Docker Harbor私有仓库简介及部署
Harbor简介前端
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,经过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。做为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提高用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像所有保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。node
Harbor特性mysql
基于角色的访问控制 :用户与Docker镜像仓库经过“项目”进行组织管理,一个用户能够对多个镜像仓库在同一命名空间(project)里有不一样的权限。linux
镜像复制 : 镜像能够在多个Registry实例中复制(同步)。尤为适合于负载均衡,高可用,混合云和多云的场景。nginx
图形化用户界面 : 用户能够经过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。git
AD/LDAP 支持 : Harbor能够集成企业内部已有的AD/LDAP,用于鉴权认证管理。github
审计管理 : 全部针对镜像仓库的操做均可以被记录追溯,用于审计管理。web
国际化 : 已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。redis
RESTful API : RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。sql
部署简单 : 提供在线和离线两种安装工具, 也能够安装到vSphere平台(OVA方式)虚拟设备。
Harbor组件
Harbor在架构上主要由6个组件构成:
Proxy:Harbor的registry, UI, token等服务,经过一个前置的反向代理统一接收浏览器、Docker客户端的请求,并将请求转发给后端不一样的服务。
Registry: 负责储存Docker镜像,并处理docker push/pull 命令。因为咱们要对用户进行访问控制,即不一样用户对Docker image有不一样的读写权限,Registry会指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会经过公钥对token 进行解密验证。
Core services: 这是Harbor的核心功能,主要提供如下服务:
UI:提供图形化界面,帮助用户管理registry上的镜像(image), 并对用户进行受权。
webhook:为了及时获取registry 上image状态变化的状况, 在Registry上配置webhook,把状态变化传递给UI模块。
token 服务:负责根据用户权限给每一个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发起的请求,若是不包含token,会被重定向到这里,得到token后再从新向Registry进行请求。
Database:为core services提供数据库服务,负责储存用户权限、审计日志、Docker image分组信息等数据。
Job Services:提供镜像远程复制功能,能够把本地镜像同步到其余Harbor实例中。
Log collector:为了帮助监控Harbor运行,负责收集其余组件的log,供往后进行分析。
各组件之间的关系
Harbor的实现
Harbor的每一个组件都是以Docker容器的形式构建的,官方也是使用Docker Compose来对它进行部署。用于部署Harbor的Docker Compose模板位于 harbor/docker-compose.yml,打开这个模板文件,发现Harbor是由7个容器组成的;
# docker-compose ps
Name Command State Ports ------------------------------------------------------------------------------------------------------------------------------
harbor-adminserver /harbor/harbor_adminserver Up
harbor-db docker-entrypoint.sh mysqld Up 3306/tcp
harbor-jobservice /harbor/harbor_jobservice Up
harbor-log /bin/sh -c crond && rm -f ... Up 127.0.0.1:1514->514/tcp
harbor-ui /harbor/harbor_ui Up
nginx nginx -g daemon off; Up 0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp, 0.0.0.0:80->80/tcp
registry /entrypoint.sh serve /etc/ ... Up 5000/tcp
nginx:nginx负责流量转发和安全验证,对外提供的流量都是从nginx中转,因此开放https的443端口,它将流量分发到后端的ui和正在docker镜像存储的docker registry。
harbor-jobservice:harbor-jobservice 是harbor的job管理模块,job在harbor里面主要是为了镜像仓库以前同步使用的;
harbor-ui:harbor-ui是web管理页面,主要是前端的页面和后端CURD的接口;
registry:registry就是docker原生的仓库,负责保存镜像。
harbor-adminserver:harbor-adminserver是harbor系统管理接口,能够修改系统配置以及获取系统信息。
这几个容器经过Docker link的形式链接在一块儿,在容器之间经过容器名字互相访问。对终端用户而言,只须要暴露proxy (即Nginx)的服务端口。
harbor-db:harbor-db是harbor的数据库,这里保存了系统的job以及项目、人员权限管理。因为本harbor的认证也是经过数据,在生产环节大多对接到企业的ldap中;
harbor-log:harbor-log是harbor的日志服务,统一管理harbor的日志。经过inspect能够看出容器统一将日志输出的syslog。
这几个容器经过Docker link的形式链接在一块儿,这样,在容器之间能够经过容器名字互相访问。对终端用户而言,只须要暴露proxy (即Nginx)的服务端口。
安装及部署
环境名称 |
软件版本 |
备注 |
操做系统 |
CentOS Linux release 7.3.1611 |
|
Docker Engine |
17.12.0-ce |
|
docker-compose |
1.24.0 |
|
harbor |
1.6.2 |
安装harbor以前,须要安装好docker engine、docker-compose
1、安装docker
请参阅连接:二进制安装Docker
2、安装docker-compose
Docker Compose是一个用来定义和运行复杂应用的Docker工具。一个使用Docker容器的应用,一般由多个容器组成。使用Docker Compose再也不须要使用shell脚原本启动容器。
Compose 经过一个配置文件来管理多个Docker容器,在配置文件中,全部的容器经过services来定义,而后使用docker-compose脚原本启动,中止和重启应用,和应用中的服务以及全部依赖服务的容器,很是适合组合使用多个容器进行开发的场景。
官方网址:Docker compose
# curl -L "https://github.com/docker/compose/releases/download/1.24.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/bin/docker-compose
# chmod +x /usr/bin/docker-compose
3、安装harbor
我这里是下载离线安装包,进行安装的
