搭建Harbor私有镜像仓库及常用操作

一、Harbor简介

 

• 虽然Docker官方提供了公共的镜像仓库，但是从安全和效率等方面考虑，部署我们私有环境内的Registry也是非常必要的。

• Harbor是由VMware公司开源的企业级的Docker Registry管理项目，相比docker官方拥有更丰富的权限权利和完善的架构设计，适用大规模docker集群部署提供仓库服务。

• 它主要提供 Dcoker Registry 管理界面UI，可基于角色访问控制,镜像复制， AD/LDAP 集成，日志审核等功能，完全的支持中文。

  

二、Harbor 的主要功能

• 基于角色的访问控制

用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。

• 基于镜像的复制策略

镜像可以在多个Registry实例中复制（可以将仓库中的镜像同步到远程的Harbor，类似于MySQL主从同步功能），尤其适合于负载均衡，高可用，混合云和多云的场景。

• 图形化用户界面

用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。

• 支持 AD/LDAP

Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。

• 镜像删除和垃圾回收

Harbor支持在Web删除镜像，回收无用的镜像，释放磁盘空间。image可以被删除并且回收image占用的空间。

• 审计管理

所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

• RESTful API

RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

• 部署简单

提供在线和离线两种安装工具， 也可以安装到vSphere平台(OVA方式)虚拟设备。

Harbor 的所有组件都在 Docker 中部署，所以 Harbor 可使用 Docker Compose 快速部署。 注意： 由于 Harbor 是基于 Docker Registry V2 版本，所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0

三、Harbor 架构组件

架构组件图：

1、Proxy：反向代理工具

2、Registry：负责存储docker镜像，处理上传/下载命令。对用户进行访问控制，它指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token，registry会通过公钥对token进行解密验证。

3、Core service：Harbor的核心功能：

• UI：图形界面

• Webhook：及时获取registry上image状态变化情况，在registry上配置 webhook，把状态变化传递给UI模块。

• Token服务：复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求，如果不包含token，会被重定向到这里，获得token后再重新向registry进行请求。

4、Database：提供数据库服务，存储用户权限，审计日志，docker image分组信息等数据

5、Log collector：为了帮助监控harbor运行，复责收集其他组件的log，供日后进行分析

四、Harbor 部署

4.1环境准备

两台虚拟机

harbor (harbor服务端，用于搭建私有仓库)

docker-ce（版本 > = 1.10.0）、docker-compose>= 1.6.0（必须安装）、Harbor离线安装

client（客户端，用于远程访问私有仓库） docker-ce（版本 > = 1.10.0）

4.2推送镜像到harbor仓库

包含初始化虚拟机、安装docker、dockercompose的小脚本 /usr/local/init.sh

#!/bin/bash
#vim /usr/local/init.sh
set -ex
# 这里是要被判断执行状态的命令（成功或者失败）
systemctl stop firewalld
systemctl disable firewalld
sed -i 's%enforcing%disabled%g' /etc/selinux/config
# 这里是判断上条命令是否执行成功的语句块
if [ $? -eq 0 ]; then
    echo "succeed"
else
    echo "failed"
fi
#安装必备软件
yum -y install epel-release  java  wget git maven lrzsz lsof vim 
#安装docker最新版
&&echo "安装docker相关依赖环境"  
&&yum -y install yum-utils device-mapper-persistent-data lvm2 
#安装docker的yum源
yum-config-manager 
    --add-repo 
    http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
#安装最新的docker和docker-compose
yum -y install docker-ce docker-ce-cli containerd.io docker-compose
#查看docker版本
docker version|grep Version
# 启动docker服务
systemctl start docker  
# 查看状态
systemctl status docker|grep  Active
# 开机启动
systemctl enable docker 
echo "配置docker镜像加速器"
cd /etc/docker
cat <<EOF >/etc/docker/daemon.json
{
  "registry-mirrors": ["https://80ycccai.mirror.aliyuncs.com"]
} 
EOF
#重启docker
systemctl daemon-reload
systemctl restart docker
echo "查看镜像加速器是否配置成功"
docker info|grep ali
echo "初始化已完成"
 

4.3 部署harbor及配置访问

#使用离线安装方式,这里我们已经从官网下载了安装包

#地址：https://github.com/goharbor/harbor/releases
#放到/usr/local/目录下并解压
cp ~/harbor-offline-installer-v2.2.1.tgz /usr/local
tar zxvf harbor-offline-installer-v2.2.1.tgz
#准备环境
[root@docker harbor]# ./prepare 
#执行安装脚本，此过程包含拉取镜像，启动容器
[root@docker harbor]# ./install.sh

 
​

访问地址为 172.19.12.84

账号：admin

密码：Harbor12345

4.4 推送镜像

修改docker文件，修改tag并推送的小脚本auto-push.sh

（适用于只跑一个docker容器的，如果有多个docker容器，则需要修改部分代码）

#!/bin/bash
set -ex
cd /etc/docker
sed -i '2i "insecure-registries":["172.19.12.84"],' /etc/docker/daemon.json
grep "insecure-registries" /etc/docker/daemon.json
if [ $? -eq 0 ]; then
    echo "succeed 配置信任网站 "
else
    echo "failed 请检查配置"
fi
echo "重启docker服务"
systemctl restart docker
#5-12表示5月12日的镜像标签为v1
echo "获取docker运行的容器名"
container=`docker ps|grep -v ID|awk '{print $2}'`
echo "给容器打新的tag"
docker tag $container $container/5-12:v1
echo "在项目中标记镜像"
docker tag $container/5-12:v1 172.19.12.84/zj-school-project/$container/5-12:v1
echo "登陆Harbor仓库"
docker login 172.19.12.84 -u admin -p Harbor12345
if [ $? -eq 0 ]; then
    echo "登陆Harbor仓库成功"
else
    echo "登陆Harbor仓库失败"
fi
echo "开始推送指定镜像到Harbor仓库"
docker push 172.19.12.84/zj-school-project/$container/5-12:v1

4.4 拉取镜像

选择对应的镜像，复制拉去命令到客户端执行即可