Docker映象倉庫Harbor之搭建及配置
目錄
- Harbor介紹
- 環境、軟體準備
- Harbor服務搭建
- Harbor跨資料複製配置
- FAQ
1、Harbor 介紹
Docker容器應用的開發和執行離不開可靠的映象管理,雖然Docker官方也提供了公共的映象倉庫,但是從安全和效率等方面考慮,部署我們私有環境內的Registry也是非常必要的。Harbor是由VMware公司開源的企業級的Docker Registry管理專案,它包括許可權管理(RBAC)、LDAP、日誌稽核、管理介面、自我註冊、映象複製和中文支援等功能。
2、環境、軟體準備
本次演示環境,我是在虛擬機器Linux Centos7上操作,以下是安裝的軟體及版本:
- Docker:version 1.12.6
- Docker-compose: version 1.13.0
- Harbor: version 1.1.2
注意:Harbor的所有服務元件都是在Docker中部署的,所以官方安裝使用Docker-compose快速部署,所以我們需要安裝Docker、Docker-compose。由於Harbor是基於Docker Registry V2版本,所以就要求Docker版本不小於1.10.0,Docker-compose版本不小於1.6.0。
1)Docker 安裝
- yum安裝
yum install docker
2) Docker-compose 安裝
1、下載指定版本的docker-compose
$ curl -L https://github.com/docker/compose/releases/download/1.13.0/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
2、對二進位制檔案賦可執行許可權
$ sudo chmod +x /usr/local/bin/docker-compose
3、測試下docker-compose是否安裝成功
$ docker-compose --version
docker-compose version 1.13 3、Harbor 服務搭建
1)下載Harbor安裝檔案
從 github harbor 官網 release 頁面下載指定版本的安裝包。
1、線上安裝包
$ wget https://github.com/vmware/harbor/releases/download/v1.1.2/harbor-online-installer-v1.1.2.tgz
$ tar xvf harbor-online-installer-v1.1.2.tgz
2、離線安裝包
$ wget https://github.com/vmware/harbor/releases/download/v1.1.2/harbor-offline-installer-v1.1.2.tgz
$ tar xvf harbor-offline-installer-v1.1.2.tgz2)配置Harbor
解壓縮之後,目錄下回生成harbor.conf檔案,該檔案就是Harbor的配置檔案。
## Configuration file of Harbor
# hostname設定訪問地址,可以使用ip、域名,不可以設定為127.0.0.1或localhost
hostname = 10.236.63.76
# 訪問協議,預設是http,也可以設定https,如果設定https,則nginx ssl需要設定on
ui_url_protocol = http
# mysql資料庫root使用者預設密碼root123,實際使用時修改下
db_password = root123
max_job_workers = 3
customize_crt = on
ssl_cert = /data/cert/server.crt
ssl_cert_key = /data/cert/server.key
secretkey_path = /data
admiral_url = NA
# 郵件設定,傳送重置密碼郵件時使用
email_identity =
email_server = smtp.mydomain.com
email_server_port = 25
email_username = samp[email protected]
email_password = abc
email_from = admin <[email protected]>
email_ssl = false
# 啟動Harbor後,管理員UI登入的密碼,預設是Harbor12345
harbor_admin_password = Harbor12345
# 認證方式,這裡支援多種認證方式,如LADP、本次儲存、資料庫認證。預設是db_auth,mysql資料庫認證
auth_mode = db_auth
# LDAP認證時配置項
#ldap_url = ldaps://ldap.mydomain.com
#ldap_searchdn = uid=searchuser,ou=people,dc=mydomain,dc=com
#ldap_search_pwd = password
#ldap_basedn = ou=people,dc=mydomain,dc=com
#ldap_filter = (objectClass=person)
#ldap_uid = uid
#ldap_scope = 3
#ldap_timeout = 5
# 是否開啟自注冊
self_registration = on
# Token有效時間,預設30分鐘
token_expiration = 30
# 使用者建立專案許可權控制,預設是everyone(所有人),也可以設定為adminonly(只能管理員)
project_creation_restriction = everyone
verify_remote_cert = on3)啟動 Harbor
修改完配置檔案後,在的當前目錄執行./install.sh,Harbor服務就會根據當期目錄下的docker-compose.yml開始下載依賴的映象,檢測並按照順序依次啟動各個服務,Harbor依賴的映象及啟動服務如下:
# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
vmware/harbor-jobservice v1.1.2 ac332f9bd31c 10 days ago 162.9 MB
vmware/harbor-ui v1.1.2 803897be484a 10 days ago 182.9 MB
vmware/harbor-adminserver v1.1.2 360b214594e7 10 days ago 141.6 MB
