Docker--私有仓库Harbor建立

最新推荐文章于 2024-05-19 23:31:10 发布

XuZoVv

最新推荐文章于 2024-05-19 23:31:10 发布

阅读量235

点赞数 1

文章标签： docker

本文链接：https://blog.csdn.net/weixin_55905026/article/details/120298777

版权

Docker--私有仓库Harbor建立

Harbor概述
部署Harbor服务

Harbor概述

Docker Harbor有可视化的Web管理界面，可以方便管理Docker镜像，又提供了多个项目的镜像权限管理及控制功能

Harbor的优势

基于角色控制:有管理员与普通用户，可赋权普通用户，比如只能上传和下载，可根据项目来进行操作和管理
基于镜像的复制策略:也与权限相关，比如有只一-些用户与组才能对此项目进行相对应的操作
支持LDAP/AD: 域控制，比如南京去下载北京harbor
私有仓库的镜像，两端打上，局域网的地址，连接在一一块，数据信息的传输通过一条隧道，会通过两层加密，第一层为隧道
加密，第二层为数据加密，安全可靠
图像删除和垃圾收集:即回收站机制
图形UI:具有统计功能，比如访问量与镜像^下载热度
审计:日志，这里意义不大，主要还是借助于ELK
RESTful API:定义Web 语言规范的格式，方便调用Harbor 的接口，也便于二次开发

Harbor组件

组件	作用
Proxy	通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务
Registry (核心组件)	负责储存Docker镜像，并处理docker push/pull命令
Core services	Harbor的核心功能，包括UI、webhook、 token服务
Database	为core services提供数据库服务
Log collector	负责收集其他组件的log，供日后进行分析

Docker私有仓库拓扑图：
在这里插入图片描述

关于 Harbor.cfg 配置文件中有两类参数

1.所需参数

如果用户更新它们并运行 install.sh脚本重新安装 Harbor，参数将生效。具体参数如下：

hostname：用于访问用户界面和 register 服务。它应该是目标机器的 IP 地址或完全限定的域名（FQDN）
例如 192.168.35.40 或 hub.klj.cn。不要使用 localhost 或 127.0.0.1 为主机名。
ui_url_protocol：（http 或 https，默认为 http）用于访问 UI 和令牌/通知服务的协议。如果公证处于启用状态，则此参数必须为 https。（身份验证时会向Mysql数据库进行比对，然后授予令牌）
max_job_workers：镜像复制作业线程。
db_password：用于db_auth 的MySQL数据库root 用户的密码。
customize_crt：该属性可设置为打开或关闭，默认打开。打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌。当由外部来源提供密钥和根证书时，将此属性设置为 off。
ssl_cert：SSL 证书的路径，仅当协议设置为 https 时才应用。
ssl_cert_key：SSL 密钥的路径，仅当协议设置为 https 时才应用。
secretkey_path：用于在复制策略中加密或解密远程 register 密码的密钥路径。

2.可选参数

这些参数对于更新是可选的，即用户可以将其保留为默认值，并在启动 Harbor 后在 Web UI 上进行更新。
如果进入 Harbor.cfg，只会在第一次启动 Harbor 时生效，随后对这些参数的更新，Harbor.cfg 将被忽略。
注意：如果选择通过UI设置这些参数，请确保在启动Harbour后立即执行此操作。具体来说，必须在注册或在 Harbor 中创建任何新用户之前设置所需的auth_mode。当系统中有用户时（除了默认的 admin 用户），auth_mode 不能被修改。具体参数如下：

Email：Harbor需要该参数才能向用户发送“密码重置”电子邮件，并且只有在需要该功能时才需要。在默认情况下SSL连接时没有启用。如果SMTP服务器需要SSL，但不支持STARTTLS，那么应该通过设置启用SSL email_ssl = TRUE。
harbour_admin_password：管理员的初始密码，只在Harbour第一次启动时生效。之后，此设置将被忽略，并且应 UI中设置管理员的密码。
请注意，默认的用户名/密码是 admin/Harbor12345。
auth_mode：使用的认证类型，默认情况下，它是 db_auth，即凭据存储在数据库中。对于LDAP身份验证(以文件形式验证)，请将其设置为 ldap_auth。
self_registration：启用/禁用用户注册功能。禁用时，新用户只能由 Admin 用户创建，只有管理员用户可以在 Harbour中创建新用户。
注意：当 auth_mode 设置为 ldap_auth 时，自注册功能将始终处于禁用状态，并且该标志被忽略。
Token_expiration：由令牌服务创建的令牌的到期时间（分钟），默认为 30 分钟。
project_creation_restriction：用于控制哪些用户有权创建项目的标志。默认情况下，每个人都可以创建一个项目。如果将其值设置为“adminonly”，那么只有 admin 可以创建项目。
verify_remote_cert：打开或关闭，默认打开。此标志决定了当Harbor与远程 register 实例通信时是否验证 SSL/TLS 证书。将此属性设置为 off 将绕过 SSL/TLS 验证，这在远程实例具有自签名或不可信证书时经常使用。

部署Harbor服务

1.下载 Harbor 安装程序

修改daemon.json

[root@harbor yum.repos.d]# vim /etc/docker/daemon.json 
{
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "100m"
  },
  "insecure-registries": [
      "192.168.220.101"				//存放harbor仓库服务器地址
  ],
  "storage-driver": "overlay2",
  "storage-opts": [
    "overlay2.override_kernel_check=true"
  ]
}
[root@docker yum.repos.d]# systemctl daemon-reload 
[root@docker yum.repos.d]# systemctl restart docker

