〖Docker 指南⑧〗Docker 私有镜像仓库|阿里云|Registry|Harbor
一、Docker 私有库
1.1 下载 Docker Registry
docker pull registry
1.2 运行私有库 Registry
相当于本地有个私有的 Docker hub
docker run -d -p 5000:5000 -v /home/issavior/registry:/tmp/registry --privileged=true registry
默认情况下,仓库被创建在容器的/var/lib/registry
目录下,建议自行用容器卷映射,方便于宿主机联调
1.3 制作自己的镜像
1.4 查看私服库的镜像
curl http://172.20.10.13:5000/v2/_catalog
1.5 修改 tag
docker tag issa/myubuntu:1.16 172.20.10.13:5000/issa/myubuntu:1.16
1.6 开启 http 方式推送镜像
cat /etc/docker/daemon.json
在这里插入图片描述
重启 docker,启动 registry
1.7 推送镜像
docker push 172.20.10.13:5000/issa/myubuntu
1.8 查看私服库的镜像
curl http://172.20.10.13:5000/v2/_catalog
在这里插入图片描述
1.9 拉取镜像
docker pull 172.20.10.13:5000/issa/myubuntu
二、本地镜像发布到阿里云
2.1 本地镜像发布到阿里云流程
请添加图片描述
2.2 镜像的生成方法
前面的 DockerFile:〖Docker指南⑤〗学习Dockerfile,看这一篇就够了
从容器创建一个新的镜像
docker commit [OPTIONS] 容器ID [REPOSITORY[:TAG]]
OPTIONS 说明:
-a :提交的镜像作者;
-m :提交时的说明文字;
2.3 将本地镜像推送到阿里云
打开阿里云的容器镜像服务
在这里插入图片描述
进入个人实例
创建命名空间
选择命名空间
创建镜像仓库
在这里插入图片描述
按着命令完成操作即可
三、企业级私有仓库 harbor
3.1 Harbor 概念
Harbor 是 VMware 公司开源的企业级 Docker Registry 项目,其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务。
Harbor 以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。
Harbor 的每个组件都是以 Docker 容器的形式构建的,使用 docker-compose 来对它进行部署。用于部署 Harbor 的 docker-compose 模板位于 harbor/docker-compose.yml。
3.2 Harbor 的特性
基于角色控制:用户和仓库都是基于项目进行组织的,而用户在项目中可以拥有不同的权限。基于镜像的复制策略:镜像可以在多个 Harbor 实例之间进行复制(同步)。
支持 LDAP/AD:Harbor 可以集成企业内部已有的 AD/LDAP(类似数据库的一张表),用于对已经存在的用户认证和管理。
镜像删除和垃圾回收:镜像可以被删除,也可以回收镜像占用的空间。
图形化用户界面:用户可以通过浏览器来浏览,搜索镜像仓库以及对项目进行管理。
审计管理:所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
支持 RESTful API:RESTful API 提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易。
Harbor 和 docker registry 的关系:Harbor 实质上是对 docker registry 做了封装,扩展了自己的业务模板。
3.3 Harbor 的构成
Harbor 在架构上主要有 Proxy、Registry、Core services、Database(Harbor-db)、Log collector(Harbor-log)、Job services 六个组件。
Proxy
Harbor 的 Registry、UI、Token 服务等组件,都处在 nginx 反向代理后边。该代理将来自浏览器、docker clients 的请求转发到后端不同的服务上。
Registry
负责储存 Docker 镜像,并处理 Docker push/pull 命令。由于要对用户进行访问控制,即不同用户对 Docker 镜像 有不同的读写权限,Registry 会指向一个 Token 服务,强制用户的每次 Docker pull/push 请求都要携带一个合法的 Token, Registry 会通过公钥对 Token 进行解密验证。
