Docker系列七:(3)搭建企业级私有镜像仓库Harbor-推荐

最新推荐文章于 2024-07-25 17:04:38 发布
最新推荐文章于 2024-07-25 17:04:38 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Docker 文章标签: docker docker系列教程 Harbor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web_snail/article/details/120650158
版权
本文详细介绍了如何搭建企业级私有Docker镜像仓库Harbor,包括硬件和软件要求、安装Docker与docker-compose、生成TLS证书以及Harbor的配置与初始化。Harbor在Docker Registry的基础上增加了安全管理、访问控制等功能,是企业容器化应用的理想选择。
摘要由CSDN通过智能技术生成

目录

一:使用背景:

二:Harbor简介

三:硬件要求

3.1)部署 Harbor 的最低和推荐硬件配置

3.2)目标主机上必须安装的软件版本

3.3)网络端口Harbor 要求在目标主机上打开以下端口

四:安装准备

4.1)安装Docker

4.2) 安装docker-compose

五:具体安装步骤

5.1)下载离线安装包

5.2)配置harbor

5.3)生成自签TLS证书

 5.3.1:生成 CA 证书私钥 ca.key

 5.3.2:使用CA证书私钥,生成CA证书 ca.crt

 5.3.3:生成服务器证书,证书通常包含一个.crt文件和一个.key文件

 5.3.4:生成服务器证书,证书通常包含一个.crt文件和一个.key文件

 5.4)harbor配置确认与初始化启动

5.4.1:修改与确认harbor配置

5.4.2:准备配置文件

5.4.3:开始安装harbor相关模块

六:harbor常用管理

七:测试与使用

八:其他客户端使用harbor,需要配置harbor服务器crt证书

九:Docker推送镜像到harbor

1: 在项目中标记镜像

2:推送镜像到当前项目

3:拉取harbor项目

一:使用背景:

Docker Hub 这样的公共仓库可能不方便,Docker自带的registry又不能满足需要。

二:Harbor简介

Harbor以Docker公司开源的registry为基础,提供了管理UI,基于角色的访问控制(Role Based AccessControl),AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。

Harbor 也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。不仅解决了我们直接使用 Docker Registry 的功能缺失,更解决了我们在生产使用 Docker Registry 面临的高可用、镜像仓库直接复制、镜像仓库性能等运维痛点。

GIT仓库:GitHub - goharbor/harbor: An open source trusted cloud native registry project that stores, signs, and scans content.

三:硬件要求

3.1)部署 Harbor 的最低和推荐硬件配置

Resource

Minimum

Recommended

CPU

2 CPU

4 CPU

Mem

4 GB

8 GB

Disk

40 GB

160 GB

3.2)目标主机上必须安装的软件版本

Software

Version

Description

Docker engine

Version 17.06.0-ce+ or higher

For installation instructions, see Docker Engine documentation

Docker Compose

Version 1.18.0 or higher

For installation instructions, see Docker Compose documentation

Openssl

Latest is preferred

Used to generate certificate and keys for Harbor

3.3)网络端口Harbor 要求在目标主机上打开以下端口

Port

Protocol

Description

443

HTTPS

Harbor 门户和核心 API 接受此端口上的 HTTPS 请求。您可以在配置文件中更改此端口。

4443

HTTPS

连接到 Harbor 的 Docker Content Trust 服务。仅在启用 Notary 时才需要。您可以在配置文件中更改此端口。

80

HTTP

Harbor 门户和核心 API 接受此端口上的 HTTP 请求。您可以在配置文件中更改此端口。

四:安装准备

4.1)安装Docker

必须是Version 17.06.0-ce+或更高版本,小编使用的是Server Version: 20.10.7

4.2) 安装docker-compose

Version 1.18.0 or higher

Linux 上我们可以从 Github 上下载它的二进制包来使用,最新发行的版本地址:Releases · docker/compose · GitHub

sudo curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
如果github太慢使用daocloud
sudo curl -L https://get.daocloud.io/docker/compose/releases/download/1.24.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
注:要安装其他版本的 Compose,请替换 1.24.1。