安装docker-compose

[root@docker yum.repos.d]# curl -L https://get.daocloud.io/docker/compose/releases/download/1.25.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose 
[root@docker yum.repos.d]# chmod 755 -R /usr/local/bin/docker-compose 
[root@docker yum.repos.d]# docker-compose -v
docker-compose version 1.25.1, build a82fef07

安装harbor

[root@docker ~]# tar zxvf harbor-offline-installer-v1.9.3.tgz -C /opt/
harbor/harbor.v1.9.3.tar.gz
harbor/prepare
harbor/LICENSE
harbor/install.sh
harbor/harbor.yml
[root@docker ~]# cd /opt
[root@docker opt]# ls
consul-template_0.19.3_linux_amd64.zip  harbor        rh
containerd                              nginx-1.12.2  stress

2.配置 Harbor 参数文件

[root@docker opt]# vim harbor/harbor.yml
5 hostname = 192.168.220.101		//修改成本机地址

3.启动 Harbor

[root@docker harbor]# ls
harbor.v1.9.3.tar.gz  harbor.yml  install.sh  LICENSE  prepare
[root@docker harbor]# nohup ./install.sh &

在这里插入图片描述

4.新建项目

在这里插入图片描述

5.推送镜像到harbor仓库

[root@docker harbor]# docker images
REPOSITORY                      TAG                             IMAGE ID       CREATED         SIZE
nginx                           new                             08b80aab07b0   5 days ago      539MB
[root@docker harbor]# docker tag 08b80aab07b0 192.168.220.101/xzw/nginx-01
[root@docker harbor]# docker images
REPOSITORY                      TAG                             IMAGE ID       CREATED         SIZE
192.168.220.101/xzw/nginx-01    latest                          08b80aab07b0   5 days ago      539MB
192.168.220.101:5000/nginx      latest                          08b80aab07b0   5 days ago      539MB
nginx                           new                             08b80aab07b0   5 days ago      539MB
[root@docker harbor]# docker login -u admin -p Harbor12345 http://192.168.220.101
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
//登录过程如果出现https加密报错，在/usr/lib/systemd/system/docker.service文件中的ExecStart=/usr/bin/dockerd那里fd://后面添加--insecure-registry 192.168.220.101即可

[root@docker harbor]# docker push 192.168.220.101/xzw/nginx-01
Using default tag: latest
The push refers to repository [192.168.220.101/xzw/nginx-01]
dfaa29d5d5d5: Pushed 
9c4d361fbdc3: Pushed 
960cc91c2969: Pushed 
c92b24de3fab: Pushed 
274d94e14224: Pushed 
174f56854903: Pushed 
latest: digest: sha256:c87d5313e852e54c816ac7780d1b27496cda38d7c47e3011eb003b75d112f68b size: 1579

在这里插入图片描述
上传成功

6.Harbor 服务器非本地操作

以上操作都是在 Harbor 服务器本地操作。如果其他客户端上传镜像到 Harbor，就会报
如下错误。出现这问题的原因 Docker Registry 交互默认使用的是 HTTPS，但是搭建私有镜
像默认使用的是 HTTP 服务，所以与私有镜像交互时出现以下错误。

[root@server ~]#  docker login  -u admin -p Harbor12345 http://192.168.220.101
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get "https://192.168.220.101/v2/": dial tcp 192.168.220.101:443: connect: connection refused

修改私有仓库地址

[root@server ~]# vim /usr/lib/systemd/system/docker.service

在这里插入图片描述

[root@server ~]# systemctl daemon-reload 
[root@server ~]# systemctl restart docker

重新登陆

[root@server ~]#  docker login  -u admin -p Harbor12345 http://192.168.220.101
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

下载私有仓库文件

[root@server ~]# docker pull 192.168.220.101/xzw/nginx-01:latest
latest: Pulling from xzw/nginx-01
2d473b07cdd5: Pull complete 
4397341300ef: Pull complete 
fa6553517e8b: Pull complete 
59dccddb66f0: Pull complete 
c76897aa3b59: Pull complete 
768376d46b62: Pull complete 
Digest: sha256:c87d5313e852e54c816ac7780d1b27496cda38d7c47e3011eb003b75d112f68b
Status: Downloaded newer image for 192.168.220.101/xzw/nginx-01:latest
192.168.220.101/xzw/nginx-01:latest
[root@server ~]# docker images
REPOSITORY                     TAG       IMAGE ID       CREATED       SIZE
nginx                          latest    ad4c705f24d3   4 days ago    133MB
192.168.220.101/xzw/nginx-01   latest    08b80aab07b0   5 days ago    539MB
httpd                          latest    f34528d8e714   11 days ago   138MB
gliderlabs/registrator         latest    3b59190c6c80   5 years ago   23.8MB

XuZoVv

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Docker--私有仓库Harbor建立

Docker--私有仓库Harbor建立Harbor概述Harbor的优势Harbor组件关于 Harbor.cfg 配置文件中有两类参数1.所需参数2.可选参数部署Harbor服务1.下载 Harbor 安装程序修改daemon.json安装docker-compose安装harbor2.配置 Harbor 参数文件3.启动 Harbor4.新建项目5.推送镜像到harbor仓库6.Harbor 服务器非本地操作修改私有仓库地址下载私有仓库文件Harbor概述Docker Harbor有可视化的Web
复制链接

扫一扫