1、搭建本地私有仓库
1.1.、下载registry镜像
docker pull registry
1.2、添加私有镜像仓库地址
2、在daemon.json文件中添加私有镜像仓库地址
vim /etc/docker/daemon.json
{
"insecure-registries":["192.168.80.10:5000"],
"registry-mirrors":["https://6ijb8ubo.mirror.aliyuncs.com"]
}
systemctl restart docker.service
1.3、运行registry容器
docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry:latest
-----------------------------------------------
-itd:进行交互操作,并在后台运行
-v:把宿主机的/data/registry目录绑定到容器/var/lib/registry目录
(这个目录是registry容器中存放镜像文件的目录),来实现数据的持久化;
-p:映射端口;访问宿主机的5000端口就访问到registry容器的服务了
--restart=always:重启的策略,在容器退出时总是重启容器
--name registry:创建容器命名为registry
registry:latest:下载的镜像
1.3.1Docker容器的重启策略
| 策略 | 解释 |
|---|---|
| no | 默认策略,在容器退出时不重启容器 |
| on-failure | 在容器非正常退出时(退出状态非0),才会重启容器 |
| on-failure:3 | 在容器非正常退出时重启容器,最多重启3次 |
| always | 在容器退出时总是重启容器 |
| unless-stopped | 在容器退出时总是重启容器,但是不考虑在Docker守护进程启动时就已经停止了的容器 |
1.4、为镜像打标签
docker tag centos:7 192.168.80.100:5000/centos:v1
1.5、上传到私有仓库
docker push 192.168.80.100:5000/centos:v1 
1.6、列出私有仓库的所有镜像
浏览器:http://192.168.80.100:5000/v2/_catalog
1.7、查看私有仓库的标签
浏览器:http://192.168.80.100:5000/v2/centos/tags/list
1.8、测试
先删除原有的centos的镜像,再测试私有仓库下载
docker rmi 192.168.80.100:5000/centos:v1
docker pull 192.168.80.100:5000/centos:v1
2、Harbor简介
本地私有仓库(registry)查看镜像和标签不方便Harbor是VMware公司开源的企业级Docker Registry项目
目标:帮助用户迅速搭建一个企业级Docker Registry服务
基于:Docker公司开源的Registry
提供功能:图形管理UI、基于角色的访问控制、 AD/LDAP集成、以及审计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。
Harbor的每个组件都是以Docker 容器的形式构建的,使用docker-compose 来进行部署。
用于部署Harbor的docker-compose 模板位于harbor /docker—compose. yml
3、Harbor特性
-
基于角色控制:用户和仓库都是基于项目进行组织的,而用户在项目中可以拥有不同的权限。
-
基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制(同步)
-
支持LDAP/AD: Harbor 可以集成企业内部已有的AD/LDAP (类似数据库的一张表) ,用于对已经存在的用户认证和管理。
-
镜像删除和垃圾回收:镜像可以被删除,也可以回收镜像占用的空间。
-
图形化用户界面:用户可以通过浏览器来浏览,搜索镜像仓库以及对项日进行管理。
-
审计管理:所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
-
支持RESTful API:RESTful API提供给管理员对于Harbor 更多的操控,使得与其它管理软件集成变得更容易。
-
Harbor和docker registry的关系:Harbor实质 上是对docker registry做 了封装,扩展了自己的业务模板。
4、Harbor的构成
Harbor组件
————————————————————————————————————
1、Proxy
2、Registry
3、Core services
4、Database(Harbor-db)
5、Log collector(Harbor-log)
6、Job services-
Proxy:是一个nginx 的前端代理,Harbor 的Registry、 UI、 Token 服务等组件,都处在nginx 反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端不同的服务上。