将可执行权限应用于二进制文件:
$ sudo chmod +x /usr/local/bin/docker-compose

创建软链:
$ sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

测试是否安装成功:
$ docker-compose --version
    docker-compose version 1.24.1, build 4667896b

五:具体安装步骤

5.1)下载离线安装包

GIT仓库地址:https://github.com/goharbor/harbor/releases
或者使用小编已经准备好的下载包
harbor-offline-installer-v2.2.3.tgz
链接:https://pan.baidu.com/s/1qP2-YzBIeSs_j5JYJ9Z2JQ 
提取码:wtv3
-- 上传到服务器

# 解压到/usr/local/目录
tar -zxvf harbor-offline-installer-v2.2.3.tgz -C /usr/local/
cd /usr/local/harbor

[root@vm202 harbor]# ll
    总用量 502856
    -rw-r--r--. 1 root root      3361 7月   5 13:39 common.sh
    -rw-r--r--. 1 root root 514891405 7月   5 13:40 harbor.v2.2.3.tar.gz
    -rw-r--r--. 1 root root      7840 7月   5 13:39 harbor.yml.tmpl
    -rwxr-xr-x. 1 root root      2500 7月   5 13:39 install.sh
    -rw-r--r--. 1 root root     11347 7月   5 13:39 LICENSE
    -rwxr-xr-x. 1 root root      1881 7月   5 13:39 prepare

5.2)配置harbor

cd /usr/local/harbor
cp harbor.yml.tmpl harbor.yml
vim harbor.yml -- 以下为常用项配置
    # 1:指定要部署 Harbor 的目标主机的 IP 地址或完全限定域名
    hostname: lo.harbor.com
    hostname为必须修改参数
    
    2:配置CA证书路径
    https:
      port: 443
      certificate: /usr/local/harbor/cert/lo.harbor.com.crt
      private_key: /usr/local/harbor/cert/lo.harbor.com.key
    
    # 3:默认数据目录-harbor被删除仍然存在
    data_volume: /usr/local/harbor/data_volume
    
    #4: 日志配置
    log:
      local:
        #location: /var/log/harbor # 日志存储路径
        location: /usr/local/harbor/log

注意:如果使用 ip端口的方式,把https相关配置注释掉

5.3)生成自签TLS证书

官方英文文档:Harbor docs | Configure HTTPS Access to Harbor

5.3.1:生成 CA 证书私钥 ca.key

[root@vm03 tmp]# openssl genrsa -out ca.key 4096
    Generating RSA private key, 4096 bit long modulus
    ...............................++
    ........................................................++
    e is 65537 (0x10001)

查看刚刚生成的ca.key
[root@vm03 tmp]# ll
    -rw-r--r-- 1 root root      3243 7月  22 13:38 ca.key

 5.3.2:使用CA证书私钥,生成CA证书 ca.crt

[root@vm03 tmp]#  openssl req -x509 -new -nodes -sha512 -days 3650 \
-subj "/C=CN/ST=Beijing/L=Beijing/O=Harbor/OU=Harbor/CN=lo.harbor.com" \
-key ca.key \
-out ca.crt

参数说明:
    yourdomain.com修改为自己的域名本例为lo.harbor.com
    -new 指生成证书请求
    -x509 表示直接输出证书
    -key 指定私钥文件
    -days 指定证书过期时间为3650天
    -out 导出结束后证书文件
    -subj 输入证书拥有者信息

查看ca.crt证书
[root@vm03 tmp]# ll
    总用量 500924
    -rw-r--r-- 1 root root      2025 7月  22 13:44 ca.crt
    -rw-r--r-- 1 root root      3243 7月  22 13:38 ca.key

 5.3.3:生成服务器证书,证书通常包含一个.crt文件和一个.key文件

例如,yourdomain.com.crt和yourdomain.com.key

1:生成私钥 lo.harbor.com.key
[root@vm03 tmp]# openssl genrsa -out lo.harbor.com.key 4096
    
    Generating RSA private key, 4096 bit long modulus
    ..................++
    ....................................................++
    e is 65537 (0x10001)
[root@vm03 tmp]# ll
    -rw-r--r-- 1 root root      3243 7月  22 13:54 lo.harbor.com.key

