Harbor私有倉庫的搭建及使用

原創 Micky_Yang 2019-09-02 18:31

一、Harbor簡介
  Harbor是一個用於存儲和分發Docker鏡像的企業級Registry的服務器鏡像倉庫,通過添加一些企業必需的功能特性,例如安全、標識和管理等,擴展了開源Docker Distribution。作爲一個企業級私有Registry服務器,Harbor提供了更好的性能和安全。提升用戶使用Registry構建和運行環境傳輸鏡像的效率。Harbor支持安裝在多個Registry節點的鏡像資源複製,鏡像全部保存在私有的Registry中,確保數據和知識產權在公司內部網絡中管控。另外,Harbor也提供了高級的安全特性,諸如用戶管理,訪問控制和活動審計等。
  
二、Harbor的特性:
基於角色的訪問控制:用戶與Docker鏡像倉庫通過"項目"進行組織和管理,一個用戶可以對多
          個鏡像倉庫在同一個命名空間(project)裏有不同的權限。
鏡像複製:鏡像可以在多個Registry實例中複製(同步)。尤其適合於負載均衡,高可用,混合雲
     和多雲場景。
圖形化用戶場景:用戶可以通過瀏覽器來瀏覽,檢索當前Docker鏡像倉庫,管理項目和命名空間。
AD/LDAP支持:Harbor可以集成企業內部已有的AD/LDAP,用於鑑權認證管理。
審計管理:所有針對鏡像倉庫的操作都可以被記錄追溯,用於審計管理。
國際化:已擁有英文、中文、德文、日文好俄文的本地化版本。更多的語言將被添加進來。
RESTful API:RESTful API提供給管理員對於Harbor更多的操控,使得與其它管理軟件集成變得
       更容易。
部署簡單:提供在線和離線兩種工具,也可以安裝到vSphere平臺(OVA方式)虛擬設備。

三、Harbor的組件
Harbor在架構上主要由6個組件構成:
Proxy:Harbor的代理程序,Harbor的registry、UI、token等服務,通過一個前置的反向代理統一
    接收瀏覽器、Docker客戶端的請求,並將請求轉發給後端不同的服務處理。
Registry:負責存儲Docker的鏡像,並處理docker的pull/push命令。由於我們要對用戶進行訪問
     控制,即不同用戶對Docker image有不同的讀寫權限,Registry會指向一個token服務器
     ,強制用戶的每次docker pull/push請求都要攜帶一個合法的token,Registry會通過公鑰
     對token進行解密驗證。
Core services:這是Harbor的核心功能,主要提供以下服務:
UI:提供圖形化界面,幫助用戶管理registry上的鏡像(image),並對用戶進行授權。
webhook:爲了及時獲取registry上的image狀態變化的情況,在Registry上配置webhook,把狀態變
     化傳遞給UI模塊。
token服務:負責根據用戶權限給每個docker push/pull命令簽發token,Docker客戶端向Registry服
     務發起的請求,如果不包含token,會被重定向到這裏,獲得token後再重新向Registry進
     行請求。
Database:爲core services提供數據庫服務器,負責存儲用戶權限、審計、Docker image分組信
     息等數據。
Job Services:提供鏡像遠程複製功能,可以把本地鏡像同步到其他Harbor實例中。
Log collector:爲了幫助監控Harbor運行,負責收集其他組件的log,供日後進行分析。

各組件之間的關係如圖所示:
在這裏插入圖片描述

四、Harbor的安裝

環境名稱 版本
系統版本 CentOS Linux release 7.5.1804
docker-ce 19.03.1
Harbor版本 harbor-offline-installer-v1.5.0.tgz
docker-compose版本 1.24.1

1)docker-compose的安裝

#配置阿里的base源和epel源
[root@docker ~]# cat /etc/yum.repos.d/CentOS-Base.repo | grep -v "^#" 
[base]
name=CentOS-$releasever - Base - mirrors.aliyun.com
failovermethod=priority
baseurl=http://mirrors.aliyun.com/centos/7/os/$basearch/
gpgcheck=0

[root@docker ~]# cat /etc/yum.repos.d/epel.repo 
[epel]
name=Extra Packages for Enterprise Linux 7 - $basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch
enabled=1
gpgcheck=0

#安裝Python-pip
[root@docker ~]# yum install python2-pip -y
............................................


