一、Harbor
1、Harbor是构建企业级私有docker镜像的仓库的开源解决方案,它是Docker Registry的更高级封装,它除了提供友好的Web UI界面,角色和用户权限管理,用户操作审计等功能外,它还整合了K8s的插件(Add-ons)仓库,即Helm通过chart方式下载,管理,安装K8s插件,而chartmuseum可以提供存储chart数据的仓库【注:helm就相当于k8s的yum】。另外它还整合了两个开源的安全组件,一个是Notary,另一个是Clair,Notary类似于私有CA中心,而Clair则是容器安全扫描工具,它通过各大厂商提供的CVE漏洞库来获取最新漏洞信息,并扫描用户上传的容器是否存在已知的漏洞信息,这两个安全功能对于企业级私有仓库来说是非常具有意义的。
2、简单来说harbor就是VMWare公司提供的一个docker私有仓库构建程序,功能非常强大.
支持多租户签名和认证
支持安全扫描和风险分析
这次日志审计
基于角色的访问控制
支持可扩展的API和GUI
Image replication between instances
国际化做的很好(目前仅支持英文和中文)
二、安装部署harbor v1.10.0
harbor git 地址:https://github.com/goharbor/harbor
harbor支持k8s的helm安装和本地安装,我这次先择的安装方式是本地安装。
我的运行环境是 Rhel7.6
安装准备
1.需要安装docker并运行,docker安装可以参考:
https://blog.csdn.net/qq_35887546/article/details/105366356
2.需要安装docker-compose
curl -L "https://github.com/docker/compose/releases/download/1.23.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
给docker-compose执行权限,运行命令
chmod +x /usr/local/bin/docker-compose
检查运行docker-compose --version,如下:
[root@master ~]# docker-compose --version
docker-compose version 1.23.2, build 1110ad01
安装
1、下载安装包
下载地址:https://github.com/goharbor/harbor/releases
直接选择编译好的包
这里有两个包Harbor offline installer 和 Harbor online installer,两者的区别的是 Harbor offline installer 里就包含的 Harbor 需要使用的镜像文件
下载成功,并解压
[root@master ~]# tar zxf harbor-offline-installer-v1.10.1.tgz -C /data/
进入解压的目录,并 ls
[root@master ~]# cd /data/harbor/
[root@master harbor]# ls
common.sh harbor.v1.10.1.tar.gz harbor.yml install.sh LICENSE prepare
2、编辑配置文件
harbor.yml 就是harbor的配置文件
harbor的数据目录为/data
编辑harbor.yml,修改hostname、https证书路径、admin密码
证书的制作可以参考:https://www.jianshu.com/p/721455035190
注意:每次修改完配置文件后都需要运行
[root@master harbor]# ./prepare
运行 ./install.sh
[root@master harbor]# ./install.sh
运行成功docker ps 查看,可以看到服务已经起来
常用管理命令
停止服务: docker-compose stop
开始服务: docker-compose start
重启服务:docker-compose restart
停止服务并删除容器:docker-compose down
启动服务并运行容器:docker-compose up
注意:这些命令均要在harbor目录下运行
三、GUIl界面使用
浏览器访问https://harbor域名地址
输入用户名admin,密码admin登陆
新建一个命名为cicd项目,并设置访问级别为公开
这里的项目就是一私有化的Docker镜像仓库,默认的仓库是library
四、本机上传拉取镜像
1、修改Docker配置
docker 默认是按 https 请求的
修改文件 /etc/docker/daemon.json
[root@master harbor]# cat /etc/docker/daemon.json
{
"registry-mirrors": ["https://registry.docker-cn.com"],
"insecure-registries" : ["harbor域名地址:端口号"]
}
然后重启docker
systemctl daemon-reload
systemctl restart docker
2、制作镜像
将 nginx 制作成一个私有镜像
docker tag nginx:latest harbor域名地址:端口号/cicd/nginx:latest
本机上传
首先登陆私有库
[root@master harbor]# docker login harbor域名地址:端口号
Authenticating with existing credentials...
WARNING! Your password will be stored unencrypted in /root/.docker/config.json
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
接下来进行PUSH
[root@master harbor]# docker push harbor域名地址:端口号/cicd/nginx
The push refers to repository [harbor域名地址:端口号/cicd/nginx]
16542a8fc3be: Pushed
6597da2e2e52: Pushed
977183d4e999: Pushed
c8be1b8f4d60: Pushed
latest: digest: sha256:e5dd9dbb37df5b731a6688fa49f4003359f6f126958c9c928f937bec69836320 size: 1152
可以在网页端查看结果
从后台已经能看到这个镜像了
本机拉取
[root@master harbor]# docker rmi harbor域名地址:端口号/cicd/nginx #删除原来的镜像
[root@master harbor]# docker rmi harbor域名地址:端口号/cicd/nginx
Untagged: harbor域名地址:端口号/cicd/nginx:latest
Untagged: harbor域名地址:端口号/cicd/nginx@sha256:2f1cd90e00fe2c991e18272bb35d6a8258eeb27785d121aa4cc1ae4235167cfd
[root@master harbor]# docker pull harbor域名地址:端口号/cl/nginx #拉取镜像
Using default tag: latest
latest: Pulling from cl/nginx
Digest: sha256:e5dd9dbb37df5b731a6688fa49f4003359f6f126958c9c928f937bec69836320
Status: Downloaded newer image for harbor域名地址:端口号/cl/nginx:latest
harbor域名地址:端口号/cl/nginx:latest
[root@master harbor]# docker pull harbor域名地址:端口号/cicd/nginx
Using default tag: latest
latest: Pulling from cicd/nginx
Digest: sha256:2f1cd90e00fe2c991e18272bb35d6a8258eeb27785d121aa4cc1ae4235167cfd
Status: Downloaded newer image for harbor域名地址:端口号/cicd/nginx:latest
harbor域名地址:端口号/cicd/nginx:latest
