docker私有仓库部署与管理

一、搭建本地公有仓库

  1.1 首先下载registry镜像

docker pull registry

  1.2 在daemon.json文件中添加私有镜像仓库地址并重新启动docker服务

vim /etc/docker/daemon.json

  1.3 运行registry容器

docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always--name registry registry:latest

  1.4 下载centos镜像

docker run centos:7 /usr/bin/bash -c ls /

  1.5 为镜像打上标签并上传到仓库

docker tag centos:7 当前IP地址:5000/centos:v1

docker push 当前IP地址:5000/centos:v1

  1.6 列出私有仓库的所有镜像以及centos镜像有哪些tag

curl http://当前IP地址:5000/v2/_catalog

curl http://当前IP地址:5000/v2/centos/tags/list

  1.7 删除centos镜像

docker images

docker rmi centos:7

docker rmi 容器ID号

    1.8 查看所有镜像查看centos是否被删除

docker images

   1.9 从仓库下载centos镜像

docker pull 192.168.10.10:5000/centos:v1

docker images

---

二、harbor简介

  2.1 harbor定义

    Harbor是VMware公司开源的企业级Docker Registry项目，其目标是帮助用户迅速搭建一个企业级的Docker Registry服务。

    Harbor以 Docker 公司开源的Registry为基础，提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能，同时还原生支持中文。

  Harbor的每个组件都是以docker容器的形式构建的，使用docker-compose来对它进行部署。用于部署Harbor的docker-compose模板位于harbor/docker-compose.yml。

  2.2 harbor特性

1. 基于角色控制：用户和仓库都是基于项目进行组织的，而用户在项目中可以拥有不同的权限。
2. 基于镜像的复制策略：镜像可以在多个Harbor实例之间进行复制（同步）。
3. 支持LDAP/AD：Harbor 可以集成企业内部已有的 AD/LDAP（类似数据库的一张表），用于对已经存在的用户认证和管理。
4. 镜像删除和垃圾回收：镜像可以被删除，也可以回收镜像占用的空间。
5. 图形化用户界面：用户可以通过浏览器来浏览，搜索镜像仓库以及对项目进行管理。
6. 审计管理：所有针对镜 像仓库的操作都可以被记录追溯，用于审计管理。
7. 支持RESTful API：RESTful API 提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易。
8. Harbor和docker registry的关系：Harbor实质上是对docker registry做了封装，扩展了自己的业务模板。

  2.3 harbor构成

    Harbor 在架构上主要有 Proxy、Registry、Core services、Database（Harbor-db）、Log collector（Harbor-log）、Job services六个组件。

• proxy反向代理：通过一个前置的发现代理统一接收浏览器、docker客户端的请求，并且请求转发给后端不同的服务
• registry：负责存储docker镜像，处理docker的pull/push命令来做上传和下载
• core services：harbor的核心功能包括：

  • ui：提供图像界面

  • webhook：网站一些服务功能（通知机制）

  • token（令牌）：提供身份验证服务

• log collector：负责日志（其他的组件日志、上传、下载、用户、访问）收集，以供后期进行分析和健康检查
• database：提供数据库服务，主要记录数据库镜像的元信息以及用户的身份信息
• job services：用于镜像复制，本地镜像可以被同步到远程harbor实例上

    2.3.1 认证三种方式

• 令牌
• 用户密码
• ssl

  2.4 总结

    Harbor 的每个组件都是以Docker容器的形式构建的，因此，使用Docker Compose来对它进行部署。
    总共分为7个容器运行，通过在docker-compose.yml所在目录中执行docker-compose ps命令来查看， 名称分别为：nginx、harbor-jobservice、harbor-ui、harbor-db、harbor-adminserver、registry、harbor-log。
    其中harbor-adminserver主要是作为一个后端的配置数据管理，并没有太多的其他功能。harbor-ui所要操作的所有数据都通过harbor-adminserver这样一个数据配置管理中心来完成。

解释：adminserver（管理员）：用于管理用户操作以及身份认证等

  2.5 harbor实验部署

  2.5.1 前期准备

	IP地址	服务
harbor服务器	192.168.10.9	docker-ce、docker-compose、harbor-offline-v1.2.2
client客户端	192.168.10.7	docker-ce

