9、docker私有镜像仓库harbor
Harbor介绍
Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目,它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。
官网地址:https://github.com/goharbor/harbor
实验环境:
安装harbor的机器,主机名设置成harbor
机器ip:192.168.159.141
4vCPU/4G内存/20G硬盘
9.1、为Harbor自签发证书
hostnamectl set-hostname harbor && bash
创建目录
mkdir -p /data/ssl
cd /data/ssl
生成ca证书:
openssl genrsa -out ca.key 3072
#生成一个3072位的key,也就是私钥
openssl req -new -x509 -days 3650 -key ca.key -out ca.pem
#生成一个数字证书ca.pem,3650表示证书的有效时间是3年,按箭头提示填写即可,没有箭头标注的为空:
生成域名的证书:
openssl genrsa -out harbor.key 3072
#生成一个3072位的key,也就是私钥
openssl req -new -key harbor.key -out harbor.csr
#生成一个证书请求,一会签发证书时需要的,标箭头的按提示填写,没有箭头标注的为空:
签发harbor证书:
openssl x509 -req -in harbor.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out harbor.pem -days 3650
显示如下,说明证书签发好了:
9.2、安装Harbor
9.2.1、安装Docker
关闭防火墙
systemctl stop firewalld && systemctl disable firewalld
关闭selinux
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
注:修改selinux配置文件之后,重启机器,selinux才能永久生效
getenforce
配置时间同步
yum install -y ntp ntpdate
ntpdate cn.pool.ntp.org
编写计划任务
crontab -e
* */1 * * * /usr/sbin/ntpdate cn.pool.ntp.org
#重启crond 使配置生效
systemctl restart crond
安装docker
安装基础软件包
yum install -y wget net-tools nfs-utils lrzsz gcc gcc-c++ make cmake libxml2-devel openssl-devel curl curl-devel unzip sudo ntp libaio-devel vim ncurses-devel autoconf automake zlib-devel python-devel epel-release openssh-server socat ipvsadm conntr yum-utils
配置docker阿里yum源
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
安装docker依赖包
yum install -y device-mapper-persistent-data lvm2
安装docker-ce
yum install docker-ce -y
启动docker
systemctl start docker && systemctl enable docker
# 查看docker状态
systemctl status docker
查看docker版本
docker version
9.2.2、开启IP转发功能和修改内核参数
1、内核参数修改
br_netfilter模块用于将桥接流量转发至iptables链,br_netfilter内核参数需要开启转发。
modprobe br_netfilter
重启后模块失效,配置开机自动加载模块的脚本
在/etc/新建rc.sysinit 文件
vim /etc/rc.sysinit
#!/bin/bash
for file in /etc/sysconfig/modules/*.modules ; do
[ -x $file ] && $file
done
在/etc/sysconfig/modules/目录下新建文件如下
vim /etc/sysconfig/modules/br_netfilter.modules
modprobe br_netfilter
增加权限
chmod 755 /etc/sysconfig/modules/br_netfilter.modules
重启机器模块也会自动加载
lsmod |grep br_netfilter
# 回显以下内容即为加载成功
br_netfilter 22209 0
bridge 136173 1 br_netfilter
2、开启IP转发功能
cat > /etc/sysctl.d/docker.conf <<EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
EOF
使配置生效
sysctl -p /etc/sysctl.d/docker.conf
将Linux系统作为路由或者VPN服务就必须要开启IP转发功能。当linux主机有多个网卡时一个网卡收到的信息是否能够传递给其他的网卡 ,如果设置成1 的话 可以进行数据包转发,可以实现VxLAN 等功能。不开启会导致docker部署应用无法访问。
重启docker使以上配置生效
systemctl restart docker
9.2.3、配置docker镜像加速器
登陆阿里云镜像仓库获取加速器地址
https://cr.console.aliyun.com/cn-hangzhou/instances/mirrors
mkdir -p /etc/docker
tee /etc/docker/daemon.json <<-'EOF'
{
"registry-mirrors": ["https://671vvbx6.mirror.aliyuncs.com","https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"]
}
EOF
systemctl daemon-reload && systemctl restart docker
9.2.4、配置域名解析
docker和harbor服务器均做域名解析
vim /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.159.140 docker
192.168.159.141 harbor
9.2.5、安装harbor
创建安装目录
mkdir /data/install -p && cd /data/install/
安装harbor
/data/ssl目录下有如下文件:
ca.key ca.pem ca.srl harbor.csr harbor.key harbor.pem
把harbor的离线包harbor-offline-installer-v2.3.0-rc3.tgz上传到安装目录
下载harbor离线包的地址:
https://github.com/goharbor/harbor/releases/tag/
解压:
tar zxvf harbor-offline-installer-v2.3.0-rc3.tgz
cd harbor
cp harbor.yml.tmpl harbor.yml
修改配置文件:
vim harbor.yml
hostname: harbor
#修改hostname,跟上面签发的证书域名保持一致
#协议用https
certificate: /data/ssl/harbor.pem
private_key: /data/ssl/harbor.key
邮件和ldap不需要配置,在harbor的web界面可以配置
其他配置采用默认即可
注:harbor默认的账号密码:admin/Harbor12345
安装docker-compose
上传docker-compose-Linux-x86_64文件到harbor机器
mv docker-compose-Linux-x86_64.64 /usr/bin/docker-compose
chmod +x /usr/bin/docker-compose
注: docker-compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。Docker-Compose的工程配置文件默认为docker-compose.yml,Docker-Compose运行目录下的必要有一个docker-compose.yml。docker-compose可以管理多个docker实例。
安装harbor需要的离线镜像包docker-harbor-2-3-0.tar.gz上传到harbor机器,通过docker load -i解压
docker load -i docker-harbor-2-3-0.tar.gz
开始安装harbor
cd /data/install/harbor
./install.sh
看到下面内容,说明安装成功:
在自己电脑修改hosts文件:
在hosts文件添加如下一行,然后保存即可
192.168.159.141 harbor
扩展:
如何停掉harbor:
cd /data/install/harbor
docker-compose stop
如何启动harbor:
cd /data/install/harbor
docker-compose start
如果docker-compose start启动harbor之后,还是访问不了,那就需要重启虚拟机
9.3、Harbor 图像化界面使用说明
浏览器输入: https://harbor
https://harbor
注:harbor默认的账号密码:admin/Harbor12345
所有基础镜像都会放在library里面,这是一个公开的镜像仓库
新建项目->起个项目名字test(把访问级别公开那个选中,让项目才可以被公开使用)
9.4、测试使用harbor私有镜像仓库
9.4.1、登录harbor
修改docker配置
vim /etc/docker/daemon.json
{
"registry-mirrors": ["https://671vvbx6.mirror.aliyuncs.com","https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"],
"insecure-registries": ["192.168.159.141","harbor"]
}
修改配置之后使配置生效:
systemctl daemon-reload && systemctl restart docker
查看docker是否启动成功
systemctl status docker
配置新增加了一行内容如下:
"insecure-registries": ["192.168.159.141","harbor"]
上面增加的内容表示我们内网访问harbor的时候走的是http,192.168.159.141是安装harbor机器的ip
登录harbor:
docker login 192.168.159.141
Username:admin
Password: Harbor12345
输入账号密码之后看到如下,说明登录成功了:
9.4.2、上传镜像至harbor仓库
上传tomcat镜像包,并导入
docker load -i tomcat.tar.gz
把tomcat镜像打标签
docker tag tomcat:latest 192.168.159.141/test/tomcat:v1
执行下面命令就会把192.168.159.141/test/tomcat:v1上传到harbor里的test项目下
docker push 192.168.159.141/test/tomcat:v1
查看harbor网页版
9.4.3、从harbor仓库下载镜像
在docker机器上删除镜像
docker rmi -f 192.168.159.141/test/tomcat:v1
拉取镜像
docker pull 192.168.159.141/test/tomcat:v1
最后编辑:wiki 更新时间:2024-08-13 10:12