2:生成证书签名请求 (lo.harbor.com.csr)
[root@vm03 tmp]# openssl req -sha512 -new \
-subj "/C=CN/ST=Beijing/L=Beijing/O=Harbor/OU=Harbor/CN=lo.harbor.com" \
-key lo.harbor.com.key \
-out lo.harbor.com.csr
    --其中lo.harbor.com换成自己的域名
[root@vm03 tmp]# ll
    -rw-r--r-- 1 root root      1704 7月  22 13:57 lo.harbor.com.csr

3:生成 x509 v3 扩展文件
[root@vm03 tmp]# cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=lo.harbor.com
EOF

[root@vm03 tmp]# ll
    -rw-r--r-- 1 root root       232 7月  22 14:01 v3.ext

4:使用该v3.ext文件为您的Harbor主机生成证书 lo.harbor.com.crt
[root@vm03 tmp]# openssl x509 -req -sha512 -days 3650 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in lo.harbor.com.csr \
-out lo.harbor.com.crt    

---> 输出
Signature ok
subject=/C=CN/ST=Beijing/L=Beijing/O=Harbor/OU=Harbor/CN=lo.harbor.com
Getting CA Private Key

[root@vm03 tmp]# ll
    -rw-r--r-- 1 root root      2057 7月  22 14:05 lo.harbor.com.crt

 5.3.4:生成服务器证书,证书通常包含一个.crt文件和一个.key文件

向 Harbor 和 Docker 提供证书
1:将服务器证书和密钥复制到 Harbor 主机上的 certficates 文件夹中
mkdir -p /usr/local/harbor/cert
cp lo.harbor.com.crt /usr/local/harbor/cert/
cp lo.harbor.com.key /usr/local/harbor/cert/

2:转换yourdomain.com.crt为yourdomain.com.cert,供 Docker 使用。
Docker 守护进程将.crt文件解释为 CA 证书,将.cert文件解释为客户端证书。
    
[root@vm03 tmp]# openssl x509 -inform PEM -in lo.harbor.com.crt -out lo.harbor.com.cert


3:将服务器证书、密钥和 CA 文件复制到 Harbor 主机上的 Docker 证书文件夹中。
# 创建证书文件夹
mkdir -p /etc/docker/certs.d/lo.harbor.com/
# 拷贝服务器证书
cp lo.harbor.com.cert /etc/docker/certs.d/lo.harbor.com/
# 拷贝服务器私钥
cp lo.harbor.com.key /etc/docker/certs.d/lo.harbor.com/
# 拷贝自签的颁发证书机构ca证书
cp ca.crt /etc/docker/certs.d/lo.harbor.com/

----
注意:如果您将默认nginx端口 443映射到其他端口,
请创建文件夹/etc/docker/certs.d/yourdomain.com:port或
/etc/docker/certs.d/harbor_IP:port。
示例:
mkdir -p /etc/docker/certs.d/lo.harbor.com:8443
cp lo.harbor.com.cert /etc/docker/certs.d/lo.harbor.com:8443
cp lo.harbor.com.key /etc/docker/certs.d/lo.harbor.com:8443
cp ca.crt /etc/docker/certs.d/lo.harbor.com:8443

 

 5.4)harbor配置确认与初始化启动

5.4.1:修改与确认harbor配置

vim harbor.yml  具体配置如下
    hostname: lo.harbor.com
    2:CA证书路径
    https:
      port: 443
      certificate: /usr/local/harbor/cert/lo.harbor.com.crt
      private_key: /usr/local/harbor/cert/lo.harbor.com.key

5.4.2:准备配置文件

cd /usr/local/harbor
[root@vm03 tmp]# ./prepare

5.4.3:开始安装harbor相关模块

cd /usr/local/harbor
[root@vm03 tmp]# ./install.sh

输出-----
[Step 0]: checking if docker is installed ...
Note: docker version: 20.10.7
[Step 1]: checking docker-compose is installed ...
Note: docker-compose version: 1.24.1
[Step 2]: loading Harbor images ...
[Step 3]: preparing environment ...
[Step 4]: preparing harbor configs ...
[Step 5]: starting Harbor ...
✔ ----Harbor has been installed and started successfully.----

