容器化之-可视化镜像仓库管理(Harbor+阿里云oss)

最新推荐文章于 2024-10-02 08:30:00 发布
最新推荐文章于 2024-10-02 08:30:00 发布
阅读量3.1k 收藏 2
点赞数 1
分类专栏: 容器化 文章标签: Harbor oss 仓库 docker 容器化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaodunlin/article/details/108392688
版权

什么是Harbor

Harbor是一个开放源代码注册中心,它通过策略和基于角色的访问控制来保护工件,确保扫描图像并使其免受漏洞侵害,并将图像签名为受信任的。Harbor是CNCF毕业的项目,可提供合规性,性能和互操作性,以帮助您跨Kubernetes和Docker等云原生计算平台持续,安全地管理工件。

介绍:

1、离线安装harbor

2、配置harbor https 相关证书openssl 生成

3、利用docker 命令登录harbor

4、演示将本地镜像上传到服务器

5、将harbor镜像下载并安装到虚拟机中

一、离线安装harbor

 1、镜像下载:https://github.com/goharbor/harbor/releases

       wget https://github.com/goharbor/harbor/releases/download/v2.0.2/harbor-offline-installer-v2.0.2.tgz

 配置文档可以参考:https://goharbor.io/docs/2.0.0/install-config/

2.安装

tar -zxvf harbor-offline-installer-v2.0.2.tgz

修改配置文件:

Linux下配置dns解析

vim /etc/hosts

192.168.1.10 harbor

vim harbor.yml

hostname: harbor   #如果有域名,就写域名,没有域名就写IP,一定不要有大写字母,因为tag重命名或者bulid镜像不让用大写字母,  这就导致pull不了镜像。

  certificate: /data/harbor/cert/            #证书地址

  private_key: /ssl/private/key/path       #证书地址

重点注意:一定要重点注意:

harbor.yml  中注意的事项:

# http related config

http:                                                      http:前面一定不要有空格,顶格写

  # port for http, default is 80. If https enabled, this port will redirect to https port

  #port: 80                   

  port: 8888                                     

# https related config

# https:                       开启https

https:                                                      https:前面一定不要有空格,顶格写 ,一定一定注意,

#   # https port for harbor, default is 443

#   port: 443                  https是需要ssl作为加密,所以443位ssl端口

    port: 443                                             

#   # The path of cert and key files for nginx

#   certificate: /your/certificate/path

#   private_key: /your/private/key/path

    certificate: /your/certificate/path      证书地址     

    private_key: /your/private/key/path      证书地址

如果 http: 和https:  没有顶格写,结果是在你制作./install.sh   hartbor后,发现 goharbor/nginx-photon:v1.9.3 中的PORTS没有端口映射,导致根本没有加载 http:  无法访问hartbor

二、配置harbor https 相关证书openssl 生成

配置ssl:   https://goharbor.io/docs/2.0.0/install-config/configure-https/

 1生成证书颁发机构证书

 1.1、生成CA证书私钥

 openssl genrsa -out ca.key 4096

  1.2、生成CA证书。 

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性。

  1. 官方文档:
  2. openssl req -x509 -new -nodes -sha512 -days 3650 \      生成3650天
  3.  -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
  4.  -key ca.key \
  5.  -out ca.crt

2、生成服务器证书

1.1、生成私钥。

 openssl genrsa -out yourdomain.com.key 4096

 修改:把yourdomain.com 修改为harbor.yml 中hostname: harbor中的harbor。

openssl genrsa -out harbor.key 4096

2.2、生成证书签名请求(CSR)。

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性,并在密钥和CSR文件名中使用它。

官方文档:

  1. openssl req -sha512 -new \
  2.     -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
  3.     -key yourdomain.com.key \
  4.     -out yourdomain.com.csr

修改:把yourdomain.com 修改为harbor.yml 中hostname: harbor中的harbor。

  1. openssl req -sha512 -new \
  2.     -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor" \
  3.     -key harbor.key \
  4.     -out harbor.csr

  1.3、生成一个x509 v3扩展文件。

无论您使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为您的Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映您的域

  1. 如果是域名的方式

官方文档:

  1. cat > v3.ext <<-EOF
  2. authorityKeyIdentifier=keyid,issuer
  3. basicConstraints=CA:FALSE
  4. keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
  5. extendedKeyUsage = serverAuth
  6. subjectAltName = @alt_names
  7. [alt_names]
  8. DNS.1=yourdomain.com
  9. DNS.2=yourdomain
  10. DNS.3=hostname
  11. EOF

  1. 修改:
  2. cat > v3.ext <<-EOF
  3. authorityKeyIdentifier=keyid,issuer
  4. basicConstraints=CA:FALSE
  5. keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
  6. extendedKeyUsage = serverAuth
  7. subjectAltName = @alt_names
  8. [alt_names]
  9. DNS.1=harbor    修改为harbor.yml hostname: harbor中的harbor。也就是域名
  10. DNS.2=其他的域名
  11. DNS.3=hostname
  12. EOF

        2.harbor.yml 中hostname: 192.168.1.10   添加的是IP

  1. 官方文档:
  2. cat > v3.ext <<-EOF
  3. authorityKeyIdentifier=keyid,issuer
  4. basicConstraints=CA:FALSE
  5. keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
  6. extendedKeyUsage = serverAuth
  7. subjectAltName = @alt_names
  8. EOF

  1. 修改:
  2. cat > v3.ext <<-EOF
  3. authorityKeyIdentifier=keyid,issuer
  4. basicConstraints=CA:FALSE
  5. keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
  6. extendedKeyUsage = serverAuth
  7. #subjectAltName = @alt_names
  8. subjectAltName = IP:192.168.1.10
  9. EOF

1.4、使用该v3.ext文件为您的Harbor主机生成证书

openssl x509 -req -sha512 -days 3650 \

>  -extfile v3.ext \

>   -CA ca.crt -CAkey ca.key -CAcreateserial \

> -in harbor.csr \

> -out harbor.crt

3、提供证书给Harbor和Docker

  1.1、生成后ca.crt,yourdomain.com.crt和yourdomain.com.key文件,必须将它们提供给港口和码头工人,和重新配置港使用它们

官方文档:

  1. 将服务器证书和密钥复制到Harbor主机上的certficates文件夹中。
  2. cp yourdomain.com.crt /data/cert/
  3. cp yourdomain.com.key /data/cert/

 

  1. 修改:
  2. mkdir /data/harbor/cert
  3. cp harbor.crt /data/harbor/cert/
  4. cp harbor.key /data/harbor/cert/

1.2、转换yourdomain.com.crt为yourdomain.com.cert,供Docker使用。

   Docker守护程序将.crt文件解释为CA证书,并将.cert文件解释为客户端证书。

  1. 官方文档:
  2. openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert
  3.  
  4. 修改:
  5. openssl x509 -inform PEM -in harbor.crt -out harbor.cert

1.3、将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。您必须首先创建适当的文件夹。

如果将默认nginx端口443 映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port。

  1. 官方文档:
  2. cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
  3. cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
  4. cp ca.crt /etc/docker/certs.d/yourdomain.com/
  5.  
  6. 修改:
  7. mkdir -p /etc/docker/certs.d/harbor/
  8. cp harbor.cert /etc/docker/certs.d/harbor/
  9. cp harbor.key /etc/docker/certs.d/harbor/
  10. cp harbor.crt /etc/docker/certs.d/harbor/

更改  vim harbor.yml 

添加OSS配置

oss 参数说明

官网说明:https://docs.docker.com/registry/storage-drivers/oss/

主配置文件中的oss部分参数

# 以下参数选项不清楚,可查阅官网说明

 44 storage_service:

 45   oss:

 46     accesskeyid: 填写你的具有阿里云oss权限账户的RAM的AccessKey ID

 47     accesskeysecret: 填写你的具有阿里云oss权限账户的RAM的AccessKey Secret

 48     region: 地域节点(EndPoint)

 49     endpoint: Bucket 域名

 50     bucket: Bucket 名称

 51     secure: false

  修改harbor配置

在主配置文件(harbor.yml)中打开"storage_service"的注释,然后加入以下内容:

storage_service:

  oss:

    accesskeyid:  

    accesskeysecret:  

    region: oss-cn-hangzhou

    endpoint: ops-docker.oss-cn-hangzhou.aliyuncs.com

    bucket: ops-docker

    secure: false

重新启动Docker Engine。

   systemctl restart docker

5、启动harbor

 4.1 校验:  

