Bootstrap

Docker--harbor私有仓库部署与管理

一、搭建本地私有仓库

步骤概述

1. 下载并配置 registry 镜像

docker pull registry

2.  编辑 Docker 配置文件 daemon.json

{
  "insecure-registries": ["192.168.10.23:5000"],
  "registry-mirrors": ["https://ae3f5qei.mirror.aliyuncs.com"]
}

3. 重启 Docker 服务

systemctl restart docker.service

4. 运行 registry 容器

docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest
  • -itd:交互式操作并在后台运行容器。
  • -v:挂载宿主机目录到容器中,实现数据持久化。
  • -p:映射端口,将宿主机的 5000 端口映射到容器的 5000 端口。
  • --restart=always:容器退出时自动重启。
  • registry:latest:使用的 Docker 镜像名称和标签。

5. 为镜像打标签和上传

docker tag centos:7 192.168.10.23:5000/centos:v1
docker push 192.168.10.23:5000/centos:v1

6.管理私有仓库

列出所有镜像:
curl http://192.168.10.23:5000/v2/_catalog

查询镜像的 tags:
curl http://192.168.10.23:5000/v2/centos/tags/list

二、Harbor 简介

2.1 什么是 Harbor

Harbor 是一个开源的企业级 Docker 镜像仓库,由 VMware 公司开发并维护。它提供了比 Docker Hub 更多的功能和安全性,特别适合用于私有环境中的容器镜像管理。

2.2 Harbor 特性

  1. 角色控制:Harbor 提供了基于角色的访问控制(Role-Based Access Control, RBAC),允许管理员精细地控制用户对不同资源的访问权限。

  2. 镜像的复制策略:Harbor 支持镜像复制功能,可以将镜像从一个仓库复制到另一个仓库,甚至跨数据中心复制。

  3. 支持 AD/LDAP:Harbor 可以与 Active Directory 或 Lightweight Directory Access Protocol(LDAP)集成,从而利用现有企业身份管理系统进行用户认证。

  4. 镜像删除和回收:用户可以删除不再需要的镜像,Harbor 也会定期清理无用的数据,节省存储空间。

  5. 可视化界面:Harbor 提供了一个用户友好的 Web 界面,让用户可以方便地查看和管理镜像仓库。

  6. 审计管理:Harbor 记录所有的操作,便于审计和追踪。

  7. 支持 RESTful API:用户可以通过 RESTful API 自动化管理 Harbor,比如创建、更新和删除镜像。

  8. 升级版:Harbor 是一个升级版的私有仓库,相比基础的 Docker 仓库,它提供了更多高级功能和更好的用户体验。

2.3 Harbor 构成

1. Proxy:通过一个前置的反向代理接受(浏览器)客户端请求,并转发到你的后端不同的服务。

2. Registry:负责镜像存储,通过 pull/push 上传下载。

3. Core services:提供核心功能,包括 webhook、UI、token、认证服务等。

  • Webhook:负责网站的一些服务功能(内部所有状态转发表面)。
  • UI:显示可视化界面。
  • Token:令牌认证服务(身份认证)。

4. Database:给核心功能提供的服务都会记录数据(镜像、分组等)并认证用户信息,你可以认为是元信息。

5. Log coller:负责收集各个组件的日志,为我们提供分析以及健康检查等。

6. Job services:主要镜像复制,本地镜像可以同步到其他私有仓库(Harbor)。

7. Adminserver:主要做一个后端配置的数据管理员,它没有其他功能。

这些组件共同构成了 Harbor 的核心功能,它们相互协作,提供了一个完整的私有镜像仓库解决方案。例如,Proxy 作为前端接收用户请求,然后转发给 Registry 进行镜像的存储和分发;Core services 提供了认证、日志记录、UI 显示等功能;Database 则存储了元数据和用户信息;Log coller 收集日志,帮助管理员监控系统状态;Job services 负责镜像复制等任务;Adminserver 则用于管理后端配置。

2.4 Harbor私有仓库交互过程

整个工作流程:

  • 当客户端(如 Docker 客户端)想要访问 Harbor 时,首先通过 Nginx 反向代理将请求转发到 Core Services。
  • Core Services 包括 UI、token、webhook 等组件,它们处理用户的请求并返回结果。
  • 如果需要存储或查询镜像,请求会被转发到 Registry。
  • 如果需要执行镜像复制策略,则由 Job Services 处理。
  • 在整个过程中,Log Collector 会收集所有组件的操作日志,以便进行后续的分析和审计。

三、Harbor 部署

Harbor服务器            192.168.10.23        docker-ce、docker-compose、harbor-offline-v1.2.2
client服务器            192.168.10.13        docker-ce


3.1 部署 Docker-Compose 服务

//下载或者上传 Docker-Compose
curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

docker-compose --version


3.2 部署 Harbor 服务

(1)下载或上传 Harbor 安装程序

wget http://harbor.orientsoft.cn/harbor-1.2.2/harbor-offline-installer-v1.2.2.tgz

tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/

(2)修改harbor安装的配置文件

vim /usr/local/harbor/harbor.cfg
--5行--修改,设置为Harbor服务器的IP地址或者域名
hostname = 192.168.10.23
--59行--指定管理员的初始密码,默认的用户名/密码是admin/Harbor12345
harbor_admin_password = Harbor12345

