一.什么是Harbor私有仓库
Harbor 是一个开源的企业级 Docker 镜像仓库,提供了对 Docker 镜像的管理和分发功能。它作为私有仓库,允许组织在内部安全地存储和管理 Docker 镜像。Harbor 提供了图形用户界面、访问控制、审计日志、镜像扫描、复制和备份等功能,增强了镜像管理的安全性和可用性。
二.Harbor的优势
- 基于角色控制:用户和仓库 都是基于项目进行组织的,而用户在项目中可以拥有不同的权限
- 基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制(同步),适用于负载平衡,高可用性,多数据中心,混合和多云场景
- 支持LDAP/AD:Harbor与现有的企业LDAP/AD集成,用户用户认证和管理
-
删除图像和收集垃圾:镜像可以被删除,也可以回收镜像占用的空间。
-
图形 UI:用户可以轻松浏览、搜索镜像仓库以及对项目进行管理。
-
审计:对存储库的所有操作都进行记录。
-
RESTful API:用于大多数管理操作的 RESTful API,易于与外部系统集成。
三.Harbor的构成
Harbor 在架构上主要有 Proxy、Registry、Core services、Database(Harbor-db)、Log collector(Harbor-log)五个组件:
1.hroxy(代理)
Harbor 的 Registry、UI、Token 等服务通过一个前置的反向代理统一接收浏览器和 Docker 客户端的请求,并将请求转发给后端不同的服务。
2.Rgistry
负责储存 Docker 镜像,并处理 Docker push/pull 命令。由于要对用户进行访问控制,即 不同用户对 Docker image 有不同的读写权限,Registry 会指向一个 Token 服务,强制用户的 每次 Docker pull/push 请求都要携带一个合法的 Token,Registry 会通过公钥对 Token 进行解 密验证。
3. Core service
这是 Harbor 的核心功能,主要提供以下服务:
UI(Harbor-ui):提供图形化界面,帮助用户管理 Registry 上的镜像(image), 并对 用户进行授权。
Webhook: 为 了 及 时 获 取 Registry 上 image 状 态 变 化 的 情 况 , 在 Registry 上 配 置 Webhook, 把状态变化传递给 UI 模块。
Token 服务:负责根据用户权限给每个 Docker push/pull 命令签发 Token。Docker 客 户端向 Registry 服务发起的请求,如果不包含 Token,会被重定向,获得 Token 后再 重新向 Registry 进行请求
4.Database(Harbor-db)
为 coreservices 提供数据库服务,负责储存用户权限、审计日志、Docker image 分组信 息等数据。
5.Log collector(Harbor-log)
为了帮助监控 Harbor 运行,负责收集其他组件的log,供日后进行分析
Harbor 的每个组件都是以 Docker 容器的形式构建的,因此,使用 Docker Compose 来 对它进行部署。
四.部署私有仓库
1.资源列表
| 操作系统 | 主机名 | 配置 | IP |
| CentOS7.3.1611 | harbor | 2C4G | 192.168.207.131 |
| CentOS7.3.1611 | client | 2C4G | 192.168.207.165 |
两个节点均要操作
2.关闭防火墙和selinux
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
sed -i "s/.*SELINUX=.*/SELINUX=disabled/g" /etc/selinux/config3.准备docker-compose工具
curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
docker-compose --version4.安装docker
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum -y install docker-ce docker-ce-cli containerd.io
# 启动服务
systemctl start docker
systemctl enable docker5.部署安装
Harbor节点操作
(1)解压软件包
# 解压软件包
tar zxvf harbor-offline-installer-v2.2.1.tgz -C /usr/local/(2)修改配置文件(harbor.yml)
# 准备配置文件
cp /usr/local/harbor/harbor.yml.tmpl /usr/local/harbor/harbor.yml
vi /usr/local/harbor/harbor.yml
# 修改hostname,修改为自己的IP
hostname: 192.168.207.131
# 将https段的全部注释,这里不使用https访问(3)启动harbor
# 进行预检查
/usr/local/harbor/prepare
# 安装
/usr/local/harbor/install.sh
## 查看容器状态
cd /usr/local/harbor;docker-compose ps
[root@harbor harbor]# cd /usr/local/harbor;docker-compose ps
Name Command State Ports
--------------------------------------------------------------------------------------------------------
harbor-core /harbor/entrypoint.sh Up (healthy)
harbor-db /docker-entrypoint.sh Up (healthy)
harbor-jobservice /harbor/entrypoint.sh Up (healthy)
harbor-log /bin/sh -c /usr/local/bin/ ... Up (healthy) 127.0.0.1:1514->10514/tcp
harbor-portal nginx -g daemon off; Up (healthy)
nginx nginx -g daemon off; Up (healthy) 0.0.0.0:80->8080/tcp,:::80->8080/tcp
redis redis-server /etc/redis.conf Up (healthy)
registry /home/harbor/entrypoint.sh Up (healthy)
registryctl /home/harbor/start.sh Up (healthy)6.访问Harbor,创建项目
浏览器访问Harbor节点的ip
默认账号:admin
默认密码:Harbor12345
7.客户端配置使用harbor
client节点操作
(1)配置daemon.json文件
# "registry-mirrors": ["https://r9xxm8z8.mirror.aliyuncs.com"]这个是修改为国内的镜像源,使用国内的源访问速度会快一点
# insecure-registries是指定私有仓库
cat > /etc/docker/daemon.json << EOF
{
"registry-mirrors": ["https://r9xxm8z8.mirror.aliyuncs.com"],
"insecure-registries":["192.168.207.131"]
}
EOF(2)重启Docker服务
systemctl daemon-reload
systemctl restart docker8.测试上传下载镜像
client 节点操作
(1)登录镜像仓库
# 连接仓库
# -u指定用户名
# -p 指定密码
# 最后要跟上Harbor仓库的地址
[root@client ~]# docker login -uadmin -pHarbor12345 http://192.168.207.131
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded(2)下载镜像
[root@client ~]# docker pull busybox
Using default tag: latest
latest: Pulling from library/busybox
5cc84ad355aa: Pull complete
Digest: sha256:5acba83a746c7608ed544dc1533b87c737a0b0fb730301639a0179f9344b1678
Status: Downloaded newer image for busybox:latest
docker.io/library/busybox:latest(3)上传镜像
# 上传镜像首先修改镜像名称
[root@client ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
busybox latest beae173ccac6 23 months ago 1.24MB
# 修改为Harbor仓库的ip/项目的名称/镜像名称:tag
[root@client ~]# docker tag busybox 192.168.207.131/demo/busybox:v1
# 上传镜像
[root@client ~]# docker push 192.168.207.131/demo/busybox:v1
The push refers to repository [192.168.207.131/demo/busybox]
01fd6df81c8e: Pushed
v1: digest: sha256:62ffc2ed7554e4c6d360bce40bbcf196573dd27c4ce080641a2c59867e732dee size: 5279.验证
验证方式有两种可以通过web页面访问查看有没有上传的镜像,还可以通过命令行下载刚才上传的镜像,两者二选一即可。
(1)登录验证
(2)下载验证
[root@client ~]# docker pull 192.168.207.131/demo/busybox:v1
v1: Pulling from demo/busybox
Digest: sha256:62ffc2ed7554e4c6d360bce40bbcf196573dd27c4ce080641a2c59867e732dee
Status: Image is up to date for 192.168.207.131/demo/busybox:v1
192.168.207.131/demo/busybox:v1