运行prepare脚本以启用HTTPS。

Harbor将nginx实例用作所有服务的反向代理。您可以使用prepare脚本来配置nginx为使用HTTPS。该prepare在港的安装包,在同级别的install.sh脚本。 

预编译,如果不连接网克罗会失败,但是不影响安装harbor

 ./prepare

prepare base dir is set to /data/harbor/harbor

Unable to find image 'goharbor/prepare:v2.0.2' locally

v2.0.2: Pulling from goharbor/prepare

07cd1d2c25e7: Pulling fs layer

8619c71f6190: Pulling fs layer

383992c4c4a1: Pulling fs layer

176c2d89ef30: Waiting

2b2aec6b7bd9: Waiting

d50e9b907385: Waiting

94d7a7b9afbb: Waiting

./prepare

prepare base dir is set to /data/harbor/harbor

Generated configuration file: /config/core/app.conf

Generated configuration file: /config/registry/config.yml

Generated configuration file: /config/registryctl/env

Generated configuration file: /config/db/env

Generated certificate, key file: /secret/core/private_key.pem, cert file: /secret/registry/root.crt

Generated configuration file: /compose_location/docker-compose.yml

Clean up the input dir                                代表检出无误

6、安装harbur

方法一1:

 ./install.sh 

✔ ----Harbor has been installed and started successfully.----        代表成功  

Now you should be able to visit the admin portal at https://jerry.  访问https://jerry.

For more details, please visit https://github.com/goharbor/harbor .

Cent7安装Docker-Compose

Docker-Compose是一个部署多个容器的简单但是非常必要的工具.

#安装docker-compose

curl -L https://get.daocloud.io/docker/compose/releases/download/1.24.1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose

curl -L https://github.com/docker/compose/releases/download/1.24.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

docker-compose up -d    后台启动,如果容器不存在根据镜像自动创建

其他容器核心命令:

docker-compose ps 

docker-compose down -v   停止容器并删除容器

docker-compose start  启动容器,不存在不启动,无法自动创建容器

docker-compose stop  停止

docker-compose stop  查看日志,harbor 日志在/var/logs/harbor/

方法二:harbor服务

# 启动harbor服务

$ docker-compose up -d

查看 harbor服务状态

docker-compose  ps

      Name                     Command                 State                          Ports                   

---------------------------------------------------------------------------------------------------------------

harbor-core         /harbor/entrypoint.sh            Restarting                                               

harbor-db           /docker-entrypoint.sh            Up           5432/tcp                                    

harbor-jobservice   /harbor/entrypoint.sh            Up                                                       

harbor-log          /bin/sh -c /usr/local/bin/ ...   Up           127.0.0.1:1514->10514/tcp                   

harbor-portal       nginx -g daemon off;             Up           8080/tcp                                     

nginx               nginx -g daemon off;             Up           0.0.0.0:8088->8080/tcp, 0.0.0.0:443->8443/tcp

