Docker镜像仓库Harbor搭建极其详细

2024-01-07 20:01:28

一、Harbor简介

虽然Docker官方提供了公共的镜像仓库，但是从安全和效率等方面考虑，部署我们私有环境内的Registry也是非常必要的。
Harbor是由VMware公司开源的企业级的Docker
Registry管理项目，相比docker官方拥有更丰富的权限权利和完善的架构设计，适用大规模docker集群部署提供仓库服务。
它主要提供 Dcoker Registry 管理界面UI，可基于角色访问控制,镜像复制， AD/LDAP
集成，日志审核等功能，完全的支持中文。

1.Harbor 的主要功能

基于角色的访问控制

用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。

基于镜像的复制策略

镜像可以在多个Registry实例中复制（可以将仓库中的镜像同步到远程的Harbor，类似于MySQL主从同步功能），尤其适合于负载均衡，高可用，混合云和多云的场景。

图形化用户界面

用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。

支持 AD/LDAP

Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。

镜像删除和垃圾回收

Harbor支持在Web删除镜像，回收无用的镜像，释放磁盘空间。image可以被删除并且回收image占用的空间。

审计管理

所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

RESTful API

RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

部署简单

提供在线和离线两种安装工具，也可以安装到vSphere平台(OVA方式)虚拟设备。

Harbor 的所有组件都在 Docker 中部署，所以 Harbor 可使用 Docker Compose 快速部署。
注意：由于 Harbor 是基于 Docker Registry V2 版本，所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0

二、Harbor 架构组件

1、Proxy：反向代理工具

2、Registry：负责存储docker镜像，处理上传/下载命令。对用户进行访问控制，它指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token，registry会通过公钥对token进行解密验证。

3、Core service：Harbor的核心功能：

UI：图形界面
Webhook：及时获取registry上image状态变化情况，在registry上配置 webhook，把状态变化传递给UI模块。
Token服务：复杂根据用户权限给每个docker
push/p/ull命令签发token。Docker客户端向registry服务发起的请求，如果不包含token，会被重定向到这里，获得token后再重新向registry进行请求。
4、Database：提供数据库服务，存储用户权限，审计日志，docker image分组信息等数据

5、Log collector：为了帮助监控harbor运行，复责收集其他组件的log，供日后进行分析

三、实验部署

1.环境准备

两台虚拟机：

harbor (harbor服务端，用于搭建私有仓库)

192.168.100.22 docker-ce、docker-compose（必须安装）、Harbor

client（客户端，用于远程访问私有仓库）

192.168.100.20 docker-ce

2.安装compose 和 harbor

1.确保docker-compose已能使用
[root@server1 harbor]# mv docker-compose /usr/local/bin/
[root@server1 harbor]# chmod +x /usr/local/bin/docker-compose
[root@server1 harbor]# docker-compose -v
docker-compose version 1.21.1, build 5a3f1a3
2.将harbor-offline-installer-v1.2.2.tgz软件包上传到/root目录下，解压到/usr/local/目录下
tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/
3. 配置 Harbor 参数文件
vim /usr/local/harbor/harbor.cfg
//5 hostname = 192.168.100.22

4.启动 Harbor
[root@server1 harbor]# cd /usr/local/harbor/
[root@server1 harbor]# ls
common                     docker-compose.yml     harbor.v1.2.2.tar.gz  NOTICE
docker-compose.clair.yml   harbor_1_1_0_template  install.sh            prepare
docker-compose.notary.yml  harbor.cfg             LICENSE               upgrade
[root@server1 harbor]# sh install.sh

//查看compose编排的容器 docker-compose ps
6.打开浏览器访问 http://192.168.100.22的管理页面
默认的管理员用户名和密码是 admin/Harbor12345
配置文件59行默认的#harbor_admin_password = Harbor12345

此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下，
Register 服务器在端口 80 上侦听。

#登录harbor的字符界面
docker login -u admin -p Harbor12345 http://127.0.0.1


#先从官方公有仓库下载一个镜像
docker pull nginx

#添加标签，这个标签不能改，127.0.0.1代表本地地址，myimage指定项目，nginx:v1指定具体镜像名称和版本
docker tag nginx 127.0.0.1/myimage/nginx:v1

#上传镜像到私有仓库
docker push 127.0.0.1/myimage/nginx

#注意：在harbor服务器上登录、定制tag、上传镜像都需要使用127.0.0.1,若想要通过ip192.168.100.22,需要在配置文件中添加字段

3.客户端远程访问管理 harbor

[root@localhost ~]# vi /usr/lib/systemd/system/docker.service 
#合适位置添加，末尾
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --insecure-registry 192.168.100.22

[root@localhost ~]# vi /usr/lib/systemd/system/docker.service 
[root@localhost ~]# systemctl daemon-reload 
[root@localhost ~]# systemctl restart docker.service 
[root@localhost ~]# docker login -u admin -p Harbor12345 http://192.168.100.22
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

4.客户端下载、上传镜像到私有仓库

下载私有仓库的镜像

[root@localhost ~]# docker pull 192.168.100.22/images/nginx:v1

上传镜像到私有仓库

//先从官方仓库下载nginx镜像
[root@localhost ~]# docker pull nginx
[root@localhost ~]# docker tag nginx:latest 192.168.100.22/images/nginx:v2

上传镜像到私有仓库
[root@localhost ~]# docker push 192.168.100.22/images/nginx:v2
The push refers to repository [192.168.100.22/images/nginx]
7e914612e366: Layer already exists 
f790aed835ee: Layer already exists 
850c2400ea4d: Layer already exists 
7ccabd267c9f: Layer already exists 
f5600c6330da: Layer already exists 
v2: digest: sha256:99d0a53e3718cef59443558607d1e100b325d6a2b678cd2a48b05e5e22ffeb49 size: 1362

四、Harbor 管理维护

1.修改 Harbor.cfg 配置文件

修改harbor.cfg配置文件，先停止现有的Harbor实例并更新harbor.cfg中的配置，然后再运行prepare脚重新加载配置，最后重新创建并且启动harbor的实例。

关闭所有容器

 docker-compose down -v

[root@server1 harbor]# ls
common                     docker-compose.yml     harbor.v1.2.2.tar.gz  NOTICE
docker-compose.clair.yml   harbor_1_1_0_template  install.sh            prepare
docker-compose.notary.yml  harbor.cfg             LICENSE               upgrade
[root@server1 harbor]# vi harbor.cfg 
[root@server1 harbor]# ./prepare 
[root@server1 harbor]# systemctl restart docker
[root@server1 harbor]# docker-compose up -d

2.UI 界面操作

创建新用户

在项目里添加新的用户成员。

在client上，使用新用户远程登录harbor，来进行下载和上传镜像

//首先退出已登陆的账号
[root@localhost ~]# docker logout http://192.168.100.22
Removing login credentials for 192.168.100.22
[root@localhost ~]# docker login http://192.168.100.22
Username: cjf
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

改tag
[root@localhost ~]# docker tag nginx:latest 192.168.100.22/images/nginx:v3
///cjf上传镜像到私有仓库
[root@localhost ~]# docker push 192.168.100.22/images/nginx:v3
The push refers to repository [192.168.100.22/images/nginx]
7e914612e366: Layer already exists 
f790aed835ee: Layer already exists 
850c2400ea4d: Layer already exists 
7ccabd267c9f: Layer already exists 
f5600c6330da: Layer already exists 
v3: digest: sha256:99d0a53e3718cef59443558607d1e100b325d6a2b678cd2a48b05e5e22ffeb49 size: 1362

码农公寓

目录