vmware/harbor-db v1.1.2 6f71ee20fe0c 10 days ago 328.5 MB
vmware/registry 2.6.1-photon 0f6c96580032 4 weeks ago 150.3 MB
vmware/harbor-notary-db mariadb-10.1.10 64ed814665c6 10 weeks ago 324.1 MB
vmware/nginx 1.11.5-patched 8ddadb143133 10 weeks ago 199.2 MB
vmware/notary-photon signer-0.5.0 b1eda7d10640 11 weeks ago 155.7 MB
vmware/notary-photon server-0.5.0 6e2646682e3c 3 months ago 156.9 MB
vmware/harbor-log v1.1.2 9c46a7b5e517 4 months ago 192.4 MB
photon 1.0 e6e4e4a2ba1b 11 months ago 127.5 MB
# docker-compose ps
Name Command State Ports
------------------------------------------------------------------------------------------------------------------------------
harbor-adminserver /harbor/harbor_adminserver Up
harbor-db docker-entrypoint.sh mysqld Up 3306/tcp
harbor-jobservice /harbor/harbor_jobservice Up
harbor-log /bin/sh -c crond && rm -f ... Up 127.0.0.1:1514->514/tcp
harbor-ui /harbor/harbor_ui Up
nginx nginx -g daemon off; Up 0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp, 0.0.0.0:80->80/tcp
registry /entrypoint.sh serve /etc/ ... Up 5000/tcp
啟動完成後,我們訪問剛設定的hostname即可 http://10.236.63.76/,預設是80埠,如果端口占用,我們可以去修改docker-compose.yml檔案中,對應服務的埠對映。
4) 登入 Web Harbor
輸入使用者名稱admin,預設密碼(或已修改密碼)登入系統。
我們可以看到系統各個模組如下:
- 專案:新增/刪除專案,檢視映象倉庫,給專案新增成員、檢視操作日誌、複製專案等
- 日誌:倉庫各個映象create、push、pull等操作日誌
- 系統管理
- 使用者管理:新增/刪除使用者、設定管理員等
- 複製管理:新增/刪除從庫目標、新建/刪除/啟停複製規則等
- 配置管理:認證模式、複製、郵箱設定、系統設定等
- 其他設定
- 使用者設定:修改使用者名稱、郵箱、名稱資訊
- 修改密碼:修改使用者密碼
注意:非系統管理員使用者登入,只能看到有許可權的專案和日誌,其他模組不可見。
5)新建專案
我們新建一個名稱為wanyang的專案,設定不公開。注意:當專案設為公開後,任何人都有此專案下映象的讀許可權。命令列使用者不需要“docker login”就可以拉取此專案下的映象。
新建專案完畢後,我們就可以用admin賬戶提交本地映象到Harbor倉庫了。例如我們提交本地nginx映象:
1、admin登入
$ docker login 10.236.63.76
Username: admin
Password:
Login Succeeded
2、給映象打tag
$ docker tag nginx 10.236.63.76/wanyang/nginx:latest
$ docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx latest 958a7ae9e569 2 weeks ago 109 MB
10.236.63.76/wanyang/nginx latest 958a7ae9e569 2 weeks ago 109 MB
3、push到倉庫
$ docker push 10.236.63.76/wanyang/nginx
The push refers to a repository [10.236.63.76/wanyang/nginx]
a552ca691e49: Pushed
7487bf0353a7: Pushed
8781ec54ba04: Pushed
latest: digest: sha256:41ad9967ea448d7c2b203c699b429abe1ed5af331cd92533900c6d77490e0268 size: 948上傳完畢後,登入Web Harbor,選擇專案,專案名稱wanyang,就可以檢視剛才上傳的nginx image了。
6) 建立使用者並分配許可權
我們剛一直是用admin操作,實際應用中我們使用每個人自己的賬戶登入。所以就需要新建使用者,同時為了讓使用者有許可權操作已經建立的專案,還必須將該使用者新增到該專案成員中。
建立使用者名稱為wanyang的測試使用者,點選系統管理-》使用者管理-》建立使用者,輸入使用者名稱、郵箱、密碼等資訊。
將wanyang使用者新增到wanyang專案成員中,點選專案-》wanyang-》成員-》新建成員,填寫姓名,選擇角色。
現在我們使用wanyang賬戶本地模擬操作pull剛上傳的nginx映象。
1、先移除tag(因為我本地剛上傳了該nginx映象,直接pull,檢測本地存在就不會pull)
$ docker rmi -f 10.236.63.76/wanyang/nginx
Untagged: 10.236.63.76/wanyang/nginx:latest
Untagged: 10.236.63.76/wanyang/nginx@sha256:41ad9967ea448d7c2b203c699b429abe1ed5af331cd92533900c6d77490e0268
2、退出admin賬號,登入wanyang賬號
$ docker logout 10.236.63.76
Removing login credentials for 10.236.63.76
$ docker login 10.236.63.76
Username: wanyang
Password:
Login Succeeded
