部署安装包。
搭建docker harbor仓库
taonihou_的博客
05-24 202
docker harbor搭建 环境准备: 使用的系统版本 [root@centos04 ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) 使用的docker版本 [root@centos04 ~]# docker --version Docker version 19.03.9, build 9d988398e7 使用的docker-compose版本 [root@centos04 ~]# docker-compose
使用harbor搭建docker镜像私有仓库
weixin_48192495的博客
11-18 1306
目录一. harbor的概述1.1 Harbor 的介绍1.2 Docker 私有仓库架构拓扑二. Harbor构建Docker私有仓库2.1 案例设计2.2 部署Harbor2.21 下载Harbor安装程序2.22 配置Harbor参数文件2.23 安装docker-compose 容器编排工具2.24 启动Harbor2.25 web网页登陆测试(图像化管理docker私有仓库镜像)2.26 创建Harbor 用户 一. harbor的概述 1.1 Harbor 的介绍 Harbor 是VMwar
Docker私有仓库搭建-harbor
chenguihua5的博客
10-23 1557
docker docker安装 centos安装docker,参见https://yeasy.gitbooks.io/docker_practice/content/install/centos.html docker-compose安装 curl -L https://github.com/docker/compose/releases/download/1.25.0-rc2/docker-co...
Docker--Harbor私有仓库搭建
夏颜的博客
07-23 1283
Harbor是VMware公司开源的企业级DockerRegistry项目,其目标是帮助用户迅速搭建一个企业级的DockerRegistry服务。HarborDocker公司开源的Registry为基础,提供了图形管理UI、基于角色的访问控制(RoleBasedAccessControl)、AD/LDAI们成以心宙计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。......
docker私有仓库-harbor 搭建
01-07
1.安装dockerdocker-compose 这是基本的要求,就不做多介绍了 2.下载harbor离线安装包 下载地址:https://github.com/goharbor/harbor/releases 如果github下载过慢,可以从下方链接下载 ...选择当前最新版本1.9.4...
Harborharbor仓库证书过期处理步骤
qq_51417587的博客
01-13 1565
harbor仓库证书更新
401 Unauthorized: ERROR Failed to connect to newly launched supervisor. Agen
kismet2399的博客
12-24 2660
该情况分为两种: 一:/opt/XXXX/lib/cloudera-scm-agent/目录下的uuid一样导致 处理方式:1,删除该节点下/opt/XXXX/lib/cloudera-scm-agent/目录下的所有文件                2,清空主节点CM数据库               3,重启cloudera-scm-agent 二:agent 旧的端口没有关闭, ...
HTTP代理出现401错误的原因及解决办法
热门推荐
syhttp的博客
08-16 1万+
HTTP代理出现401 Unauthorized错误代码通常表示请求需要进行身份验证,但请求未提供有效的身份验证信息。文章分析了出现401错误代码的原因及解决方法。
Harbor 仓库使用介绍(高可用配置)
愿许浪尽天涯的博客
03-22 7107
Harbor 是由 VMware 公司使用 Go 语言开发,主要就是用于存放镜像使用,同时我们还可以通过 Web 界面来对存放的镜像进行管理。并且 Harbor 提供的功能有:基于角色的访问控制,镜像远程复制同步,以及审计日志等功能。
[问题已处理]-harbor可以login成功pull成功但是push报错
爷来辣的博客
05-22 2296
导语:harbor通过域名push提示没有push权限 访问方式是nginx 80和443 都转发到harbor的80。因为我没有修改dns解析的权限,只能这样搞。 现象是使用域名的话docker login pull都没有问题,但是push会有问题。用ip地址的话 login pull push都没有问题。 nginx配置 # HTTP Server server { listen 80; server_name harbor.deepwise.com; location
k8s + harbor + docker image
LXYuuuuu的博客
09-15 475
java服务构建镜像:http://blog.csdn.net/LXYuuuuu/article/details/108595585 1.k8s部署 1.1 页面部署 指定节点 注意在spec子标签中添加 其中node:k8snode2是命令设置的label kubectl label node k8snode2 node=k8snode2(设置标签) kubectl get nodes --show-labels(查看所有标签) 指定端口 在指定位置修改需
harbor提示账号密码错误无法登录
jy8655790的博客
03-10 3872
harbor使用helm安装的没有开启ssl,pg为外部环境 具体报错: 1.kubectl logs -f myharbor-core-56844975cb-bnhs8容器报错为: ERROR] [/core/controllers/base.go:103]: Error occurred in UserLogin: Failed to authenticate user, due to error 'Invalid credentials' 2.页面是login为401报错 试过网上全部方法都不行,其
Docker私有仓库 Harbor搭建与安全实践
Harbor作为一个强大的Docker私有仓库解决方案,不仅提供了基础的镜像存储和分发功能,还为企业级场景带来了额外的安全保障和管理便利。通过合理利用提供的资源链接和遵循正确的部署流程,你可以有效地构建和管理一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值