redis               redis-server /etc/redis.conf     Restarting                                                

registry            /home/harbor/entrypoint.sh       Up           5000/tcp                                    

registryctl         /home/harbor/start.sh            Up        

测试 Harbor服务

上传一个镜像

# 登录

$ docker login harbor

# 上传一个nginx镜像进行测试

$ docker tag nginx:v1 harbor/docker/nginx:v2

$ docker push nginx:v1 harbor/docker/nginx:v2

登录harbor查看

在登录OSS查看

会在OSS的bucket里自动创建一个docker目录,用于存储镜像文件

送上hostname : 192.168.1.10

  1. vim harbor.yml
  2.  
  3. hostname: 192.168.1.10
  4.  
  5. # http related config
  6. http:
  7.   # port for http, default is 80. If https enabled, this port will redirect to https port
  8.   port: 80
  9.  
  10. # https related config
  11. https:
  12. #   # https port for harbor, default is 443
  13.   port: 443
  14. #   # The path of cert and key files for nginx
  15.   certificate: /data/cert/192.168.1.10.crt
  16.   private_key: /data/cert/192.168.1.10.key
  17.  
  18.  
  19. openssl genrsa -out ca.key 4096
  20.  
  21. openssl req -x509 -new -nodes -sha512 -days 3650 \
  22.  -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=192.168.1.10" \
  23.  -key ca.key \
  24.  -out ca.crt
  25.  
  26. openssl genrsa -out 192.168.1.10.key 4096
  27.  
  28. openssl req -sha512 -new \
  29.    -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=192.168.1.10" \
  30.    -key 192.168.1.10.key \
  31.    -out 192.168.1.10.csr
  32.    
  33. cat > v3.ext <<-EOF
  34. authorityKeyIdentifier=keyid,issuer
  35. basicConstraints=CA:FALSE
  36. keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
  37. extendedKeyUsage = serverAuth
  38. subjectAltName = IP:192.168.1.10
  39. EOF
  40.  
  41. openssl x509 -req -sha512 -days 3650 \
  42.     -extfile v3.ext \
  43.     -CA ca.crt -CAkey ca.key -CAcreateserial \
  44.     -in 192.168.1.10.csr \
  45.     -out 192.168.1.10.crt
  47. mkdir -p /data/cert/
  48. cp 192.168.1.10.crt /data/cert/
  49. cp 192.168.1.10.key /data/cert/
  50.  
  51. openssl x509 -inform PEM -in 192.168.1.10.crt -out 192.168.1.10.cert
  52.  
  53. mkdir -p /etc/docker/certs.d/192.168.1.10/
  54. cp 192.168.1.10.cert /etc/docker/certs.d/192.168.1.10/
  55. cp 192.168.1.10.key /etc/docker/certs.d/192.168.1.10/
  56. cp ca.crt /etc/docker/certs.d/192.168.1.10/

  1. ./prepare
  2. docker-compose uo -d

 

 

 

 

 

管哥的运维私房菜
关注
专栏目录
harbor配置oss1
08-08
harbor配置oss1
harbor安装_Harbor简单安装部署,镜像仓库存储使用阿里云OSS
weixin_39634997的博客
11-30 1084
使用docker-compose创建,此方法简单,问题是无法做到高可用。环境准备:Harbor使用最新版本的harbor-offline-installer-v2.0.2.tgz下载链接:https://github.com/goharbor/harbor/releases/download/v2.0.2/harbor-offline-installer-v2.0.2.tgz软件要求:docker...
一文掌握Harbor镜像同步公有云镜像仓库实践
最新发布
StevenZeng学堂
10-02 1327
❤️摘要: 在云原生应用的开发和部署过程中,镜像管理是关键的一环。为了保证高效、安全的镜像分发到多云环境,企业往往使用多个公有云的镜像服务建设自有的镜像仓库来存储业务镜像。在本文中,我们将介绍如何将容器镜像Harbor 推送到 阿里云镜像仓库,实现镜像的同步与加速分发。
[每周一更]-(第45期):Docker私有镜像仓库配置并打通阿里云OSS
hmx224_2014的专栏
12-29 1493
Docker Registry 2 官方镜像创建一个私有镜像仓库,将Docker 镜像上传到 OSS 相应的路径中。自定义制作一个 Docker镜像,上传到阿里云容器镜像服务仓库中或者使用 registry 工具上传到阿里云 OSS
Docker】搭建私有镜像仓库(带有图形界面版本)
专注于Java领域开发 关注我 带你玩转Java
02-25 610
docker搭建图像界面私有仓库
私有镜像仓库的搭建管理
weixin_57128596的博客
05-12 424
# 1、拉取私有仓库镜像 docker pull registry # 2、启动私有仓库容器 docker run -id --name=registry -p 5000:5000 registry # 3、打开浏览器 输入地址http://私有仓库服务器ip:5000/v2/_catalog,看到{"repositories":[]} 表示私有仓库 搭建成功 # 4、修改daemon.json vim /etc/docker/daemon.json # 在上述文件中添加一个key,保存.
Harbor HA部署-使用Ceph RADOS后端
weixin_33693070的博客
06-25 394
目录1. 前言2. 配置Ceph radosgw用户3. 部署HA的MariaDB集群4. 部署HA的Redis集群5. 部署Harbor集群参考资料 1. 前言 Harbor 1.4.0版本开始提供了HA部署方式,和非HA的主要区别就是把有状态的服务分离出来,使用外部集群,而不是运行在本地的容器上。而无状态的服务则可以部署在多个节点上,通过配置上层...
Kubernetes笔记-Harbor安装(CICD四)
BigData_Mining的博客
08-02 1578
Harbor 是一个CNCF基金会托管的开源的可信的云原生docker registry项目,可以用于存储、签名、扫描镜像内容,Harbor 通过添加一些常用的功能如安全性、身份权限管理等来扩展 docker registry 项目,此外还支持在 registry 之间复制镜像,还提供更加高级的安全功能,如用户管理、访问控制和活动审计等,在新版本中还添加了Helm仓库托管的支持。 Harbor最核...
使用Harbor 搭建可视化仓库管理工具
xyang0726的博客
03-26 628
1. 使用Harbor 搭建仓库 1.1 Harbor 简单介绍及安装前置环境 Harbor是VMware公司开源的企业级Docker Registry项目,其目标是帮助用户迅速搭建一个企业级的Docker registry服务。事实上,Habor是在Docker Registry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制 ,AD/LDAP集成以及审计日志等。 harbor英文单词的意思是:港湾。港湾用来存放集装箱(货物的),而docker
Kubernetes集群管理实战指南:打造现代容器编排平台
[Kubernetes集群管理实战指南:打造现代容器编排平台](https://ucc.alicdn.com/pic/developer-ecology/b26bfrxvrztv6_2dbd9c86cfc449d394392ec64e19fed9.jpg?x-oss-process=image/resize,s_500,m_lfit) ...
基于云计算的自动部署与自动运维:提高运维效率
AI天才研究院
07-23 1916
随着互联网技术的飞速发展,网站流量日益增长,用户对网站功能及其可用性的需求也越来越高,越来越多的人开始担忧网站的安全和稳定性。因此,如何快速、准确地处理网站故障、迅速恢复网站服务并保障网站高可用,成为企业必须重点关注的问题之一。云计算技术正在改变IT的运营模式和组织架构,通过虚拟技术和分布式架构实现了资源池共享,降低了成本和硬件维护费用,提升了业务敏捷性。基于这一新兴技术,云计算平台已成为解决此类问题的重要方式。
harbor-offline-installer-v1.8.2-rc1.tgz.001
07-24
最新版的harbor离线安装包,还有企业级Docker+Jenkins+Gitlab自动构建实践文档。(压缩包太大分为三个资源上传,请一起下载001.002.003放在一起解压)
Harbor安装配置保姆级教程
06-14
Harbor安装配置.pdf
Harbor日志与监控:实时监控镜像操作与事件
Harbor是一个开源的企业级Docker镜像仓库,它提供了一套完整的镜像管理解决方案。通过Harbor,用户可以方便地存储、管理和分发Docker镜像,实现了镜像的安全性、可靠性和可追溯性。 Harbor提供了丰富的功能,包括...
CNCF 云原生容器生态系统概要
Docker的专栏
12-31 6575
CNCF(Cloud Native Compute Foundation) 是 Linux 基金会旗下的一个组织,旨在推动以容器为中心的云原生系统。从 2016 年 11 月,CNCF 开始维护了一个名为 Cloud Native Landscape [1]的 repo,汇总目前比较流行的云原生技术,并加以分类,希望能为企业构建云原生体系提供参考。2017 年 12 月 06 日,Landscap
掌握CentOS7环境下的Docker使用(八)阿里云镜像仓库实战、harbor仓库搭建与实战、本地镜像容器的载入载出
qq_46033586的博客
03-22 2491
通俗来讲,镜像仓库就是存放着很多镜像仓库镜像仓库起到备份作用,方便其他机器下载使用。
K8S部署Harbor(三部曲之二:部署)
分享式获得也是一种学习的态度
02-02 1786
每个人都有惰性,但不断学习是好好生活的根本,共勉!
harbor0.45配置
weiguang1017的专栏
12-01 1052
本机环境 centos7.2    docker 1.12.3 docker-compose  1.8.1 一使用http方式 1.编辑/lib/systemd/system/docker.service ,在ExecStart处增加 --insecure-registry=192.168.125.154,保存重启docker deamon 2.修改harbor.cfg中的ui_url
可视化管理Docker容器(portainer)
热门推荐
小虚竹的专栏
03-17 2万+
1、拉取镜像 2、运行镜像 3、portainer使用介绍 容器操作 镜像操作 权限管理 4、分析优缺点 优点 缺点 5、结论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值