#升級Python-pip
[root@docker ~]# pip install --upgrade pip

#安裝docker-compose
[root@docker ~]# pip install docker-compose
.................................
ERROR: Cannot uninstall 'requests'. It is a distutils installed project and thus we cannot accurately determine which files belong to it which would lead to only a partial uninstall.
如果報一上的錯誤我們需要執行以下命令"pip install docker-compose --ignore-installed requests"


#查看docker-compose版本
[root@docker ~]# docker-compose -v
docker-compose version 1.24.1, build 4667896

2)安裝harbor

#下載1.5.0離線安裝包
wget https://storage.googleapis.com/harbor-releases/harbor-offline-installer-v1.5.0.tgz

#解壓並修改配置文件、安裝
[root@docker ~]# cd /application/
[root@docker application]# ls
harbor-offline-installer-v1.5.0.tgz
[root@docker application]# 
[root@docker application]# tar xf harbor-offline-installer-v1.5.0.tgz 
[root@docker application]# cat harbor.cfg |grep -v ^$|grep -v ^#

_version = 1.5.0

hostname = docker #需要寫IP地址或者域名

ui_url_protocol = http

max_job_workers = 50

customize_crt = on

ssl_cert = /data/cert/server.crt #沒有目錄需要創建

ssl_cert_key = /data/cert/server.key #沒有目錄需要創建

secretkey_path = /data

admiral_url = NA

log_rotate_count = 50

log_rotate_size = 200M

http_proxy =

https_proxy =

no_proxy = 127.0.0.1,localhost,ui

email_identity =

email_server = smtp.mydomain.com

email_server_port = 25

email_username = [email protected]

email_password = abc

email_from = admin <[email protected]>

email_ssl = false

email_insecure = false

harbor_admin_password = 12345 #harbor登錄密碼

auth_mode = db_auth

ldap_url = ldaps://ldap.mydomain.com

ldap_basedn = ou=people,dc=mydomain,dc=com

ldap_uid = uid

ldap_scope = 2

ldap_timeout = 5

ldap_verify_cert = true

ldap_group_basedn = ou=group,dc=mydomain,dc=com

ldap_group_filter = objectclass=group

ldap_group_gid = cn

ldap_group_scope = 2

self_registration = on

token_expiration = 30

project_creation_restriction = everyone

db_host = mysql

db_password = root123

db_port = 3306

db_user = root

clair_db_host = postgres

clair_db_password = password

clair_db_port = 5432

clair_db_username = postgres

clair_db = postgres

uaa_endpoint = uaa.mydomain.org

uaa_clientid = id

uaa_clientsecret = secret

uaa_verify_cert = true

uaa_ca_cert = /path/to/ca.pem

registry_storage_provider_name = filesystem

registry_storage_provider_config =


#安裝並啓動
#安裝之前需要啓動docker,如果docker服務重啓了harbor程序也必須要重新啓動
[root@docker harbor]# ./install.sh
..............................................