-
Registry:负责储存Docker镜像,并处理Docker push/pull命令。由于要对用户进行访问控制,即不同用户对Docker镜像有不同的读写权限,Registry 会指向一个Token 服务,强制用户的每次Docker pull/push 请求都要携带一个合法的Token, Registry会通过公钥对Token进行解密验证。
-
Core services: Harbor的核心功能,主要提供以下3个服务: 1) UI (harbor-ui) :提供图形化界面,帮助用户管理Registry上的镜像(image) ,并对用户进行授权, 2) WebHook:为了及时获取Registry.上image状态变化的情况,在Registry 上配置Webhook.把消前您的网络状态不佳块 3) Token 服务:负责根据用户权限给每个Docker_ push/pu11 命令签发Token。 Docker 客户端向Registry 服务发起的请求, 如果不包含Token,会被重定向到Token服 务,获得Token后再重新向Registry 进行请求。
-
Database (harbor-db) :为core services提供数据库服务,负责储存用户权限、审计日志、Docker 镜像分组信息等数据。
-
Job services:主要用于镜像复制,本地镜像可以被同步到远程Harbor实例上。
-
Log collector (harbor-log) :负贵收集其他组件的日志到一个地方。
Harbor的每个组件都是以Docker容器的形式构建的,因此,使用Docker Compose来对它进行部署。
总共分为7个容器运行,通过在docker-compose.yml所在目录中执行docker-compose ps命令来查看,
名称分别为: nginx、 harbor-jobservice、 harbor-ui、 harbor-db、 harbor-adminserver、 registry、 harbor-log。
其中harbor-adminserver主要是作为一个后端的配置数据管理,并没有太多的其他功能。harbor-ui所要操作的所有数据都通过harbor-adminserver这样一个数据配置管理中心来完成。
5、Harbor部署
Harbor服务器: 192.168.80.100 docker-ce docker-compose harbor-offline-v1.2.2
client客户端: 192.168.80.200 docker-ce5.1、部署Docker-Compose服务
下载或上传Docker-Compose
cd /opt
chmod +x /usr/local/bin/docker-compose
mv docker-compose /usr/local/bin
docker-compose -v
5.2、部署Harbor服务
下载或上传Harbor安装程序
Harbor的下载
tar zxvf harbor-offline-installer-v1.2.2.tgz -C /opt/
5.3、修改harbor安装的配置文件
vim /opt/harbor/harbor.cfg
--5行--修改 设置为Harbor服务器的IP地址或域名
hostname=192.168.80.100
--59行- 指定管理员的初始密码,默认的用户名/密码是admin/Harbor12345
harbor_admin_password = Harbor12345
---------------------------
Harbor.cfg配置文件的两类参数:所需参数和可选参数
1、所需参数:这些参数需要在配置文件Harbor.cfg中设置。如果用户更新它们并运行install.sh脚本重新安装Harbor,参数将生效。具体参数如下:
●hostname: 用于访问用户界面和register服务。它应该是目标机器的IP地址或完全限定的域名(FQDN),例如192.168.80.10或hub.kgc.cn。不要使用localhost或127.0.0.1为主机名。
●ui_url_protocol:(http或https,默认为http)用于访问UI和令牌/通知服务的协议。如果公证处于启用状态,则此参数必须为https。
●max_job_workers:镜像复制作业线程。
●db_password: 用于db_auth的MySQL数据库root用户的密码。
●customize_ crt:该属性可设置为打开或关闭,默认打开。打开此属性时,准备脚本创建私钥和根证书,用于生成/验证注册表令牌。当由外部来源提供密钥和根证书时,将此属性设置为off。
●ss1_cert:SSL证:书的路径,仅当协议设置为https时才应用。
●secretkey_path:用于在复制策略中加密或解密远程register密码的密钥路径。
2、可选参数:这些参数对于更新是可选的,即用户可以将其保留为默认值,并在启动Harbor后在Web UI. 上进行更新。如果进入Harbor.cfg,只会在第一次启动Harbor 时生效,随后对这些参数的更新,Harbor.cfg 将被忽略。
注意:如果选择通过UI设置这些参数,请确保在启动Harbor后立即执行此操作。具体来说,必须在注册或在Harbor.