3、pull harbor映象到本地
$ docker pull 10.236.63.76/wanyang/nginx:latest
latest: Pulling from wanyang/nginx
Digest: sha256:41ad9967ea448d7c2b203c699b429abe1ed5af331cd92533900c6d77490e0268
Status: Downloaded newer image for 10.236.63.76/wanyang/nginx:latest7)配置 Docker 映象複製
首先我們至少配置兩個Harbor服務 :
- Harbor1:10.236.63.76
- Harbor2:10.236.63.62
我們已經往Harbor1上面push了一個映象了,那麼就把Harbor1當做主節點,Harbor2當做複製節點,我們要把Harbor1上的映象自動複製到Harbor2上去。
配置複製規則,點選專案-》wanyang-》複製-》新建複製規則,填寫名稱、目標名、目標URL等資訊。 注意:目標URL這裡是複製節點Harbor2地址,http://10.236.63.62,使用者名稱和密碼為Harbor2配置的admin賬戶和密碼,一旦勾選啟用,那麼新建複製規則完成後,立馬就檢測需要同步的image自動同步。
為了更好的演示效果,現在我往Harbor1上wanyang專案下在push一個映象maven:3-jdk-8,看下新上傳的映象會不會自動同步到Harbor2上去。
push完畢,顯示已完成複製到Harbor2,現在登入到Harbor2 Web Harbor,我們看到映象已經自動複製過來啦,操作日誌也會一起復制過來。
我們現在從Harbor2上面pull下剛同步過去的maven映象試試看,妥妥的沒問題。
$ docker login 10.236.63.62
Username: admin
Password:
Login Succeeded
$ docker pull 10.236.63.62/wanyang/maven:3-jdk-8
3-jdk-8: Pulling from wanyang/maven
Digest: sha256:16e68f691322cd425d27c798f88df4eb3c4322fe294067f21325b36ec587fa06
Status: Downloaded newer image for 10.236.63.62/wanyang/maven:3-jdk-8
$ docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx latest 958a7ae9e569 2 weeks ago 109 MB
10.236.63.76/wanyang/nginx latest 958a7ae9e569 2 weeks ago 109 MB
10.236.63.62/wanyang/maven 3-jdk-8 c58c661bb6ad 5 weeks ago 653 MB
10.236.63.76/wanyang/maven 3-jdk-8 c58c661bb6ad 5 weeks ago 653 MB
maven 3-jdk-8 c58c661bb6ad 5 weeks ago 653 MB
我們在看下Harbor1和Harbor2上的操作日誌,是都按照我們操作的順序顯示的。
5、FAQ
配置並啟動Harbor之後,本地執行登入操作,報錯:
docker login 10.236.63.76 Username: admin Password: Error response from daemon: Get https://10.236.63.76/v1/users/: dial tcp 10.236.63.76:443: getsockopt: connection refused這是因為docker1.3.2版本開始預設docker registry使用的是https,我們設定Harbor預設http方式,所以當執行用docker login、pull、push等命令操作非https的docker regsitry的時就會報錯。解決辦法:
- 如果系統是MacOS,則可以點選“Preference”裡面的“Advanced”在“Insecure Registry”里加上10.236.63.76,重啟Docker客戶端就可以了。
- 如果系統是Ubuntu,則修改配置檔案/lib/systemd/system/docker.service,修改[Service]下ExecStart引數,增加–insecure-registry 10.236.63.76。
- 如果系統是Centos,可以修改配置/etc/sysconfig/docker,將OPTIONS增加–insecure-registry 10.236.63.76。
使用wanyang賬戶執行docker pull命令時,報錯
$ docker pull 10.236.63.76/wanyang/nginx:latest Error response from daemon: repository 10.236.63.76/wanyang/nginx not found: does not exist or no pull access這是原因可能有,一是Harbor倉庫上wanyang/nginx確實不存在,二是專案未設定公開的時候,該賬戶未執行
docker login 10.236.63.76登入操作,三是該賬戶對10.236.63.76/wanyang專案沒有許可權,需要在該專案下增加wanyang成員,並選擇角色。如果需要修改Harbor的配置檔案harbor.cfg,因為Harbor是基於docker-compose服務編排的,我們可以使用docker-compose命令重啟Harbor。不修改配置檔案,重啟Harbor命令:
docker-compose start | stop | restart1、停止Harbor $ docker-compose down -v Stopping nginx ... done Stopping harbor-jobservice ... done ...... Removing harbor-log ... done Removing network harbor_harbor 2、啟動Harbor $ docker-compose up -d Creating network "harbor_harbor" with the default driver Creating harbor-log ... ...... Creating nginx Creating harbor-jobservice ... done
參考資料: