使用docker構建了較多的鏡像時,爲了方便鏡像的管理需要將鏡像推到鏡像倉庫中,由於公共鏡像倉庫由於安全性及網絡限制;此時,可以自己搭建docker倉庫。
一、使用docker registry搭建docker倉庫
1、使用docker registry rpm包構建docker鏡像倉庫
(1)使用yum安裝docker retistry
# 先安裝epel倉庫
]# yum install epel-release
# 安裝docker registry,真是的安裝包爲docker-distribution
]# yum install docker-registry
# 查看安裝後生成文件
]# rpm -ql docker-distribution
/etc/docker-distribution/registry/config.yml
/usr/bin/registry
/usr/lib/systemd/system/docker-distribution.service
/usr/share/doc/docker-distribution-2.6.2
/usr/share/doc/docker-distribution-2.6.2/AUTHORS
/usr/share/doc/docker-distribution-2.6.2/CONTRIBUTING.md
/usr/share/doc/docker-distribution-2.6.2/LICENSE
/usr/share/doc/docker-distribution-2.6.2/MAINTAINERS
/usr/share/doc/docker-distribution-2.6.2/README.md
/var/lib/registry
(2)配置registry
Docker registry安裝完成後的配置文件爲/etc/docker-distribution/registry/config.yml,主要的配置選項如下:
version: 0.1
log:
fields:
service: registry
storage:
cache:
layerinfo: inmemory
filesystem:
rootdirectory: /var/lib/registry
http:
addr: :5000
在配置文件中rootdirectory爲鏡像的存放目錄,addr爲該服務監聽的端口地址。
(3)啓動docker registry
# 設置docker registry服務開機自啓動
]# systemctl enable docker-distribution
# 啓動docker registry
]# systemctl start docker-distribution
(4)上傳鏡像驗證
由於docker默認不支持http協議,自己單間的證書在沒有配置https證書時均使用http協議,所以需要配置使docker客戶端支持http協議,配置如下:
]# cat /etc/docker/daemon.json
{
"insecure-registries": ["http://192.168.16.160:5000"]
}
配置docker支持客戶端後,就可以將自建的docker鏡像上傳至自建的docker倉庫中。
# 對創建的docker進行打標籤
]# docker tag test_dayi123:v0.12 192.168.16.160:5000/test/test:v0.1
# 上傳鏡像
]# docker push 192.168.16.160:5000/test/test:v0.1
2、基於容器構建docker私有倉庫
基於容器構建docker私有倉庫也非常簡單,只需要一條命令就可以搭建
# 基於容器構建docker私有倉庫
]# docker run -d -p 5000:5000 --restart=always --name registry registry
使用docker容器構建docker倉庫時,也可將配置文件及倉庫目錄掛在到宿主機上,方便配置管理。使用docker容器構建的registry倉庫的使用方法同yun安裝的使用方法相同。
3、配置TLS證書
在運行了registry服務後,在沒有更改客戶端配置文件及配置證書時上傳鏡像時會報錯,而證書可以從第三方代理機構去申請,也可自己生成。使用自定義的證書配置如下:
# 生成證書,生成證書時需要填寫相關信息,”Common Name”爲配置證書的域名
]# mkdir certs
]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/myrepo.key -x509 -days 365 -out certs/myrepo.crt
# 將用戶證書放置到相應位置
]# cp certs/myrepo.crt /etc/docker/certs.d/dayi123.com:5000/
# 基於容器創建registry服務是使用證書
]# docker run -d -p 5000:5000 --restart=always --name registry -v /root/certs:/certs -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/myrepo.crt -e REGISTRY_HTTP_TLS_KEY=/certs/myrepo.key registry
二、使用harbor搭建docker倉庫
我們使用docker官方提供的docker registy來管理鏡像時,只能通過命令上傳下載鏡像,並不能像dockerhub及阿里docker倉庫那樣可以通過web頁面管理瀏覽鏡像;harbor正好提供了類似的功能。
Harbor是由vmware中國團隊開發的一款鏡像倉庫,harbor是基於docker官方的registry的基礎提供用戶權限管理、鏡像複製等功能,提高使用的registry的效率。Harbor的githubdi地址爲(https://github.com/goharbor/harbor)
1、harbor的安裝
Harbor的安裝可以使用在線安裝,離線安裝及OVA安裝,在線安裝是使用docker官方的容器編排工具docker-compose安裝,使用docker-compose的方式安裝簡單方便。
(1)安裝前環境準備
安裝主機配置要求要求
|
設備 |
最小 |
建議配置 |
|
CPU |
minimal 2 CPU |
4 CPU is preferred |
|
Mem |
minimal 4GB |
8GB is preferred |
|
Disk |
minimal 40GB |
160GB is preferred |
安裝前環境準備:
# 安裝docker及docker-compose
]# yum install docker-ce
]# yum install docker-compose
(2)下載harbor
# 下載harbor
]# wget https://storage.googleapis.com/harbor-releases/release-1.6.0/harbor-offline-installer-v1.6.3.tgz
]# tar -xf harbor-offline-installer-v1.6.3.tgz
]# cd harbor
(3)配置harbor
解壓完成後,在解壓目錄中的主要配置文件有harbor.cfg(harbor的配置文件),docker-compose.yml(docker-compose容器編排配置文件)。Harbor主要的配置內容爲:
# 版本
_version = 1.6.0
# 主機名
hostname = 192.168.17.160
# 使用的協議
ui_url_protocol = http
# 最大的連接數
max_job_workers = 3
# 證書相關配置
customize_crt = on
ssl_cert = /data/cert/server.crt
ssl_cert_key = /data/cert/server.key
secretkey_path = /data
# 日誌切割相關配置
log_rotate_count = 50
log_rotate_size = 200M
# 配置郵箱
email_identity =
email_server = smtp.mydomain.com
email_server_port = 25
email_username = [email protected]
email_password = abc
email_from = admin <[email protected]>
email_ssl = false
email_insecure = false
# admin用戶登錄密碼
harbor_admin_password = test@123
# 數據庫相關配置
db_host = postgresql
db_password = root123
db_port = 5432
db_user = postgres
(3)安裝harbor
修改完配置後,直接運行install.sh腳本可完成harbor的安裝。
Harbor的安裝是將harbor需要運行的各個組件通過docker-comose編排工具完成下載運行。
# 安裝harbor
]# ./install.sh
# 運行harbor,主要運行了以下容器
]# docker images
REPOSITORY TAG
goharbor/chartmuseum-photon v0.7.1-v1.6.3
goharbor/harbor-migrator v1.6.3
goharbor/redis-photon v1.6.3
goharbor/clair-photon v2.0.6-v1.6.3
goharbor/notary-server-photon v0.5.1-v1.6.3
goharbor/notary-signer-photon v0.5.1-v1.6.3
goharbor/registry-photon v2.6.2-v1.6.3
goharbor/nginx-photon v1.6.3
goharbor/harbor-log v1.6.3
goharbor/harbor-jobservice v1.6.3
goharbor/harbor-ui v1.6.3
goharbor/harbor-adminserver v1.6.3
goharbor/harbor-db v1.6.3
2、harbor應用
(1)harbor的使用
harbor安裝完成後,既可以通過命令行去上傳下載鏡像,也可通過web界面登錄。安裝完成登錄後後的web界面登錄如下:
安裝完成後,可通過web頁面登錄創建用戶,創建項目等操作。
(2)上傳鏡像到harbor倉庫
在沒有配置https時,harbor倉庫默認使用的是http協議;爲了讓docker客戶端支持http,同樣也需要更改docker客戶端的配置文件:
# 使docker客戶端支持http協議
]# cat /etc/docker/daemon.json
{
"insecure-registries": ["http://192.168.17.160:5000"]
}
配置好客戶端支持http並登陸後後就可以上傳鏡像了。在上傳鏡像前需要在harbor中創建好相應的倉庫。
# 登陸harbor
]# docker login http://192.168.17.160 -udayi123
# 爲鏡像打標籤
]# docker tag busybox:latest 192.168.17.160/test01/test-01:v0.1
# 上傳鏡像,已經創建好了test01倉庫
]# docker push 192.168.17.160/test01/test-01:v0.1
(3)harbor服務的管理。
Harbor服務是通過docker-compose容器編排工具安裝,依賴了多個容器服務;harbor的管理也可以通過docker-compose命令來管理。執行docker-compose命令需要在docker-compose.ym文件所在目錄下執行。
# 停止harbor
]# docker-compose stop
# 啓動harbor
]# docker-compose start