在实际生产运维中,往往需要把镜像发布到几十、上百台或更多的节点上。这时单台Docker主机上镜像已无法满足,项目越来越多,镜像就越来越多,都放到一台Docker主机上是不行的,我们需要一个像Git仓库一样系统来统一管理镜像。这里介绍的是一个企业级镜像仓库Harbor,将作为我们容器云平台的镜像仓库中心。
Habor是由VMWare公司开源的容器镜像仓库。事实上,Habor是在Docker Registry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制 ,AD/LDAP集成以及审计日志等,足以满足基本企业需求。
官方地址:https://vmware.github.io
Github:https://github.com/goharbor/harbor
1、Harbor主要功能
-
基于角色访问控制(RBAC)
在企业中,通常有不同的开发团队负责不同的项目,镜像像代码一样,每个人角色不同需求也不同,因此就需要访问权限控制,根据角色分配相应的权限。
例如,开发人员需要对项目构建这就用到读写权限(push/pull),测试人员只需要读权限(pull),运维一般管理镜像仓库,具备权限分配能力,项目经理具有所有权限。 -
镜像复制
可以将仓库中的镜像同步到远程的Harbor,类似于MySQL主从同步功能。
-
LDAP
Harbor支持LDAP认证,可以很轻易接入已有的LDAP。
-
镜像删除和空间回收
Harbor支持在Web删除镜像,回收无用的镜像,释放磁盘空间。
-
图形页面管理
用户很方面搜索镜像及项目管理。
-
审计
对仓库的所有操作都有记录。
-
REST API
完整的API,方便与外部集成。
2、Harbor组件
| 组件 | 功能 |
| harbor-adminserver | 配置管理中心 |
| harbor-db | Mysql数据库 |
| harbor-jobservice | 负责镜像复制 |
| harbor-log | 记录操作日志 |
| harbor-ui | Web管理页面和API |
| nginx | 前端代理,负责前端页面和镜像上传/下载转发 |
| redis | 会话 |
| registry | 镜像存储 |
3、Harbor部署
环境要求:
Harbor安装有3种方式:
-
在线安装:从Docker Hub下载Harbor相关镜像,因此安装软件包非常小
-
离线安装:安装包包含部署的相关镜像,因此安装包比较大
-
OVA安装程序:当用户具有vCenter环境时,使用此安装程序,在部署OVA后启动Harbor
我们采用离线安装,首先下载离线安装包:https://github.com/vmware/harbor/releases
HTTP方式部署
基本配置:
# tar zxvf harbor-offline-installer-v1.7.5.tgz
# cd harbor
# vi harbor.cfg
hostname = 10.206.240.188 # IP地址或者域名访问
ui_url_protocol = http
harbor_admin_password = Harbor12345 # Web登录密码准备配置文件:
# ./prepare安装并启动Harbor:
# ./install.sh查看运行状态:
# docker-compose ps
Name Command State Ports
-------------------------------------------------------------------------------------------------------------------------------------
harbor-adminserver /harbor/start.sh Up (healthy)
harbor-db /usr/local/bin/docker-entr ... Up (healthy) 3306/tcp
harbor-jobservice /harbor/start.sh Up
harbor-log /bin/sh -c /usr/local/bin/ ... Up (healthy) 127.0.0.1:1514->10514/tcp
harbor-ui /harbor/start.sh Up (healthy)
nginx nginx -g daemon off; Up (healthy) 0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp, 0.0.0.0:80->80/tcp
redis docker-entrypoint.sh redis ... Up 6379/tcp
registry /entrypoint.sh serve /etc/ ... Up (healthy) 5000/tcp部署完成,是不是很简单呢!
如果有非Up状态,先看日志:
# ls /var/log/harbor/
adminserver.log jobservice.log mysql.log proxy.log redis.log registry.log ui.logHTTPS方式部署:
如果想以https加密方式提供服务可以参考这个免费的视频教程:https://ke.qq.com/course/311382
或者参考官方文档:https://github.com/vmware/harbor/blob/master/docs/configure_https.md
4、登录Web页面
浏览器输入:http://10.206.240.188
账号:admin
密码:Harbor12345
这里有4个项目,library是默认自带的,通常用这个存储一些公共的镜像,这个项目下镜像谁都可以pull,但不能push,push需要先登录。其他3个项目是我自己创建的,请忽略。
5、library项目赋予新用户push权限
先创建一个用户:
进入library项目,将用户加入这个成员:
这样lizhenliang用户就具备了对这个library项目的push权限。
注:创建新项目赋予用户权限同等方式。
7、上传镜像
接下来将刚才构建的镜像推送到Harbor仓库,先看看我们要推送的镜像:
在推送之前,需要注意第一列,这个完整格式是:
registry.ctnrs.com/library/hello-world:latest
镜像中心域名 项目名称 名称 版本 如果镜像只放在本地存储REPOSITORY写什么都可以,但推送到镜像仓库就必须指定仓库中心地址。
所以,先打重命名REPOSITORY,其实就是引用源镜像标记了一个目标镜像:
# docker image tag nginx-112 10.206.240.188/library/nginx-112
# docker push 10.206.240.188/library/nginx-112
The push refers to repository [10.206.240.188/library/nginx-112]
e1bad6a42a61: Layer already exists
9515f16f0627: Layer already exists
a422b28b5eeb: Preparing
bcc97fbfc9e1: Preparing
denied: requested access to the resource is denied访问拒绝,刚说过,push需先登录:
# docker login 10.206.240.188
Username: lizhenliang
Password:
Login Succeeded
# docker push 10.206.240.188/library/nginx-112
The push refers to repository [10.206.240.188/library/nginx-112]
e1bad6a42a61: Layer already exists
9515f16f0627: Layer already exists
a422b28b5eeb: Pushed
bcc97fbfc9e1: Pushed
latest: digest: sha256:49db3f916abf883198b1fc4b90bae6a57bd5ed48ae4d597a07356a2e85106277 size: 1159
8、下载镜像
其他Docker主机怎么下载刚推送的镜像呢?
由于我们搭建的Harbor是以HTTP提供服务的,而Docker CLI默认以HTTPS 访问仓库,所以要先配置可信任,否则pull镜像仓库失败。如果是HTTPS提供服务就不用配置这一步了。
# vi /etc/docker/daemon.json
{
"registry-mirrors": ["http://bc437cce.m.daocloud.io"],
"insecure-registries": ["10.206.240.188"]
}
# systemctl restart docker
# docker pull 10.206.240.188/library/nginx-112pull的地址跟push时是一样的。
2742
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
