Harbor介绍
Harbor介绍
Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目,它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。
官网地址:https://github.com/goharbor/harbor
- 在Kubernetes中,镜像需要在集群的每个节点上都可用,而不仅仅是在Master节点上。如果您只将镜像上传到Master节点,而没有将其推送到其他节点,那么在执行YAML文件时可能会出现问题。
- 当您在Kubernetes中部署一个Pod时,Kubernetes会根据Pod的定义选择一个节点来运行该Pod。如果该节点上没有所需的镜像,那么Pod将无法正常启动。
实验环境:
安装harbor的机器,主机名设置成harbor
机器需要的内存至少要2G,我分配的是4G
机器ip:192.168.40.11
4vCPU/4G内存/100G硬盘
配置SSL证书 (如不做可用http协议)
新开台机器配置主机名
hostnamectl set-hostname harbor && bash
生成ca证书
mkdir /data/ssl -p
cd /data/ssl/
openssl genrsa -out ca.key 3072 #生成一个3072位的key,也就是私钥
openssl req -new -x509 -days 3650 -key ca.key -out ca.pem
#生成一个数字证书ca.pem,3650表示证书的有效时间是3年,按箭头提示填写即可,没有箭头标注的为空:
生成域名的证书:
openssl genrsa -out harbor.key 3072 #生成一个3072位的key,也就是私钥
openssl req -new -key harbor.key -out harbor.csr
#生成一个证书请求,一会签发证书时需要的,标箭头的按提示填写,没有箭头标注的为空:
签发证书:
openssl x509 -req -in harbor.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out harbor.pem -days 3650
初始化
systemctl stop firewalld && systemctl disable firewalld #关防火墙
yum install iptables-services -y #安装iptables
service iptables stop && systemctl disable iptables #禁用iptables
iptables -F #清空防火墙规则
setenforce 0 #关闭selinux
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config #修改selinux配置文件之后,重启机器,selinux才能永久生效
yum install -y ntp ntpdate
ntpdate cn.pool.ntp.org #配置时间同步
crontab -e
* */1 * * * /usr/sbin/ntpdate cn.pool.ntp.org
systemctl restart crond #重启crond服务使配置生效:
分别在docker服务器和harbor服务器 配置hosts文件
rm -rf /etc/hosts
cat >/etc/hosts<<EOF
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.40.10 docker
192.168.40.11 harbor
EOF
在harbor服务器安装基础软件包
yum install -y wget net-tools nfs-utils lrzsz gcc gcc-c++ make cmake libxml2-devel openssl-devel curl curl-devel unzip sudo ntp libaio-devel wget vim ncurses-devel autoconf automake zlib-devel python-devel epel-release openssh-server socat ipvsadm conntrack
安装docker-ce
配置docker-ce国内yum源(阿里云)
yum install -y yum-utils device-mapper-persistent-data lvm2 #安装docker依赖包
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install docker-ce -y #安装docker-ce
systemctl start docker && systemctl enable docker #启动服务
systemctl status docker
docker version
开启包转发功能和修改内核参数
内核参数修改:br_netfilter模块用于将桥接流量转发至iptables链,br_netfilter内核参数需要开启转发。
modprobe br_netfilter
cat > /etc/sysctl.d/docker.conf <<EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
EOF
从docker这台服务器拷贝daemon.json文件到harbor
链接:https://pan.baidu.com/s/1gimM8stpBHVuG2E_ta3VFg?pwd=ss9j
提取码:ss9j
scp /etc/docker/daemon.json 192.168.40.11:/etc/docker/ #在docker这台服务器执行
sysctl -p /etc/sysctl.d/docker.conf
systemctl restart docker #重启docker
systemctl daemon-reload
systemctl restart docker
安装Harbor
创建安装目录
harbor-offline-installer-v2.3.0-rc3.tgz 文件链接:https://pan.baidu.com/s/1CdkwUVQjQ0HiPwE2uLzBLg?pwd=h5t0
提取码:h5t0
mkdir /data/install -p
cd /data/install/ #安装harbor的文件夹
#把harbor的离线包harbor-offline-installer-v2.3.0-rc3.tgz上传到这个目录
#下载harbor离线包的地址:https://github.com/goharbor/harbor/releases/tag/
解压:
tar zxvf harbor-offline-installer-v2.3.0-rc3.tgz
cd harbor
cp harbor.yml.tmpl harbor.yml
修改配置文件:
vim harbor.yml
#修改hostname,跟上面签发的证书域名保持一致
hostname: harbor
#协议用https
certificate: /data/ssl/harbor.pem
private_key: /data/ssl/harbor.key
邮件和ldap不需要配置,在harbor的web界面可以配置
其他配置采用默认即可
修改之后保存退出
注:harbor默认的账号密码:admin/Harbor12345
安装docker-compose
docker-compose-Linux-x86_64文件 链接:https://pan.baidu.com/s/1G1jjNGR_64AMoRjdtE7j1g?pwd=dbir
提取码:dbir
- 上传docker-compose-Linux-x86_64文件到harbor机器
- docker-compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。Docker-Compose的工程配置文件默认为docker-compose.yml,Docker-Compose运行目录下的必要有一个docker-compose.yml。docker-compose可以管理多个docker实例。
- 安装harbor需要的离线镜像包 docker-harbor-2-3-0.tar.gz,可上传到harbor机器,通过docker load -i解压
cd ..
mv docker-compose-Linux-x86_64.64 /usr/bin/docker-compose
chmod +x /usr/bin/docker-compose
cd /data/install/harbor
docker load -i harbor.v2.3.0.tar.gz
./install.sh
出现以下界面就成功了
在自己电脑修改hosts文件
在hosts文件添加如下一行,然后保存即可
192.168.40.11 harbor
如何启停harbor:
如果docker-compose start启动harbor之后,还是访问不了,那就需要重启虚拟机
cd /data/install/harbor
docker-compose stop
cd /data/install/harbor
docker-compose start
Harbor 图像化界面使用说明
在浏览器输入:https://harbor
接受风险并继续,出现如下界面,说明访问正常
账号:admin
密码:Harbor12345
输入账号密码出现如下:
所有基础镜像都会放在library里面,这是一个公开的镜像仓库
新建项目->起个项目名字test(把访问级别公开那个选中,让项目才可以被公开使用)
docker 服务器测试使用harbor私有镜像仓库
vim /etc/docker/daemon.json
增加的内容表示我们内网访问harbor的时候走的是http,192.168.40.11是安装harbor机器的ip
{ "registry-mirrors": ["https://rsbud4vc.mirror.aliyuncs.com","https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"],
"insecure-registries": ["192.168.40.11","harbor"]
}
systemctl daemon-reload && systemctl restart docker #修改配置之后使配置生效:
systemctl status docker
docker服务器镜像上传下载
登录habor
在docker服务器上
docker login 192.168.40.11
#Username:admin
#Password: Harbor12345
导入tomcat镜像,tomcat.tar.gz
上传至harbor
链接:https://pan.baidu.com/s/1hWzXl0veZkGgYz-Z9uSfhA?pwd=hziz
提取码:hziz
- 先登录,登录后给镜像打标签,打完标签在上传
- 在本地把tomcat镜像打标签
- 执行上面命令就会把192.168.40.11/test/tomcat:v1上传到harbor里的test项目下
docker load -i tomcat.tar.gz
docker tag tomcat:latest 192.168.40.11/test/tomcat:v1
docker push 192.168.40.11/test/tomcat:v1
- 以下报错应该是使用了harbor进行访问
denied: requested access to the resource is denied
#建议把harbor更换为IP地址
从harbor仓库下载镜像
在docker这台服务器
docker rmi -f 192.168.40.11/test/tomcat:v1 #删除该镜像
docker images #查看是否还存在tomcat
docker pull 192.168.40.11/test/tomcat:v1 #拉取镜像
也可以登录后点击拉取,看复制命令行,如果域名报错,还请更换为IP
1101
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
