HarBor私有镜像仓库

已于 2022-11-13 20:22:56 修改
阅读量2.8k 收藏 5
点赞数
文章标签: linux 运维 github
于 2022-11-11 22:38:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53150440/article/details/127811855
版权

HarBor是vmware,在github中开源出私有镜像的项目,也是在开源领域里作为私有镜像仓库,以及容器镜像的制品库这一层面的项目代表。它是我们经常能遇见的一个项目。

公司在内部将自己的源代码打包成镜像的时候,需要将自己打包的镜像上传到自己可以控制的地方,如果发布到hub.docker. com里面,全世界所有的人都可以下载,这种情况是它们所不希望的。所以就引出来下面这么一套架构。

在公司内部实现其私有的镜像仓库

首先会有nginx去代理多台harbor的主机,可以用harborA,B实现私有镜像仓库的搭建,可以有多台,这个私有镜像仓库,支持k8s集群大概能支持5000多台的拉取,5000台k8s node节点去拉取harbor里的镜像,harbor是可以承受住的,大概上线是在10台harbor,10个harbor被一个负载均衡器负载,对于harbor内部而言,还要把内部的用户信息,及镜像的tar信息镜像存储的文件层数信息以及相应的哈希值,将其存到一个数据库叫pastgresql,(和mysql所起到的意义一样,比mysql的性能要高很多)两台harbor在拉取镜像的时候所去缓存住的一些信息要把它放到redis里。为了保证redis的稳定性,肯定要放一台redis-cluster。mysql的集群最少3台,postgresql最少是5台机器构成一个集群,在上方nginx还要做好备用机,keepalived做心跳检测,保证其高可用,集群内部没有单点。

十台harbor要把镜像文件存储到相同的地方,而且每次读到的文件都是相同的。还需要有一个共享存储,比如nfs,分布式存储产品ceph/glusterfs(专门应用在k8s外部存储,向内提供存储空间)。在内网中(harbor)推荐用nfs。也就是所有的harbor将镜像的文件会从nfs的共享目录中读取,以及从nfs的共享目录中,由harbor拉取提供给nginx,返回给用户。这些文件都会由nfs提供,而且harbor里面一些必要的用户信息,镜像信息等等,harbor都会去到postgresql进行拉取,在包括多台harbor里涉及到的一些镜像相关的缓存,包括用户之间的一些筛选这些信息都会存到redis-cluster中。

现在单做实验,这个项目中所需要的机器一台nginx,两台harbor,一台redis,一台postgresql,一台nfs。六台机器。

如果内存不够可以缩减一下,nginx一台,harbor两台,redis,postgresql,nfs三个放到一台机器。客户端一台(进行拉取镜像,推送镜像的测试)。

 生产中所需要的机器:两台nginx  10台harbor 6台redis-cluster  postgresql单独成一个集群最小需要5台机器  nfs只需要一台nfs服务器就ok     在生产中这个架构最小的机器台数大概在24台。

配置:nginx比较吃cpu,内存所以对于cpu内存一般给到4核16G 两台8核32G

由于harbor内部运行的是容器,所以它内部可能发生资源的争抢,官方推荐最小的配置是4核4G,而在生产中为了达到一定的效果一般会调整为4核16G,让它稳定的运行。

redis-cluster 每台机器要给64G,

postgresql :吃cpu,内存,磁盘要大

nfs:主要吃网络,io, 网口要给到万兆,存储要巨大:最好给到TB

在阿里云创建的最大节点数是5000(直接买)五套集群,40w,1套正在用,4套灾备,其中一套挂了,另外的立马顶上,

实验开始

nginx一台,harbor两台,redis,postgresql,nfs三个放到一台机器。客户端一台

harbor 4GB 剩下三台1GB

在redis机器

yum -y install nfs-utils     安装nfs的驱动
mkdir -p /data/harbor        在本地创建一个目录

vi /etc/exports    对目录进行一个共享

 systemctl enable --now nfs  启动 

启动完nfs去harborA,B这两台机器,将nfs共享目录挂到这两台机器

[root@harbor-a ~]# mkdir -p /data/harbor  在harborA创建相同的目录(防止混乱)

[root@harbor-a ~]# vi /etc/fstab

挂载到本地的/data/harbor

[root@harbor-b ~]# mkdir -p /data/harbor
[root@harbor-b ~]# vi /etc/fstab

 证明nfs构建好了,而且这两台机器harborA,B /data/harbor所读取到的内容全部来自于nfs这台机器data/harbor。统一了它们的文件路径,内容。

安装redis

[root@redis ~]# cat redis_install.sh  

 [root@redis ~]# vi /usr/local/redis/etc/redis.conf  

 redis安装完毕。

安装postgresql

[root@redis ~]# yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm 把它装到机器里

yum makecache   先看最近有没有版本更新,建议装新版,因为这个新版bug比较少,用的时候和mysql差不多,都是sql语句,相对mysql来说它的性能很强悍。

[root@redis ~]# yum install -y postgresql14-server

[root@redis ~]# /usr/pgsql-14/bin/postgresql-14-setup initdb    做数据库的初始化 

 确保启动它启动成功,然后调配置。

[root@redis ~]# vi /var/lib/pgsql/14/data/postgresql.conf

 [root@redis ~]# vi /var/lib/pgsql/14/data/pg_hba.conf

 md5是一种密码的授权方式,在postgresql数据库中,创建出的用户就可以连接到我们的数据库去控制数据库。

[root@redis data]# systemctl restart postgresql-14  重启让配置生效

 装好了postgresql

安装nginx

 yum -y install nginx

 [root@nginx ~]# vi /etc/nginx/conf.d/default.conf

[root@nginx ~]# mkdir /etc/nginx/certs/
生成证书

 certbot certonly --manual --preferred-challenges dns -d harbor.gg.icu   签证三级域的证书(如果报错连自己手机热点下载)

[root@nginx harbor.gkjt.work]# systemctl restart nginx

harbor配置及启动

 安装harbor
 含义: 对企业内的镜像进行统一的管理,并且harbor还带有用户管理功能, 并且还具备LDAP用户管理域接入功能;

1.事先在两台harbor机其中安装好docker, 并配置好加速器

装harbir之前装好docker,因为harbor所有的服务都是以容器的形式运行,

[root@harbor-a ~]# cd /etc/yum.repos.d
[root@harbor-a yum.repos.d]# wget https://mirrors.ustc.edu.cn/docker-ce/linux/centos/docker-ce.repo  下载仓库

[root@harbor-a yum.repos.d]# sed -i 's#download.docker.com#mirrors.ustc.edu.cn/docker-ce#g' docker-ce.repo    改源地址,对docker版本没要求,最新版最好。

[root@harbor-a yum.repos.d]# yum makecache fast

[root@harbor-a yum.repos.d]# yum -y install docker-ce

配置镜像加速器

将默认的替换成cn

[root@harbor-a docker]# vi /etc/docker/daemon.json

{
    "registry-mirrors": ["https://registry.docker-cn.com"]
}

[root@harbor-a docker]# systemctl daemon-reload
[root@harbor-a docker]# systemctl restart docker.service

harbor-B 同样的操作

 2.安装docker-compose  单台机器中的容器编排,单台机器中的容器编排工作,有时候并不是启动一个容器就满足我们的业务场景,要连续启动多个就需要使用docker-compose。docker-compose就是用于把多个容器同时在一个宿主机上启动起来的工具,类似把docker写成一个脚本。

[root@harbor-a docker]# wget https://mirrors.hiops.icu/packages/docker-compose-linux-x86_64 --no-check-certificate

[root@harbor-a docker]# mv docker-compose-linux-x86_64 /usr/local/bin/docker-compose

[root@harbor-a docker]# chmod a+x /usr/local/bin/docker-compose

[root@harbor-a docker]# ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

下载harbor的离线安装包

[root@harbor-a docker]#  wget https://ghproxy.com/https://github.com/goharbor/harbor/releases/download/v2.5.3/harbor-offline-installer-v2.5.3.tgz

[root@harbor-a docker]# tar xf harbor-offline-installer-v2.5.3.tgz -C /usr/local/   解压

 [root@harbor-a harbor]# vi harbor.yml   修改配置文件

 https不要,https在做加密的时候传输速度慢,在内网里没有必要做加密(尤其是私有镜像仓库,只有公司能访问到,所以没必要加https,注释掉)

 external_url : https://harbor.ggjt.work

# Uncomment external_database if using external database.
external_database:
  harbor:
    host: <postgresql_address>
    port: 5432
    db_name: harbor
    username: harbor
    password: 1123!!
    ssl_mode: disable
    max_idle_conns: 2
    max_open_conns: 0
  notary_signer:
    host: <postgresql_address>
    port: 5432
    db_name: notary_signer
    username: notary_signer
    password:1123!!
    ssl_mode: disable
  notary_server:
    host: <postgresql_address>
    port: 5432
    db_name: notary_server
    username: notary_server
    password: 11123!!
    ssl_mode: disable

# Uncomment external_redis if using external Redis server
external_redis:
  # support redis, redis+sentinel
  # host for redis: <host_redis>:<port_redis>
  # host for redis+sentinel:
  #  <host_sentinel1>:<port_sentinel1>,<host_sentinel2>:<port_sentinel2>,<host_sentinel3>:<port_sentinel3>
  host: <redis_address>:6379
  #password:
  # sentinel_master_set must be set to support redis+sentinel
  #sentinel_master_set:
  # db_index 0 is for core, it's unchangeable
  registry_db_index: 1
  jobservice_db_index: 2
  chartmuseum_db_index: 3
  trivy_db_index: 5
  idle_timeout_seconds: 30