重启 Docker 引擎
systemctl restart docker

六:harbor常用管理

cd /usr/local/harbor
# 停止Harbor
docker-compose stop
# 启动Harbor
docker-compose start

七:测试与使用

访问https://lo.harbor.com
访问https://lo.harbor.com:8443
    用户名:admin
    密码:Harbor12345

 八:其他客户端使用harbor,需要配置harbor服务器crt证书

其他客户端连接harbor

[root@vm03 ~]# docker login lo.harbor.com:8443
[root@vm03 ~]# docker login lo.harbor.com
Username: remote
Password: 
Error response from daemon: Get https://lo.harbor.com/v2/: x509: certificate signed by unknown authority  
报错说明证书签名认证异常,
原因:因为域名我们配置的是自签证书,他不能通过证书做交互解密


登录:
docker login lo.harbor.com
或:docker login lo.harbor.com -u xx -p xx

客户端需要做以下配置

在docker客户端配置harbor证书
# 创建证书文件夹
mkdir -p /etc/docker/certs.d/lo.harbor.com/
# 从lo.harbor.com服务器拷贝证书到docker客户端
(204为harbor服务器,203为docker使用客户端,从204中把ca证书复制到203中)
在203服务器执行以下命令
scp root@192.168.8.204:/usr/local/harbor/cert/lo.harbor.com.crt /etc/docker/certs.d/lo.harbor.com

九:Docker推送镜像到harbor

1: 在项目中标记镜像

docker tag SOURCE_IMAGE[:TAG] lo.harbor.com/py_image/REPOSITORY[:TAG]
示例:
docker tag iwester/myip:1.2 lo.harbor.com/py_image/myip:v1

2:推送镜像到当前项目

docker push lo.harbor.com/py_image/REPOSITORY[:TAG]
示例:
docker push lo.harbor.com/py_image/myip:v1

