一、搭建本地私有仓库
步骤概述
1. 下载并配置 registry 镜像
docker pull registry
2. 编辑 Docker 配置文件 daemon.json
{
"insecure-registries": ["192.168.10.23:5000"],
"registry-mirrors": ["https://ae3f5qei.mirror.aliyuncs.com"]
}
3. 重启 Docker 服务
systemctl restart docker.service
4. 运行 registry 容器
docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest
-
-itd
:交互式操作并在后台运行容器。 -
-v
:挂载宿主机目录到容器中,实现数据持久化。 -
-p
:映射端口,将宿主机的 5000 端口映射到容器的 5000 端口。 -
--restart=always
:容器退出时自动重启。 -
registry:latest
:使用的 Docker 镜像名称和标签。
5. 为镜像打标签和上传
docker tag centos:7 192.168.10.23:5000/centos:v1
docker push 192.168.10.23:5000/centos:v1
6.管理私有仓库
列出所有镜像:
curl http://192.168.10.23:5000/v2/_catalog
查询镜像的 tags:
curl http://192.168.10.23:5000/v2/centos/tags/list
二、Harbor 简介
2.1 什么是 Harbor
Harbor 是一个开源的企业级 Docker 镜像仓库,由 VMware 公司开发并维护。它提供了比 Docker Hub 更多的功能和安全性,特别适合用于私有环境中的容器镜像管理。
2.2 Harbor 特性
-
角色控制:Harbor 提供了基于角色的访问控制(Role-Based Access Control, RBAC),允许管理员精细地控制用户对不同资源的访问权限。
-
镜像的复制策略:Harbor 支持镜像复制功能,可以将镜像从一个仓库复制到另一个仓库,甚至跨数据中心复制。
-
支持 AD/LDAP:Harbor 可以与 Active Directory 或 Lightweight Directory Access Protocol(LDAP)集成,从而利用现有企业身份管理系统进行用户认证。
-
镜像删除和回收:用户可以删除不再需要的镜像,Harbor 也会定期清理无用的数据,节省存储空间。
-
可视化界面:Harbor 提供了一个用户友好的 Web 界面,让用户可以方便地查看和管理镜像仓库。
-
审计管理:Harbor 记录所有的操作,便于审计和追踪。
-
支持 RESTful API:用户可以通过 RESTful API 自动化管理 Harbor,比如创建、更新和删除镜像。
-
升级版:Harbor 是一个升级版的私有仓库,相比基础的 Docker 仓库,它提供了更多高级功能和更好的用户体验。
2.3 Harbor 构成
1. Proxy:通过一个前置的反向代理接受(浏览器)客户端请求,并转发到你的后端不同的服务。
2. Registry:负责镜像存储,通过 pull/push 上传下载。
3. Core services:提供核心功能,包括 webhook、UI、token、认证服务等。
- Webhook:负责网站的一些服务功能(内部所有状态转发表面)。
- UI:显示可视化界面。
- Token:令牌认证服务(身份认证)。
4. Database:给核心功能提供的服务都会记录数据(镜像、分组等)并认证用户信息,你可以认为是元信息。
5. Log coller:负责收集各个组件的日志,为我们提供分析以及健康检查等。
6. Job services:主要镜像复制,本地镜像可以同步到其他私有仓库(Harbor)。
7. Adminserver:主要做一个后端配置的数据管理员,它没有其他功能。
这些组件共同构成了 Harbor 的核心功能,它们相互协作,提供了一个完整的私有镜像仓库解决方案。例如,Proxy 作为前端接收用户请求,然后转发给 Registry 进行镜像的存储和分发;Core services 提供了认证、日志记录、UI 显示等功能;Database 则存储了元数据和用户信息;Log coller 收集日志,帮助管理员监控系统状态;Job services 负责镜像复制等任务;Adminserver 则用于管理后端配置。
2.4 Harbor私有仓库交互过程
整个工作流程:
- 当客户端(如 Docker 客户端)想要访问 Harbor 时,首先通过 Nginx 反向代理将请求转发到 Core Services。
- Core Services 包括 UI、token、webhook 等组件,它们处理用户的请求并返回结果。
- 如果需要存储或查询镜像,请求会被转发到 Registry。
- 如果需要执行镜像复制策略,则由 Job Services 处理。
- 在整个过程中,Log Collector 会收集所有组件的操作日志,以便进行后续的分析和审计。
三、Harbor 部署
Harbor服务器 192.168.10.23 docker-ce、docker-compose、harbor-offline-v1.2.2
client服务器 192.168.10.13 docker-ce
3.1 部署 Docker-Compose 服务
//下载或者上传 Docker-Compose
curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose --version
3.2 部署 Harbor 服务
(1)下载或上传 Harbor 安装程序
wget http://harbor.orientsoft.cn/harbor-1.2.2/harbor-offline-installer-v1.2.2.tgz
tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/
(2)修改harbor安装的配置文件
vim /usr/local/harbor/harbor.cfg
--5行--修改,设置为Harbor服务器的IP地址或者域名
hostname = 192.168.10.23
--59行--指定管理员的初始密码,默认的用户名/密码是admin/Harbor12345
harbor_admin_password = Harbor12345