4)訪問harbor的web界面
啓動完成後,可以直接訪問harbor的IP地址。啓動的是80端口。
賬號爲admin;密碼爲Harbor12345
在這裏插入圖片描述
在這裏插入圖片描述

五、使用Harbor上傳下載鏡像
1)連接登錄harbor

# docker login 192.168.126.155
輸入用戶名admin/Harbor12345
Login Succeeded #顯示此字段說明登錄成功可以上傳下載鏡像

#連接報錯解決
Error response from daemon: Get https://docker/v2/: dial tcp 192.168.13.129:443: connect: connection refused

#報錯分析
Docker自從1.3.X之後docker registry交互默認使用的是HTTPS,但是我們搭建私有鏡像默認使用的是HTTP服務,所以與私有鏡像交時出現以上錯誤。

#解決辦法:
#修改docker的主配置文件
[root@docker harbor]# vim /etc/docker/daemon.json 
{
        "registry-mirrors":["https://registry.docker-cn.com"],
        "insecure-registries":["192.168.126.155"]    #添加信任的IP地址信息
}

#重啓docker服務和harbor應用程序
[root@docker ~]# systemctl daemon-reload 
[root@docker ~]# systemctl restart docker
[root@docker ~]#docker-compose down
[root@docker harbor]# docker-compose up


#再次嘗試登錄
[root@docker ~]# docker login 192.168.126.155
Username: admin
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

2)上傳鏡像
在Harbor上新創建一個項目供上傳使用
在這裏插入圖片描述

在這裏插入圖片描述
在這裏插入圖片描述

給本地鏡像打標籤

[root@docker ~]# docker tag  httpd:latest  192.168.126.155/test/httpd:v0.1
[root@docker ~]# docker image ls 192.168.126.155/test/httpd
REPOSITORY                   TAG                 IMAGE ID            CREATED             SIZE
192.168.126.155/test/httpd   v0.1                7d85cc3b2d80        10 days ago         154MB

推送鏡像到遠程倉庫harbor上

[root@docker ~]# docker   push   192.168.126.155/test/httpd:v0.1 
The push refers to repository [192.168.126.155/test/httpd]
9e0ab3afff15: Pushed 
7a0960d9b679: Pushed 
8b16516271d6: Pushed 
5bcb93651a74: Pushed 
1c95c77433e8: Pushed 
v0.1: digest: sha256:90cca2f9c32ad25afa180da6b14f35de9990cb02b9007350a5bccef4cac1e1c9 size: 1367

在這裏插入圖片描述

3)拉取鏡像

[root@docker ~]# docker image rm  192.168.126.155/test/httpd:v0.1 
Untagged: 192.168.126.155/test/httpd:v0.1
Untagged: 192.168.126.155/test/httpd@sha256:90cca2f9c32ad25afa180da6b14f35de9990cb02b9007350a5bccef4cac1e1c9
[root@docker ~]# docker  pull   192.168.126.155/test/httpd:v0.1 
v0.1: Pulling from test/httpd
Digest: sha256:90cca2f9c32ad25afa180da6b14f35de9990cb02b9007350a5bccef4cac1e1c9
Status: Downloaded newer image for 192.168.126.155/test/httpd:v0.1
192.168.126.155/test/httpd:v0.1
[root@docker ~]# docker image ls 192.168.126.155/test/httpd:v0.1 
REPOSITORY                   TAG                 IMAGE ID            CREATED             SIZE
192.168.126.155/test/httpd   v0.1                7d85cc3b2d80        10 days ago         154MB

在這裏插入圖片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

docker search的使用詳解

描述 搜索鏡像 用法 docker search [OPTIONS] TERM 選項 --automated:棄用,只列出自動構建類型的鏡像 --filter , -f:基於給定條件過濾輸出 --format:使用模板格式化顯示輸

⑥② 2020-07-07 12:33:08

Docker 中文命令手冊

命令 描述 docker attach 連接到正在運行中的容器 docker build 通過Dockerfile構建一個鏡像 docker builder 管理builds docker checkpoint 管理check

⑥② 2020-07-07 12:33:08

Docker學習1——Docker容器初始

什麼是容器 依託linux內核的虛擬化技術 什麼是docker 能夠把應用自動部署到容器的開源引擎 docker與虛擬器的區別對比 docker的目標 (1)提供簡單輕量的建模方式 (2)職責的邏輯分離 (3)快速高效的開發週期

weixin_40074642 2020-07-06 21:49:52

docker exec命令中的command參數有哪些可以進入shell命令行

在學習docker的時候,發現在執行docker exec的時候,後面跟一個command參數可以進入命令行,那麼有哪些參數可以直接進入shell命令行呢? Shell,它們各有所長,有的佔用資源少,有的支持高級編程功能,有的兼容性好,