3.3 启动 Harbor

cd /usr/local/harbor/
在配置好了 harbor.cfg 之后,执行 ./prepare 命令,为 harbor 启动的容器生成一些必要的文件(环境)
再执行命令 ./install.sh 以 pull 镜像并启动容器

3.4 查看 Harbor 启动镜像

cd /usr/local/harbor/
docker-compose ps

3.5 创建一个新项目

(1)浏览器访问:http://192.168.10.23 登录 Harbor WEB UI 界面,默认的管理员用户名和密码是 admin/Harbor12345

(2)输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮

(3)填写项目名称为“myproject-kgc”,点击“确定”按钮,创建新项目

(4)此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下,Registry 服务器在端口 80 上侦听。

//登录 Harbor
docker login [-u admin -p Harbor12345] http://127.0.0.1

//下载镜像进行测试

docker pull nginx

//将镜像打标签
格式:docker tag 镜像:标签  仓库IP/项目名称/镜像名:标签

docker tag nginx:latest 127.0.0.1/myproject-kgc/nginx:v1

//上传镜像到 Harbor

docker push 127.0.0.1/myproject-kgc/nginx:v1

(5)在 Harbor 界面 myproject-kgc 目录下可看见此镜像及相关信息

3.6 在其他客户端上传镜像

以上操作都是在 Harbor 服务器本地操作。如果其他客户端登录到 Harbor,就会报如下错误。出现这问题的原因为Docker Registry 交互默认使用的是 HTTPS,但是搭建私有镜像默认使用的是 HTTP 服务,所以与私有镜像交互时出现以下错误。


(1)在 Docker 客户端配置操作
//解决办法是:在 Docker server 启动的时候,增加启动参数,默认使用 HTTP 访问。

vim /usr/lib/systemd/system/docker.service
--13行--修改
ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.10.23 --containerd=/run/containerd/containerd.sock
或
ExecStart=/usr/bin/dockerd --insecure-registry 192.168.10.23

//重启 Docker,再次登录

systemctl daemon-reload
systemctl restart docker

//再次登录 Harbor

docker login -u admin -p Harbor12345 http://192.168.10.23

//将自动保存凭据到/root/.docker/config.json,下次登录时可直接使用凭据登录 Harbor
 

//下载镜像进行测试

docker pull 192.168.10.23/myproject-kgc/nginx:v1

//上传镜像进行测试

docker tag redis:latest 192.168.10.23/myproject-kgc/redis:v2

docker push 192.168.10.23/myproject-kgc/redis:v2

(2)刷新 Harbor 的 Web 管理界面进行查看,会发现 myproject-kgc 项目里面有两个镜像

四、维护管理 Harbor 指南

4.1 通过 Harbor Web 创建项目

在 Harbor 仓库中,任何镜像在被 push 到 registry 之前都必须有一个自己所属的项目。

  1. 登录 Harbor Web 界面。

  2. 单击“+项目”,填写项目名称,例如 myproject-kgc

  3. 项目级别若设置为"私有",则不勾选。如果设置为公共仓库,则所有人对此项目下的镜像拥有读权限,命令行中不需要执行 Docker login 即可下载镜像,镜像操作与 Docker Hub 一致。

4.2 创建 Harbor 用户

(1)创建用户并分配权限

  1. 在 Web 管理界面中单击系统管理 -> 用户管理 -> +用户。

  2. 填写用户名为“kgc-zhangsan”,邮箱为“[email protected]”,全名为“zhangsan”,密码为“Abc123456”,注释为“管理员”(可省略)。

  3. 用户创建成功后,单击左侧“...”按钮可将上述创建的用户设置为管理员角色或进行删除操作,本例不作任何设置。

(2)添加项目成员

  1. 单击项目 -> myproject-kgc -> 成员 -> + 成员。

  2. 填写上述创建的用户 kgc-zhangsan 并分配角色为“开发人员”。

  3. 此时单击左侧“...”按钮仍然可对成员角色进行变更或者删除操作。

(3)在客户端上使用普通账户操作镜像

登出原来用户,再用创建的新用户登录

用新用户操作动作上传镜像

4.3 查看日志

Harbor Web 界面的操作日志按时间顺序记录用户相关操作,方便管理员查看和审计。

4.4 移除 Harbor 服务容器同时保留镜像数据/数据库,并进行迁移

(1)移除 Harbor 服务容器

cd /usr/local/harbor
docker-compose down -v

(2)把项目中的镜像数据进行打包

持久数据,如镜像,数据库等在宿主机的 /data/ 目录下,日志在宿主机的 /var/log/Harbor/ 目录下。

ls /data/registry/docker/registry/v2/repositories/myproject-kgc
cd /data/registry/docker/registry/v2/repositories/myproject-kgc
tar zcvf kgc-registry.tar.gz ./*

4.5 如需重新部署,需要移除 Harbor 服务容器全部数据

cd /usr/local/harbor
docker-compose down -v
rm -r /data/database
rm -r /data/registry

通过以上步骤,可以管理和维护 Harbor 仓库,包括创建项目、用户、管理镜像、查看日志以及进行配置文件的修改和数据迁移

;