3:拉取harbor项目

docker pull lo.harbor.com/py_image/myip:v1

iwester
关注
专栏目录
企业级私有仓库镜像仓库Harbor
xgp666的博客
07-10 250
Harbor 简介 Harbor 是一个用于存储和分发 Docker 镜像企业级 Registry 服务器, 通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。 作为一个企业级私有 Registry 服务器,Harbor 提供了更好的性能和安全。提升用户使用 Registry 构建和运行环境传输镜像的效率。 Harbor 支持安装在多个 Registry 节点的镜像资源复制,镜像全部保存在私有 Registry 中,确保数据和知识产权在公司内部网
Docker--Harbor私有仓库搭建
夏颜的博客
07-23 1291
Harbor是VMware公司开源的企业级DockerRegistry项目,其目标是帮助用户迅速搭建一个企业级DockerRegistry服务。HarborDocker公司开源的Registry为基础,提供了图形管理UI、基于角色的访问控制(RoleBasedAccessControl)、AD/LDAI们成以心宙计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。......
Docker -------harbor 私有仓库概述及构建
weixin_56270746的博客
07-23 1217
有可视化的Web管理界面,可以方便管理Docker镜像,又提供了多个项目的镜像权限管理及控制功能Harbor是VMware公司开源的企业级DockerRegistry项目HarborDocker公司开源的Registry为基础,提供了图形管理UI、基于角色的访问控制(RoleBasedAccessControl)、AD/LDAI们成以心宙计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。...
Docker搭建私有仓库harbordocker 镜像仓库搭建
最新发布
weixin_45697805的博客
07-25 928
Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Docker Harbor是一个企业级Docker Registry服务,旨在提供安全、可靠的镜像存储和管理解决方案。链接:https://pan.baidu.com/s/1rN25l72i6W36ANAOqxcc_w 提取码:1021。官网地址:https://github.com/goharbor/harbor
使用harbor配置私仓
weixin_34177064的博客
08-05 111
安装harbor之前,需要安装好Python,DockerDockerCompose。Python需要2.7以上的版本,Docker需要1.10以上的版本;Docker Compose 需要1.6.0以上的版本。一:安装Docker Composehttps://docs.docker.com/compose/install/中介绍的各种安装方法,只有使用pip的方式才能...
Docker私有harbor搭建
权衡
10-21 373
harbor私有镜像仓库是在docker官方提供的"registry"基础之上二次开发,它包含了registry的核心功能。
搭建Harbor企业级docker仓库-2.7.1
02-22
作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保...
Docker部署私有仓库Harbor
weixin_73059729的博客
06-18 1266
在Web管理界面中单击系统管理-》用户管理-》+创建用户,填写用户名为“kgc-user01”,邮箱为kgc-user01@kgc.cn,全名为“课超新人”,密码为“A123a456”,注释为“管理员”用户创建成功后,单击左侧“…”按钮可将上述创建的用户设置为管理员角色或进行删除操作。单击项目-》myproject-kgc-》成员-》+成员,填写上述创建的用户并分配角色为“开发人员”在WEB UI界面创建新项目的操作步骤如下。按钮,成功创建新项目后,页面效果如下。
harbor-offline-installer-v2.0.1.tgz
07-14
官方地址https://github.com/goharbor/harbor/releases/tag/v2.0.1,可以先尝试从官方下载,如果中断或者下载失败,可以下载此版本。harbor-offline最新版2.0.1 避免龟速下载安装
docker私有仓库搭建harbor
xiaohuibin0541的博客
11-03 1024
1、安装docker-compose $ yum -y install epel-release $ yum -y install python-pip   $ pip install docker-compose $ docker-compose version 如果出现以下错误: Traceback (most recent call last):   File "/usr/b...
docker搭建私有仓库Harbor的全过程
nianjiuhuiyi的博客
12-06 1606
VM开源的docker企业级私有仓库harbor,这是在docker官方registry上做的一个功能完善。直接以最新版本的安装使用开始,以centos7作为演示,其它类似,基本环境: docker安装:直接使用官方脚本curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun 安装完成后:systemctl start docker 启动docker 查看版本:dcoker info docker-compose安装:下载
Docker+Harbor搭建自己的私有仓库
All_Dream_and_you的博客
04-18 373
Docker+Harbor搭建自己的私有仓库
docker搭建Harbor仓库
mingqing的博客
08-04 985
部署Harbor私有镜像仓库
企业项目实战docker篇(三)docker私有镜像仓库搭建
qq_42003848的博客
07-20 310
docker私有镜像仓库搭建一.私有镜像仓库意义二.私有仓库搭建 一.私有镜像仓库意义 Docker Hub作为Docker默认官方公共镜像,如果想要自己搭建私有镜像残酷,官方也提供Registry镜像,使得我们搭建私有仓库变得非常简单。 所谓私有仓库,也就是在本地(局域网)搭建的一个类似公共仓库的东西,搭建好之后,我们可以将镜像提交到私有仓库中。这样我们既能使用 Docker 来运行我们的项目镜像,也避免了商业项目暴露出去的风险。 二.私有仓库搭建 载入镜像 docker load -i registr
记录docker私有仓库harbor搭建使用
qq_23063179的博客
11-19 440
上一篇用docker 搭建了相关服务,接下来便想用docker 、gitlab、jenkins 实现一下自动化部署。最后发现漏了些知识点,就是docker私有仓库docker的自动化部署至关重要的一环,这篇就是记录我研究搭建docker私有仓库的文章。首先docker 本身就有私有仓库registry ,经过查询相关资料便不使用了,功能太少,最主要的是没有web界面管理,这时harbor出现了,这是一款企业级docker私有仓库,拥有中文web界面,实在太友好了。一、下载压缩包并安装运行。
harbor在kubernetes上推荐的部署模式
weixin_34281477的博客
04-09 112
目前官方推荐的部署模式为:https://github.com/vmware/harbor/tree/master/contrib/helm/harbor 之前老的部署模式已经不再推荐,后续也不再更新了:https://github.com/vmware/harbor/blob/master/docs/kubernetes_deployment.md 因此,如何在kubernetes上部署harb...
企业级Docker镜像管理:Harbor搭建私有仓库详解
在深入学习Docker技术的过程中,当我们...选择Harbor作为私有企业级镜像仓库,不仅能解决Docker Hub的不足,还能帮助企业实现高效、安全的容器镜像管理和分发,是企业在数字化转型过程中构建容器生态系统的关键一步。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iwester

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值