Core services
Harbor 的核心功能,主要提供以下 3 个服务:
UI(harbor-ui): 提供图形化界面,帮助用户管理 Registry 上的镜像(image), 并对用户进行授权。
WebHook:为了及时获取 Registry 上 image 状态变化的情况,在 Registry 上配置 Webhook,把状态变化传递给 UI 模块。
Token 服务:负责根据用户权限给每个 Docker push/pull 命令签发 Token。Docker 客户端向 Registry 服务发起的请求, 如果不包含 Token,会被重定向到 Token 服务,获得 Token 后再重新向 Registry 进行请求。
Database(harbor-db)
为 core services 提供数据库服务,负责储存用户权限、审计日志、Docker 镜像分组信息等数据。
Job services
主要用于镜像复制,本地镜像可以被同步到远程 Harbor 实例上。
Log collector(harbor-log)
负责收集其他组件的日志到一个地方。
Harbor 的每个组件都是以 Docker 容器的形式构建的,因此,使用 Docker Compose 来对它进行部署。
总共分为 7 个容器运行,通过在 docker-compose.yml 所在目录中执行 docker-compose ps 命令来查看, 名称分别为:nginx、harbor-jobservice、harbor-ui、harbor-db、harbor-adminserver、registry、harbor-log。
其中 harbor-adminserver 主要是作为一个后端的配置数据管理,并没有太多的其他功能。harbor-ui 所要操作的所有数据都通过 harbor-adminserver 这样一个数据配置管理中心来完成。
3.4 Harbor 部署
3.4.1 环境准备
3.4.2 部署 Docker-Compose 服务(192.168.80.11 )
在这里插入图片描述
3.4.3 部署 Harbor 服务(192.168.80.11)
如果下载不了的话,自行去 github 下载:https://github.com/goharbor/harbor/releases
3.4.4 修改 harbor 安装的配置文件
注:新版本将.cfg
改为.yml
,原理都一样
3.4.5 Harbor.cfg 配置文件中两类参数:所需参数和可选参数
**所需参数
**:这些参数需要在配置文件 Harbor.cfg 中设置。如果用户更新它们并运行 install.sh 脚本重新安装 Harbour, 参数将生效。具体参数如下:
hostname:用于访问用户界面和 register 服务。它应该是目标机器的 IP 地址或完全限定的域名(FQDN),例如 192.168.80.11 或 hub.111.cn。不要使用 localhost 或 127.0.0.1 为主机名。
ui_url_protocol:(http 或 https,默认为 http)用于访问 UI 和令牌/通知服务的协议。如果共证处于启用状态,则此参数必须为 https。
max_job_workers:镜像复制作业线程。
db_password:用于 db_auth 的 MySQL 数据库 root 用户的密码。
customize_crt:该属性可设置为打开或关闭,默认打开。打开此属性时,准备脚本创建私钥和根证书,用于生成/验证注册表令牌。当由外部来源提供密钥和根证书时,将此属性设置为 off。
ssl_cert:SSL 证书的路径,仅当协议设置为 https 时才应用。
secretkey_path:用于在复制策略中加密或解密远程 register 密码的密钥路径。
**可选参数
**:这些参数对于更新是可选的,即用户可以将其保留为默认值,并在启动 Harbor 后在 Web UI 上进行更新。如果进入 Harbor.cfg,只会在第一次启动 Harbor 时生效,随后对这些参数的更新,Harbor.cfg 将被忽略。
注意:如果选择通过 UI 设置这些参数,请确保在启动 Harbor 后立即执行此操作。具体来说,必须在注册或在 Harbor 中创建任何新用户之前设置所需的 auth_mode。当系统中有用户时(除了默认的 admin 用户), auth_mode 不能被修改。
具体参数如下:
Email:Harbor 需要该参数才能向用户发送“密码重置”电子邮件,并且只有在需要该功能时才启用。请注意,在默认情况下 SSL 连接时没有启用。如果 SMTP 服务器需要 SSL,但不支持 STARTTLS,那么应该通过设置启用 SSL email_ssl = TRUE。
harbour_admin_password:管理员的初始密码,只在 Harbour 第一次启动时生效。之后, 此设置将被忽略,并且应在 UI 中设置管理员的密码。请注意,默认的用户名/密码是 admin/Harbor12345。
