Centos7安裝Docker鏡像倉庫Harbor1.5.3
1、容器應用的開發和運行離不開可靠的鏡像管理。從安全和效率等方面考慮,部署在私有環境內的 Registry 是非常必要的。
2、Harbor 是由 VMware 公司中國團隊為企業用戶設計的 Registry server 開源項目,包括了權限管理(RBAC)、LDAP、審計、管理界面、自我註冊、HA 等企業必需的功能,同時針對中國用戶的特點,設計鏡像復制和中文支持等功能,歡迎使用和反饋意見。
3、作為一個企業級私有 Registry 服務器,Harbor 提供了更好的性能和安全。提升用戶使用 Registry 構建和運行環境傳輸鏡像的效率。Harbor 支持安裝在多個 Registry 節點的鏡像資源復制,鏡像全部保存在私有 Registry 中, 確保數據和知識產權在公司內部網絡中管控。另外,Harbor 也提供了高級的安全特性,諸如用戶管理,訪問控制和活動審計等。
1)基於角色的訪問控制
用戶與 Docker 鏡像倉庫通過“項目”進行組織管理,一個用戶可以對多個鏡像倉庫在同一命名空間(project)裏有不同的權限。
2)鏡像復制
鏡像可以在多個 Registry 實例中復制(同步)。尤其適合於負載均衡,高可用,混合雲和多雲的場景。
3)圖形化用戶界面
用戶可以通過瀏覽器來瀏覽,檢索當前 Docker 鏡像倉庫,管理項目和命名空間。
4)AD/LDAP 支持
Harbor 可以集成企業內部已有的 AD/LDAP,用於鑒權認證管理。
5)審計管理
所有針對鏡像倉庫的操作都可以被記錄追溯,用於審計管理。
6)國際化
已擁有英文、中文、德文、日文和俄文的本地化版本。更多的語言將會添加進來。
7)RESTful API
RESTful API 提供給管理員對於 Harbor 更多的操控, 使得與其它管理軟件集成變得更容易。
8)部署簡單
提供在線和離線兩種安裝工具, 也可以安裝到 vSphere 平臺(OVA 方式)虛擬設備
Harbor 架構介紹
Harbor在架構上主要由五個組件構成:
1、Proxy:
Harbor的registry, UI, token等服務,通過一個前置的反向代理統一接收瀏覽器、Docker客戶端的請求,並將請求轉發給後端不同的服務。
2、Registry:
負責儲存Docker鏡像,並處理docker push/pull 命令。由於我們要對用戶進行訪問控制,即不同用戶對Docker image有不同的讀寫權限,Registry會指向一個token服務,強制用戶的每次docker pull/push請求都要攜帶一個合法的token, Registry會通過公鑰對token 進行解密驗證。
3、Core services:
這是Harbor的核心功能,主要提供以下服務:
1)UI:提供圖形化界面,幫助用戶管理registry上的鏡像(image), 並對用戶進行授權。
2)webhook:為了及時獲取registry 上image狀態變化的情況, 在Registry上配置webhook,把狀態變化傳遞給UI模塊。
3)token 服務:負責根據用戶權限給每個docker push/pull命令簽發token. Docker 客戶端向Regi?stry服務發起的請求,如果不包含token,會被重定向到這裏,獲得token後再重新向Registry進行請求。
4、Database:
為core services提供數據庫服務,負責儲存用戶權限、審計日誌、Docker image分組信息等數據。
5、Log collector:
為了幫助監控Harbor運行,負責收集其他組件的log,供日後進行分析。
各個組件之間的關系如下圖所示:
實驗環境:
系統版本:centos7x3.10.0-514.el7.x86_64
Docker版本:1.13.1(yum安裝)
harbor版本:harbor-offline-installer-v1.5.3.tgz(離線版)
註:由於Harbor是基於Docker Registry V2版本,所以就要求Docker版本不小於1.10.0,Docker-compose版本不小於1.6.0。
關閉防火墻並禁止開機自啟
systemctl stop firewalld.service
systemctl disable firewalld
關閉selinux
sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/g‘ /etc/sysconfig/selinux
重啟 reboot
安裝harbor
1、安裝harbor依賴環境
1)安裝docker
yum -y install docker
2)安裝docker-compose
yum -y install docker-compose
2、下載離線安裝包harbor-offline-installer-v1.5.3.tgz
1)使用下載命令wget或者aria2c下載harbor
wget https://storage.googleapis.com/harbor-releases/harbor-offline-installer-v1.5.3.tgz
2)解壓harbor到本地
tar zxf harbor-offline-installer-v1.5.3.tgz
3)將解壓目錄移動到根下
mv harbor /
註:這一步操作是為了方便管理和防止誤刪除(可做可不做)!
3、添加CA證書
註:如果需要搭建基於https的harbor需要添加ca證書,如果搭建的是基於http可以跳過該步驟。
4、編輯harbor配置文件
1)編輯harbor.cfg文件
vi /harbor/harbor.cfg
#hostname設置訪問地址。可以使用ip、域名、主機名,不可以設置為127.0.0.1或localhost。(如果部署的是備份庫,填寫ip而不是域名,否則會導致倉庫管理連接失敗,host無法識別原因不明)
hostname = bakreg.cn#訪問協議。默認是http,如果搭建https的倉庫就改為https。
ui_url_protocol = https#可選的https證書配置地址
ssl_cert = /root/cert/bakreg.cn.crt
ssl_cert_key = /root/cert/bakreg.cn.key#用於在復制策略中加密或解密遠程註冊表的密碼的密鑰路徑。secretkey_path不需要修改。如果必須修改它,你需要在/root/harbor/docker-compose.yml中手動調整路徑,因為它們是硬編碼。
secretkey_path = /data#郵件設置,發送重置密碼郵件時使用
#email_identity作為用戶名
email_identity =
email_server = 郵箱的smtp服務器域名
email_server_port = 25
email_username =
email_password =
email_from =
email_ssl = false
email_insecure = false#管理員admin的登錄密碼。默認是Harbor12345
harbor_admin_password = Harbor12345#認證方式。默認是db_auth,支持多種認證方式,如數據庫認證(db_auth)、LADP(ldap_auth)。
auth_mode = db_auth#LDAP認證時配置項(這項可以登錄後配置也可以)。
ldap_url = # LDAP URL
ldap_searchdn = # LDAP 搜索DN
ldap_search_pwd = # LDAP 搜索DN的密碼
ldap_basedn = # LDAP 基礎DN
ldap_filter = # LDAP 過濾器
ldap_uid = # LDAP 用戶uid的屬性
ldap_scope = 2
ldap_timeout = 5#是否開啟註冊。on開啟,off關閉。
self_registration = off#Token有效時間。默認30分鐘。
token_expiration = 30#標記用戶創建項目權限控制。默認是everyone(允許所有人創建),也可以設置為adminonly(只能管理員才能創建)
project_creation_restriction = everyone
註:暫時先更改這一行即可啟動,其他功能按照需求更改!
5、啟動harbor服務
1)進入harbor解壓目錄
cd /harbor/
2)啟動harbor服務
./install.sh
3)harbor的啟動和關閉方式
//關閉harbor服務(先進入harbor目錄)
docker-compose stop
//開啟harbor服務(先進入harbor目錄)
docker-compose up -d
6、驗證harbor服務是否正常運行
1)訪問地址:http://192.168.150.199
2)使用默認用戶密碼登陸
註:默認的用戶名admin,密碼Harbor12345。
7、基於http協議的harbor上傳下載鏡像
1)docker登陸harbor
docker login 192.168.150.199
2)為鏡像打標記
docker tag 原鏡像名 192.168.150.199/項目名/打標記的鏡像名
註:如果是普通用戶推送鏡像,切記需要普通用戶先自己創建項目,不然上傳給默認的library項目沒有權限,只有admin用戶有推送library項目的權利。
3)推送鏡像到harbor倉庫
docker push 192.168.150.199/項目名/打標記的鏡像名
註:如果是普通用戶推送鏡像,那麽以上的library項目名換成自己的項目名即可!
4)拉取鏡像
//刪除打標記的鏡像
docker rmi -f 192.168.150.199/library/tomcat:v1
//拉取倉庫的tomcat鏡像
docker pull 鏡像的完整路徑
註:以上截圖可能有的童鞋會問,不需要docker login IP登陸嗎?首先我可以告訴你:可以用,也可以不用。其次如果你要是覺得需要用戶密碼下載,那麽可以在harbor的項目上設置不公開即可實現用戶密碼下載;也可能有童鞋會說不用不夠安全啥的,其實你完全不必擔心,因為需要完整路徑才能下載,而且這個鏡像倉庫是在內網,說白知道的都是公司的同事。如果不知道怎麽填寫完整路徑,下載鏡像的,那麽就登錄上網頁harbor,然後點擊你要下載的那個鏡像後邊pull命令提醒,例如:
5)docker退出harbor登陸
docker logout harbor的IP
8、基於https協議的harbor上傳下載鏡像
註:由於我使用的是http協議,所以這步就沒有測試!如果想使用https協議
推薦文章https://www.cnblogs.com/straycats/p/8850693.html
Centos7安裝Docker鏡像倉庫Harbor1.5.3