:set paste    告诉要粘贴了 再按i    : % s/postgresql/192.168.22.200/   数据库的ip

 回到数据库机器中

postgres=# CREATE DATABASE harbor;
CREATE DATABASE
postgres=# CREATE DATABASE notary_signer;
CREATE DATABASE
postgres=# CREATE DATABASE notary_server;
CREATE DATABASE

postgres=# CREATE USER harbor WITH PASSWORD 'Harbor123!!';
CREATE ROLE
postgres=# CREATE USER notary_signer WITH PASSWORD 'Harbor123!!';
CREATE ROLE
postgres=# CREATE USER notary_server WITH PASSWORD 'Harbor123!!';
CREATE ROLE

postgres=# GRANT ALL PRIVILEGES ON DATABASE harbor TO harbor;
GRANT
postgres=# GRANT ALL PRIVILEGES ON DATABASE notary_signer TO notary_signer;
GRANT
postgres=# GRANT ALL PRIVILEGES ON DATABASE notary_server TO notary_server;

 postgresql数据库创建完了,跟配置文件对应起来了。

回到harbor中

[root@harbor-a harbor]# ./prepare 运行它,做一部分的准备工作,生成一系列的配置文件

 

[root@harbor-a harbor]# ./install.sh   将harbor涉及到的容器进程启动起来

 