auth_mode:使用的认证类型,默认情况下,它是 db_auth,即凭据存储在数据库中。对于 LDAP 身份验证,请将其设置为 ldap_auth。
self_registration:启用/禁用用户注册功能。禁用时,新用户只能由 Admin 用户创建,只有管理员用户可以在 Harbour 中创建新用户。注意:当 auth_mode 设置为 ldap_auth 时,自注册功能将始终处于禁用状态,并且该标志被忽略。
Token_expiration:由令牌服务创建的令牌的到期时间(分钟),默认为 30 分钟。
project_creation_restriction:用于控制哪些用户有权创建项目的标志。默认情况下,每个人都可以创建一个项目。如果将其值设置为“adminonly”,那么只有 admin 可以创建项目。
verify_remote_cert:打开或关闭,默认打开。此标志决定了当 Harbor 与远程 register 实例通信时是否验证 SSL/TLS 证书。 将此属性设置为 off 将绕过 SSL/TLS 验证,这在远程实例具有自签名或不可信证书时经常使用。
另外,默认情况下,Harbour 将镜像存储在本地文件系统上。在生产环境中,可以考虑 使用其他存储后端而不是本地文件系统,如 S3、Openstack Swif、Ceph 等对象存储。但需要更新 common/templates/registry/config.yml 文件。
3.4.6 启动 Harbor
如果报错如下
在这里插入图片描述
则注释掉 harbor.yml 文件的 https 这些
在这里插入图片描述
3.4.7 创建一个新项目
浏览器访问:http://192.168.80.11 登录 Harbor WEB UI 界面,默认的管理员用户名和密码是 admin/Harbor12345
输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮
填写项目名称为“ossa”,点击“确定”按钮,创建新项目
3.4.8 登录 Harbor
docker login [-u admin -p Harbor12345] http://127.0.0.1
此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下,Registry 服务器在端口 80 上侦听。
在这里插入图片描述
3.4.9 下载镜像进行测试
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
3.5 在其他客户端上传镜像(192.168.80.12)
以上操作都是在 Harbor 服务器本地操作。如果其他客户端登录到 Harbor,就会报 http 相关错误。
出现这问题的原因为 Docker Registry 交互默认使用的是 HTTPS,但是搭建私有镜像默认使用的是 HTTP 服务,所以与私有镜像交互时出现以下错误。
docker login -u admin -p Harbor12345 http://192.168.80.11
3.5.1 登录错误解决办法
3.5.2 再次登录 Harbor
docker login -u admin -p Harbor12345 http://192.168.80.11
3.5.3 镜像测试
3.6 维护管理 Harbor
3.6.1 通过 Harbor Web 创建项目
在 Harbor 仓库中,任何镜像在被 push 到 regsitry 之前都必须有一个自己所属的项目。
单击“+项目”,填写项目名称,项目级别若设置为"私有",则不勾选。如果设置为公共仓库,则所有人对此项目下的镜像拥有读权限,命令行中不需要执行"Docker login"即可下载镜像,镜像操作与 Docker Hub 一致。
3.6.2 创建 Harbor 用户
创建用户并分配权限
在 Web 管理界面中单击系统管理 -> 用户管理 -> +用户,
填写用户名为“issa”,邮箱为“issa@163.com”,全名为“issavior”,密码为“123456”,注释为“管理员”(可省略)。
附:用户创建成功后,单击左侧“...”按钮可将上述创建的用户设置为管理员角色或进行删除操作,本例不作任何设置。
添加项目成员
单击项目 -> ossa-> 成员 -> + 成员,填写上述创建的用户 lk 并分配角色为“开发人员”。
附:此时单击左侧“...”按钮仍然可对成员角色进行变更或者删除操作
在客户端上使用普通账户操作镜像
修改 Harbor.cfg 配置文件
移除 Harbor 服务容器同时保留镜像数据/数据库,并进行迁移
版权声明: 本文为 InfoQ 作者【步尔斯特】的原创文章。
原文链接:【http://xie.infoq.cn/article/534bbdb0a125be7eb7feb42e0】。文章转载请联系作者。
评论