  2.5.2 在harbor实验部署

curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

docker-compose --version

  2.5.3 服务端部署harbor服务

  2.5.3.1 下载harbor压缩包并解压到指定位置

cd /opt/

将harbor-offline-installer-v1.2.2.tgz和docker-compose-1.25.0转移到当前xshell下

tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/

或者tar xf harbor-offline-installer-v1.2.2.tgz -C /usr/local/

mv docker-compose-1.25.0 /usr/local/bin

  2.5.3.2 修改harbor安装的配置文件

    在配置文件下修改您当前harbor服务器的IP地址

cd /usr/local/harbor

vim /usr/local/harbor/harbor.cfg

  2.5.3.3 启动harbor服务

cd /usr/local/harbor/

./prepare

./install.sh

  2.5.3.4 查看harbor启动的镜像

docker-compose ps

  2.5.3.5 网页登录harbor

    请输入您的IP地址/harbor，然后输入用户名和密码登入harbor

  2.5.3.6 创建一个项目

    点击项目，新建项目输入项目名称，查看项目名称

  2.5.3.7 登录harbor

docker login -u admin -p Harbor12345 http://127.0.0.1

或者  docker login -u admin -p Harbor12345 http://您当前的本机地址

  2.5.3.8 下载nginx

docker pull nginx

  2.5.3.9 为镜像打上标签

docker tag nginx:latest 127.0.0.1/myproject-xxx/nginx:v1

或者docker tag nginx:latest 您的IP地址/mysproejct-xxx/nginx-v1

docker images

  2.5.3.10 上传镜像到仓库

docker push 127.0.0.1/myproject-xxx/nginx:v1

  2.5.3.11 查看是否传送到仓库中

  2.5.4 客户端操作

  2.5.4.1 登录harbor仓库

docker login -u admin -p Harbor12345 http://您harbor服务器的IP地址

  2.5.4.1.1 解决方式一

    在/usr/lib/systemd/system/docker.service里编辑

vim /usr/lib/sysetmd/system/docker.service

  2.5.4.1.2 解决方式二

    在daemon.json里进行编辑

vim /etc/docker/daemon.json

  2.5.4.2 重新启动服务，再次登录harbor

systemctl daemon-reload

systemctl restart docker

docker login -u admin -p Harbor12345 http://您当前Harbor服务器的IP地址

  2.5.4.3 仓库下载镜像并查看

docker pull 您当前harbor服务器的IP地址/myproject-xxx/nginx:v1

docker images

  2.5.4.4 仓库下载tomcat

docker pull tomcat

  2.5.4.5 标签镜像同时上传到仓库，查看网页仓库是否上传成功

docker tag tomcat:latest 您当前harbor服务器的IP地址/myproject-xxx/tomcat:v2

docker push 您当前harbor服务器的IP地址/myproject-xxx/tomcat:v2

  2.5.5 维护管理harbor仓库

  2.5.5.1 创建用户

  2.5.5.2 添加项目成员

   点击成员，新建仓库

  2.5.5.3 客户端上使用普通账户操作镜像

  2.5.5.3.1 删除tomcat:v2镜像，退出harbor，然后再次用新密码登录harbor

docker rmi 您当前harbor服务器的IP地址/myproject-xxx/tomcat:v2

docker images

docker logout 您harbor服务器的IP地址

docker login -u admin -p Harbor12345 http://您当前harbor服务器的IP地址

  2.5.5.3.2 上传tomcat:v3镜像，同时在网页仓库查看

docker push 您当前harbor服务器的IP地址/myproject-xxx/tomcat:v3

  2.5.5.4 查看日志信息

  2.5.5.5 修改Harbor.cfg配置文件

  2.5.5.5.1 删除docker-compose

cd /usr/local/harbor/

docker-compose down -v

  2.5.5.5.2 重新生成文件

./prepare

  2.5.5.5.3  启动并运行容器

docker-compose up -d

  2.5.5.6 移除Harbor服务容器同时保留镜像数据/数据库，同时进行迁移

  2.5.5.6.1 删除docker-compose

docker-compose down -v

  2.5.5.6.2 查看数据

ls /data/registry/docker/registry/v2/repositories/myproject-xxx/

cd /data/registry/docker/registry/v2/repositories/myproject-xxx/

ls

  2.5.5.6.3 打包镜像数据

tar zcvf xxx-registry.tar.gz ./* 

  2.5.5.6.4 备份内容

ls

cd /usr/local/harbor/

mv /data/registry/docker/registry/v2/repositories/myproject-xxx/xxx-registry.tar.gz /opt/