# tar xf harbor-offline-installer-v1.6.2.tgz
# mv harbor /usr/local/
# cd /usr/local/harbor/
# vi harbor.cfg
_version = 1.6.0 hostname = node176 ui_url_protocol = http max_job_workers = 10 customize_crt = on ssl_cert = /data/cert/server.crt ssl_cert_key = /data/cert/server.key secretkey_path = /data admiral_url = NA log_rotate_count = 50 log_rotate_size = 200M http_proxy = https_proxy = no_proxy = 127.0.0.1,localhost,ui,registry email_identity = email_server = smtp.mydomain.com email_server_port = 25 email_username = sample_admin@mydomain.com email_password = abc email_from = admin <sample_admin@mydomain.com> email_ssl = false email_insecure = false harbor_admin_password = Harbor12345 auth_mode = db_auth ldap_url = ldaps://ldap.mydomain.com ldap_basedn = ou=people,dc=mydomain,dc=com ldap_uid = uid ldap_scope = 2 ldap_timeout = 5 ldap_verify_cert = true ldap_group_basedn = ou=group,dc=mydomain,dc=com ldap_group_filter = objectclass=group ldap_group_gid = cn ldap_group_scope = 2 self_registration = off token_expiration = 30 project_creation_restriction = adminonly db_host = postgresql db_password = root123 db_port = 5432 db_user = postgres redis_host = redis redis_port = 6379 redis_password = redis_db_index = 1,2,3 clair_db_host = postgresql clair_db_password = root123 clair_db_port = 5432 clair_db_username = postgres clair_db = postgres clair_updaters_interval = 12 uaa_endpoint = uaa.mydomain.org uaa_clientid = id uaa_clientsecret = secret uaa_verify_cert = true uaa_ca_cert = /path/to/ca.pem registry_storage_provider_name = filesystem registry_storage_provider_config = registry_custom_ca_bundle = |
# ./install.sh
打开网址:http://172.20.20.176
输入默认的用户名及密码:admin/Harbor12345
最后成功以下:
配置Harbor支持HTTPS访问连接
# mkdir -p /data/cert && cd /data/cert
建立CA证书
# openssl genrsa -out ca.key 2048
生成自签名证书(使用已由私钥ca.key自行签发根证书)
# openssl req -x509 -new -nodes -key ca.key -days 3650 -out ca.crt -subj "/CN=harbor-ca"
生成服务器端私钥和csr签名请求
# openssl req -newkey rsa:4096 -nodes -sha256 -keyout server.key -out server.csr
签发服务器证书
# echo subjectAltName = IP:172.20.20.176 > extfile.cnf
# openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -extfile extfile.cnf -out server.crt
修改harbor的配置文件,harbor.cfg
# cd /usr/local/harbor/
# vi harbor.cfg
hostname = 172.20.20.176 ui_url_protocol = https |
# mkdir -p /etc/docker/certs.d/172.20.20.176
# cp /data/cert/ca.crt /etc/docker/certs.d/172.20.20.176/
修改/etc/sysconfig/docker或修改/etc/docker/daemon.json【任选一种】
第一种:
修改/etc/sysconfig/docker
将
OPTIONS='--selinux-enabled=false --log-driver=journald --signature-verification=false --insecure-registry registry:5000
改成:
OPTIONS='--selinux-enabled=false --log-driver=journald --signature-verification=false --insecure-registry www.node175.com
第二种:
# cat > /etc/docker/daemon.json << EOF
{ "insecure-registries":["www.node175.com"] }
EOF
启动Harbor
# systemctl restart docker
# cd /usr/local/harbor/
# docker-compose down
# ./prepare
## docker-compose up -d
访问测试
遇到问题摘要:
在其余docker节点上,进行docker login harbor地址时,出现
Error response from daemon: Get https://www.node175.com/v2/: x509: certificate is not valid for any names, but wanted to match www.node175.com 等错误信息
解决方法:
将harbor的ca.crt及daemon.json拷贝到其余docker节点的相应位置:
例如:
1.harbor的ca.crt路径为:/etc/docker/certs.d/www.node175.com
拷贝到其余docker节点的 /etc/docker/certs.d/www.node175.com,没有则新建
2.拷贝harbor的/etc/docker/daemon.json 到其余docker的/etc/docker目录
3.重启docker服务便可
- 1. Docker部署私有仓库(registry&Harbor)
- 2. Docker 部署Registry私有仓库+Harbor私有仓库
- 3. 部署Harbor私有镜像仓库
- 4. Harbor私有仓库配置与部署
- 5. 私有镜像仓库Harbor部署
- 6. Harbor私有镜像仓库部署
- 7. Docker私有仓库Harbor介绍和部署记录
- 8. Docker企业级私有仓库——Harbor介绍和部署
- 9. Docker--Harbor私有仓库
- 10. Docker私有仓库部署
- 更多相关文章...
- • Docker 仓库管理 - Docker教程
- • Maven 自动化部署 - Maven教程
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
- • Github 简明教程
-
每一个你不满意的现在,都有一个你没有努力的曾经。