 【注意】少熬夜,多看书。

你是我的导航
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
harbor镜像仓库介绍
魏志标的博客
05-07 4157
一、介绍 Harbor,是一个英文单词,意思是港湾,港湾是干什么的呢,就是停放货物的,而货物呢,是装在集装箱中的,说到集装箱,就不得不提到Docker容器,因为docker容器的技术正是借鉴了集装箱的原理。所以,Harbor正是一个用于存储Docker镜像的企业级Registry服务。 Registry是Dcoker官方的一个私有仓库镜像,可以将本地的镜像打标签进行标记然后push到以Registry起的容器的私有仓库中。企业可以根据自己的需求,使用Dokcerfile生成自己的镜像,并推到私有仓库中,这样
使用harbor搭建docker镜像私有仓库
weixin_48192495的博客
11-18 1130
目录一. harbor的概述1.1 Harbor 的介绍1.2 Docker 私有仓库架构拓扑二. Harbor构建Docker私有仓库2.1 案例设计2.2 部署Harbor2.21 下载Harbor安装程序2.22 配置Harbor参数文件2.23 安装docker-compose 容器编排工具2.24 启动Harbor2.25 web网页登陆测试(图像化管理docker私有仓库镜像)2.26 创建Harbor 用户 一. harbor的概述 1.1 Harbor 的介绍 Harbor 是VMwar
Docker与Harbor:构建企业级私有Docker镜像仓库
最新发布
hy199707的博客
05-08 1100
随着容器化技术的普及,Docker已成为现代软件开发不可或缺的一部分。然而,当团队规模扩大,对镜像的安全管理、版本控制以及高效分发的需求日益凸显,公共Docker Hub可能无法满足企业级的安全与性能要求。这时,部署一个私有Docker镜像仓库变得至关重要。Harbor,作为由VMware开源的企业级Docker Registry管理平台,以其全面的安全特性、用户管理、以及镜像复制等功能,成为构建私有仓库的理想选择
4.私有镜像仓库
驰兔的博客
02-13 509
docker私有镜像仓库的使用。
Harbor私服镜像库安装教程(超详细)
weixin_49862903的博客
04-26 1264
Harbor是一个开源注册表,它使用策略和基于角色的访问控制来确保工件的安全性,确保镜像经过扫描且没有漏洞,并签署镜像作为可信图像。Harbor是CNCF的一个毕业项目,它提供合规性、性能和互操作性,帮助您一致且安全地管理跨和等云原生计算平台的工件。
docker之Harbor私有仓库
youdiannana的博客
10-31 113
总共分为7个容器运行,通过在docker-compose.yml所在目录中执行 docker-compose ps 命令来查看, 名称分别为:nginx、harbor-jobservice、harbor-ui、harbor-db、harbor-adminserver、registry、harbor-log。如果进入 Harbor.cfg,只会在第一次启动 Harbor 时生效,随后对这些参数的更新,Harbor.cfg 将被忽略。之后, 此设置将被忽略,并且应在 UI 中设置管理员的密码。
Harbor私有镜像仓库部署包
03-15
解压得到部署harbor私有镜像仓库所需的docker-ce、docker-compose、harbor包。 1.环境准备 可使用已下载好的包,也可自行下载。 2.安装docker 部署docker,安装后需进行重启,使docker接管iptables规则 3.配置镜像...
如何使用Harbor私有镜像仓库.zip
05-28
本视频详细总结了如何使用Harbor私有镜像仓库,视频教程:https://www.bilibili.com/video/BV1ss4y1T7gB?p=1
如何在Centos7中安装Harbor私有镜像仓库.zip
05-26
本压缩文件详细总结了如何在Centos7中安装Harbor私有镜像仓库,视频教程:https://www.bilibili.com/video/BV1ZN411y73o/?spm_id_from=333.999.0.0
Harbor2.6.0 最新版私有镜像仓库
09-03
Harbor2.6.0 最新版私有镜像仓库
详解基于Harbor搭建Docker私有镜像仓库
09-30
主要介绍了详解基于Harbor搭建Docker私有镜像仓库,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
部署Harbor私有镜像仓库(无坑)!
热门推荐
YinYiHang的博客
04-29 4万+
Harbor私有镜像仓库无坑搭建 目录 1. harbor介绍 2. docker-ce的安装 3. docker-compose的安装 4. Harbor私有仓库的安装 5. 客户端连接镜像仓库配置过程 1. harbor介绍 Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方...
Harbor仓库概述
H_YANG__的博客
09-18 3561
一:安装1:安装harbor将包拖到/opt目录下,解压至/usr/local/目录下2:修改配置文件第五行:主机,第59行:密码3:启动二:本机上传下载镜像1:先登陆2:下载镜像,并打标签3:上传仓库三:其他客户端上传镜像1:如果正常登陆会报错,需要改配置文件,配置文件位置:/usr/lib/systemd/system/docker.service。
Docker之harbor私有仓库的部署与管理
weixin_71429850的博客
10-22 4409
1、基于角色的访问控制 - 用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。2、镜像复制 - 镜像可以在多个Registry实例中复制(同步)。尤其适合于负载均衡,高可用,混合云和多云的场景。3、图形化用户界面 - 用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。4、AD/LDAP 支持 - Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。
docker容器:harbor私有仓库部署与管理
FASTg的博客
05-04 234
docker容器:harbor私有仓库部署与管理
Docker Harbor镜像管理仓库2.0搭建与使用详解
小楼一夜听春雨,深巷明朝卖杏花
11-13 5431
Harbor 概述 Harbor是由VMWare公司开源的容器镜像仓库。事实上,Harbor是在Docker Registry上进行了相应的企业级扩展, 从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制 ,AD/LDAP集成以及 审计日志等,足以满足基本企业需求。 官方:https://goharbor.io/ Github:https://github.com/goharbor/harbor Harbor有两个版本,之前使用的是1版本,这里使用2.0版本 ...
【K8S 六】Harbor镜像仓库高可用方案(更新:2022-06-21)
刘元林的博客
06-14 3122
主备方案一:Push镜像到主节点,每次通过vip登录即可(无需判断节点角色),备节点设置“Pull-based”复制模式和“定时”触发模式高频拉取镜像:每小时甚至每分钟拉取一次;(资源浪费) 主备方案二:Push镜像到备节点,每次登录需要先判断哪个是备节点(因为vip会浮动),备节点设置“Push-based”复制模式和“事件驱动”触发模式推送镜像;(较完美:Push镜像到备节点,需要在操作台设置备节点IP到reg.harbor.4a的映射) ............
Docker以及私有镜像仓库搭建
weixin_43730516的博客
10-04 1770
镜像就是将应用程序及其需要的系统函数库、环境、配置、依赖打包而成DockerFile就是一个文本文件,其中包含一个个的指令,用指令来说明要执行什么操作来构建镜像。每一个指令都会形成一层Layer指令说明示例FROM指定基础镜像ENV设置环境变量,可在后面指令使用COPY拷贝本地文件到镜像的指定目录RUN执行Linux的shell命令,一般是安装命令EXPOSE指定容器运行时监听的端口,是给镜像使用者看的ENTRYPOINT镜像中应用的启动命令,容器运行时调用。
harbor创建及发布使用
一头扎进技术的海洋,不知何时能上岸。
08-05 323
harbor创建及发布使用
使用HTTPS访问Docker私有镜像仓库Harbor的配置方法
watermelonbig的专栏
09-12 3866
由于Harbor未附带任何证书,因此默认情况下使用HTTP来提供注册表请求。 但是,强烈建议为任何生产环境启用安全性。 Harbor有一个Nginx实例作为所有服务的反向代理,所以可以使用prepare脚本配置Nginx以启用https。 考虑到Docker服务访问Registry已经是默认使用https方式,我们并不希望因为使用Harbor作为镜像仓库,而去修改docker的启动参数。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你是我的导航

谢谢您的打赏,您的鼓励。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值