中创建任何新用户之前设置所需的auth_mode。当系统中有用户时(除了默认的admin用户),
auth_mode不能被修改。具体参数如下:
●Email:Harbor需要该参数才能向用户发送“密码重置"电子邮件,并且只有在需要该功能时才启用。请注意,在默认情况下SSL连接时没有启用。如果SMTP服务器需要SsL,但不支持STARTTLS,那么应该通过设置启用SsL email_ss1 = TRUE。
●harbor_admin password:管理员的初始密码,只在Harbor 第一次启动时生效。 之后, 此设置将 被忽略,并且应在 UI
中设置管理员的密码。请注意,默认的用户名/密码是admin/ Harbor12345。
●auth mode:使用的认证类型,默认情况下,它是db auth,即凭据存储在数据库中。对于LDAP身份验证,请将其设置为ldap_auth。
●self_registration:启用/禁用用户注册功能。禁用时,新用户只能由Admin用户创建,只有管理员用户可以在Harbor中创建新用户。注意:当auth_mode设置为ldap_auth时,自注册功能将始终处于禁止状态,并且该标准被忽略
●project_creation_restriction: 用于控制哪些用户有权创建项目的标志。默认情况下,每个人都可以创建一个项目。如果将其值设置为"adminonly",那么只有admin可以创建项目。
●verify_remote_cert: 打开或关闭,默认打开。此标志决定了当Harbor与远程register实例通信时是否验证SSL/TLS 证书。 将此属性设置为off将绕过SsL/TLS验证,这在远程实例具有自签名或不可信证书时经常使用。
另外,默认情况下,Harbor 将镜像存储在本地文件系统上。在生产环境中,可以考虑使用其他存储后端而不是本地文件系统,如s3、OpenstackSwif、 Ceph 等对象存储。但需要更新common/ templates/ registry/config.yml. 文件。
Harbor的默认镜像存储路径在/data/registry 目录下,映射到docker容器里面的/storage 目录下。
这个参数是在docker-compose.yml 中指定的,在docker-compose. up -d运行之前修改。
如果希望将Docker镜像存储到其他的磁盘路径,可以修改这个参数。
5.4、启动Harbor
cd /usr/local/harbor/
在配置好了harbor.cfg之后,执行./prepare命令,为harbor启动的容器生成一些必要的文件(环境)
再执行命令./install.sh以pull镜像并启动容器
[root@localhost opt]# cd /opt/harbor/
[root@localhost harbor]#./prepare
[root@localhost harbor]#./install.sh
[root@localhost harbor]# sysctl -p
net.ipv4.ip_forward = 1
[root@localhost harbor]# systemctl restart docker
5.5、查看Harbor启动镜像
cd /opt/docker-compose ps
docker-compose up -d #启动
docker-compose stop #停止
docker-compose restart #重新启动
5.6、项目管理
5.6.1、当前用户管理
192.168.80.100
----------------------------
1、浏览器访问:http://192.168.80.10登录Harbor WEB UI界面,默认的管理员用户名和密码是admin/Harbor12345
2、输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮
3、填写项目名称为“myproject-kgc”,点击“确定“按钮,创建新项目
4、此时可使用Docker命令在本地通过127.0.0.1来登录和推送镜像。默认情况下,Registry服务器在端口80上监听。
5.6.2、其他root用户管理
192.168.80.200
---------------------------
1、交互式登录失败
[root@localhost ~]# docker login -u admin -p Harbor12345 http://192.168.80.100
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get "https://192.168.80.100/v2/": dial tcp 192.168.80.100:443: connect: connection refused
2、修改配置文件
[root@localhost system]# cd /usr/lib/systemd/system
[root@localhost system]# ls docker.service
docker.service
[root@localhost system]# vim docker.service
13行末尾添加 --insecure-registry 192.168.80.100
3、重启
[root@localhost system]# systemctl daemon-reload
[root@localhost system]# systemctl restart docker
4、登录成功
[root@localhost system]# docker login -u admin -p Harbor12345 http://192.168.80.100
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
5.6.3、普通用户管理