3.3 启动 Harbor
cd /usr/local/harbor/
在配置好了 harbor.cfg 之后,执行 ./prepare 命令,为 harbor 启动的容器生成一些必要的文件(环境)
再执行命令 ./install.sh 以 pull 镜像并启动容器
3.4 查看 Harbor 启动镜像
cd /usr/local/harbor/
docker-compose ps
3.5 创建一个新项目
(1)浏览器访问:http://192.168.10.23 登录 Harbor WEB UI 界面,默认的管理员用户名和密码是 admin/Harbor12345
(2)输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮
(3)填写项目名称为“myproject-kgc”,点击“确定”按钮,创建新项目
(4)此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下,Registry 服务器在端口 80 上侦听。
//登录 Harbor
docker login [-u admin -p Harbor12345] http://127.0.0.1
//下载镜像进行测试
docker pull nginx
//将镜像打标签
格式:docker tag 镜像:标签 仓库IP/项目名称/镜像名:标签
docker tag nginx:latest 127.0.0.1/myproject-kgc/nginx:v1
//上传镜像到 Harbor
docker push 127.0.0.1/myproject-kgc/nginx:v1
(5)在 Harbor 界面 myproject-kgc 目录下可看见此镜像及相关信息
3.6 在其他客户端上传镜像
以上操作都是在 Harbor 服务器本地操作。如果其他客户端登录到 Harbor,就会报如下错误。出现这问题的原因为Docker Registry 交互默认使用的是 HTTPS,但是搭建私有镜像默认使用的是 HTTP 服务,所以与私有镜像交互时出现以下错误。
(1)在 Docker 客户端配置操作
//解决办法是:在 Docker server 启动的时候,增加启动参数,默认使用 HTTP 访问。
vim /usr/lib/systemd/system/docker.service
--13行--修改
ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.10.23 --containerd=/run/containerd/containerd.sock
或
ExecStart=/usr/bin/dockerd --insecure-registry 192.168.10.23
//重启 Docker,再次登录
systemctl daemon-reload
systemctl restart docker
//再次登录 Harbor
docker login -u admin -p Harbor12345 http://192.168.10.23
//将自动保存凭据到/root/.docker/config.json,下次登录时可直接使用凭据登录 Harbor
//下载镜像进行测试
docker pull 192.168.10.23/myproject-kgc/nginx:v1
//上传镜像进行测试
docker tag redis:latest 192.168.10.23/myproject-kgc/redis:v2
docker push 192.168.10.23/myproject-kgc/redis:v2
(2)刷新 Harbor 的 Web 管理界面进行查看,会发现 myproject-kgc 项目里面有两个镜像
四、维护管理 Harbor 指南
4.1 通过 Harbor Web 创建项目
在 Harbor 仓库中,任何镜像在被 push 到 registry 之前都必须有一个自己所属的项目。
-
登录 Harbor Web 界面。
-
单击“+项目”,填写项目名称,例如
myproject-kgc
。 -
项目级别若设置为"私有",则不勾选。如果设置为公共仓库,则所有人对此项目下的镜像拥有读权限,命令行中不需要执行
Docker login
即可下载镜像,镜像操作与 Docker Hub 一致。
4.2 创建 Harbor 用户
(1)创建用户并分配权限
-
在 Web 管理界面中单击系统管理 -> 用户管理 -> +用户。
-
填写用户名为“kgc-zhangsan”,邮箱为“kgc-zhangsan@kgc.com”,全名为“zhangsan”,密码为“Abc123456”,注释为“管理员”(可省略)。
-
用户创建成功后,单击左侧“...”按钮可将上述创建的用户设置为管理员角色或进行删除操作,本例不作任何设置。
(2)添加项目成员
-
单击项目 ->
myproject-kgc
-> 成员 -> + 成员。 -
填写上述创建的用户
kgc-zhangsan
并分配角色为“开发人员”。 -
此时单击左侧“...”按钮仍然可对成员角色进行变更或者删除操作。
(3)在客户端上使用普通账户操作镜像
登出原来用户,再用创建的新用户登录
用新用户操作动作上传镜像
4.3 查看日志
Harbor Web 界面的操作日志按时间顺序记录用户相关操作,方便管理员查看和审计。
4.4 移除 Harbor 服务容器同时保留镜像数据/数据库,并进行迁移
(1)移除 Harbor 服务容器
cd /usr/local/harbor
docker-compose down -v
(2)把项目中的镜像数据进行打包
持久数据,如镜像,数据库等在宿主机的 /data/
目录下,日志在宿主机的 /var/log/Harbor/
目录下。
ls /data/registry/docker/registry/v2/repositories/myproject-kgc
cd /data/registry/docker/registry/v2/repositories/myproject-kgc
tar zcvf kgc-registry.tar.gz ./*
4.5 如需重新部署,需要移除 Harbor 服务容器全部数据
cd /usr/local/harbor
docker-compose down -v
rm -r /data/database
rm -r /data/registry
通过以上步骤,可以管理和维护 Harbor 仓库,包括创建项目、用户、管理镜像、查看日志以及进行配置文件的修改和数据迁移