⑥② 2020-07-03 09:31:51

Docker學習五:Dockerfile

轉載:https://blog.csdn.net/huangjun0210/article/details/85780802 1. FROM 指定基礎鏡像,並且必須是第一條指令,語法如下: FROM <image> FROM <i

老K的代码world 2020-06-30 11:11:20

docker學習(10)數據卷掛載之使用dockerfile

dockerfile就是用來構建docker鏡像的構建文件,就是一個命令腳本。由於鏡像是一層一層的,腳本也是一個個的命令,代表一層一層的鏡像。 dockerfile也可以實現掛載,示例如下: 我們在/home/docker-test-vo

idol_watch 2020-06-29 07:09:37

docker學習(9) 具名掛載和匿名掛載

一 匿名掛載:不指定容器卷名 docker volume ls 查看所有卷情況 二 具名掛載: 指定數據卷名 通過docker volume inspect 數據卷名查看到掛載目錄  -v /宿主機路徑:容器內路徑   指定路徑掛載

idol_watch 2020-06-29 06:20:43

docker學習(11)數據卷容器

我們現在想實現多個容器數據同步,比如多個Mysql數據同步,掛載了的容器被稱爲父容器。 現在我們先把容器1起一下,用我們上個文章創建的wang/centos [root@wangstudy _data]# docker run -it

idol_watch 2020-06-29 06:20:42

高效率編寫Dockerfile需要繞過的一些坑

前言 在日常的開發和運維中,我們時長會使用Dockerfile腳本製作鏡像。 其實編寫一個Dockerfile文件用到的標籤並不會太多,但是不同的Dockerfile在製作後產生的鏡像大小是不盡相同的,這篇文章就來梳理一下,編寫腳

独行侠梦 2020-06-28 09:20:20

Docker--安裝MySQL5.7

# 1、下載5.7 docker pull mysql:5.7 # 2、啓動 docker run -p 12345:3306 --name mysql -v /zp/mydocker/mysql/conf:/etc/mysql/con

aliaichidantong 2020-06-26 21:04:03

Docker-指令字運用案例

Base鏡像(scratch) Docker Hub 中99%的鏡像都是通過在base鏡像中安裝和配置需要的軟件構建出來的 自定義一個centos鏡像 # 要求: # 1、修改默認目錄 # 2、默認安裝vim 和 ifconfig #

aliaichidantong 2020-06-26 21:04:03

學習Docker(一):安裝Docker

版本: Ubuntu 16.04+ 1. 配置鏡像加速器 # 編輯daemon.json文件 vim /etc/docker/daemon.json # 插入如下json格式配置 { "registry-mirrors"

MicrosoftYahei 2020-06-26 01:21:12

Docker 學習應用篇之一: 初識Docker

    Docker 自從2013年以來就非常的火熱,無論是從github上的代碼活躍度,還是Redhat在RHE6.5中集成對Docker的支持,等等。第一次接觸Docker,還是老師給我們介紹的。  1.初識Docker  一開始接觸

Dacc123 2020-06-22 16:11:31

Docker Machine 概述

目錄 什麼是Docker Machine? 我爲什麼要使用它? Docker Engine和Docker Machine有什麼區別? 我們可以用它來做什麼? 可以在Mac 和 Windows上運行Docker 設置和管理多個遠程Docke

⑥② 2020-06-21 17:50:00

第一次瞭解docker

首先想在win10上運行docker需要開啓win10的Hyper-V功能 開啓就可以了。 然後安裝。 https://hub.docker.com/editions/community/docker-ce-desktop-window

Henny_CHN 2020-06-20 21:39:28