-
虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。
-
Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。
-
它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制, AD/LDAP 集成,日志审核等功能,完全的支持中文。
二、Harbor 的主要功能
-
基于角色的访问控制
用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。
-
基于镜像的复制策略
镜像可以在多个Registry实例中复制(可以将仓库中的镜像同步到远程的Harbor,类似于MySQL主从同步功能),尤其适合于负载均衡,高可用,混合云和多云的场景。
-
图形化用户界面
用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。
-
支持 AD/LDAP
Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。
-
镜像删除和垃圾回收
Harbor支持在Web删除镜像,回收无用的镜像,释放磁盘空间。image可以被删除并且回收image占用的空间。
-
审计管理
所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
-
RESTful API
RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。
-
部署简单
提供在线和离线两种安装工具, 也可以安装到vSphere平台(OVA方式)虚拟设备。
Harbor 的所有组件都在 Docker 中部署,所以 Harbor 可使用 Docker Compose 快速部署。 注意: 由于 Harbor 是基于 Docker Registry V2 版本,所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0
三、Harbor 架构组件
架构组件图:
1、Proxy:反向代理工具
2、Registry:负责存储docker镜像,处理上传/下载命令。对用户进行访问控制,它指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token,registry会通过公钥对token进行解密验证。
3、Core service:Harbor的核心功能:
-
UI:图形界面
-
Webhook:及时获取registry上image状态变化情况,在registry上配置 webhook,把状态变化传递给UI模块。
-
Token服务:复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向registry进行请求。
4、Database:提供数据库服务,存储用户权限,审计日志,docker image分组信息等数据
5、Log collector:为了帮助监控harbor运行,复责收集其他组件的log,供日后进行分析
四、Harbor 部署
4.1环境准备
两台虚拟机
harbor (harbor服务端,用于搭建私有仓库)
docker-ce(版本 > = 1.10.0)、docker-compose>= 1.6.0(必须安装)、Harbor离线安装
client(客户端,用于远程访问私有仓库) docker-ce(版本 > = 1.10.0)
4.2推送镜像到harbor仓库
包含初始化虚拟机、安装docker、dockercompose的小脚本 /usr/local/init.sh
#!/bin/bash #vim /usr/local/init.sh set -ex # 这里是要被判断执行状态的命令(成功或者失败) systemctl stop firewalld systemctl disable firewalld sed -i 's%enforcing%disabled%g' /etc/selinux/config # 这里是判断上条命令是否执行成功的语句块 if [ $? -eq 0 ]; then echo "succeed" else echo "failed" fi #安装必备软件 yum -y install epel-release java wget git maven lrzsz lsof vim #安装docker最新版 &&echo "安装docker相关依赖环境" &&yum -y install yum-utils device-mapper-persistent-data lvm2 #安装docker的yum源 yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo #安装最新的docker和docker-compose yum -y install docker-ce docker-ce-cli containerd.io docker-compose #查看docker版本 docker version|grep Version # 启动docker服务 systemctl start docker # 查看状态 systemctl status docker|grep Active # 开机启动 systemctl enable docker echo "配置docker镜像加速器" cd /etc/docker cat <<EOF >/etc/docker/daemon.json { "registry-mirrors": ["https://80ycccai.mirror.aliyuncs.com"] } EOF #重启docker systemctl daemon-reload systemctl restart docker echo "查看镜像加速器是否配置成功" docker info|grep ali echo "初始化已完成"
4.3 部署harbor及配置访问
#使用离线安装方式,这里我们已经从官网下载了安装包
#地址:https://github.com/goharbor/harbor/releases #放到/usr/local/目录下并解压 cp ~/harbor-offline-installer-v2.2.1.tgz /usr/local tar zxvf harbor-offline-installer-v2.2.1.tgz #准备环境 [root@docker harbor]# ./prepare #执行安装脚本,此过程包含拉取镜像,启动容器 [root@docker harbor]# ./install.sh
访问地址为 172.19.12.84
账号:admin
密码:Harbor12345
4.4 推送镜像
修改docker文件,修改tag并推送的小脚本auto-push.sh
(适用于只跑一个docker容器的,如果有多个docker容器,则需要修改部分代码)
#!/bin/bash set -ex cd /etc/docker sed -i '2i "insecure-registries":["172.19.12.84"],' /etc/docker/daemon.json grep "insecure-registries" /etc/docker/daemon.json if [ $? -eq 0 ]; then echo "succeed 配置信任网站 " else echo "failed 请检查配置" fi echo "重启docker服务" systemctl restart docker #5-12表示5月12日的镜像标签为v1 echo "获取docker运行的容器名" container=`docker ps|grep -v ID|awk '{print $2}'` echo "给容器打新的tag" docker tag $container $container/5-12:v1 echo "在项目中标记镜像" docker tag $container/5-12:v1 172.19.12.84/zj-school-project/$container/5-12:v1 echo "登陆Harbor仓库" docker login 172.19.12.84 -u admin -p Harbor12345 if [ $? -eq 0 ]; then echo "登陆Harbor仓库成功" else echo "登陆Harbor仓库失败" fi echo "开始推送指定镜像到Harbor仓库" docker push 172.19.12.84/zj-school-project/$container/5-12:v1
选择对应的镜像,复制拉去命令到客户端执行即可