Docker--------Harbor registry私有仓库搭建 [ Http ]
1. 背景
docker中要使用镜像,一般会从本地、docker Hup公共仓库和其它第三方公共仓库中下载镜像,一般出于安全和外网(墙)资源下载速率的原因考虑企业级上不会轻易使用。那么有没有一种办法可以存储自己的镜像又有安全认证的仓库呢? ----> 企业级环境中基于Harbor搭建自己的私有仓库。
Harbor是VMware公司最近开源的企业级Docker Registry项目, 其目标是帮助用户迅速搭建一个企业级的Docker registry服务。
2. 选择的理由
* 提供了管理UI
* 基于角色的访问控制(Role Based Access Control)
* AD/LDAP集成
* 审计日志(Audit logging)
* 原生支持中文
3. 相关介绍
Harbor在架构上主要由五个组件构成:
* Proxy:Harbor的registry, UI, token等服务,通过一个前置的反向代理统一接收浏览器、Docker客户端的请求,并将请求转发给后端不同的服务。
* Registry: 负责储存Docker镜像,并处理docker push/pull 命令。由于我们要对用户进行访问控制,即不同用户对Docker image有不同的读写权限,Registry会指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token 进行解密验证。
* Core services: 这是Harbor的核心功能,主要提供以下服务:
* UI:提供图形化界面,帮助用户管理registry上的镜像(image), 并对用户进行授权。
* webhook:为了及时获取registry 上image状态变化的情况, 在Registry上配置webhook,把状态变化传递给UI模块。
* token 服务:负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Registry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向Registry进行请求。
* Database:为core services提供数据库服务,负责储存用户权限、审计日志、Docker image分组信息等数据。
* Log collector:为了帮助监控Harbor运行,负责收集其他组件的log,供日后进行分析。
各个组件之间的关系如下图所示:
Harbor的每个组件都是以Docker容器的形式构建的,所以使用Docker Compose来对它进行部署。
用于部署Harbor的Docker Compose 模板位于 /Deployer/docker-compose.yml. 打开这个模板文件,会发现Harbor由5个容器组成:
* proxy: 由Nginx 服务器构成的反向代理。
* registry:由Docker官方的开源registry 镜像构成的容器实例。
* ui: 即架构中的core services, 构成此容器的代码是Harbor项目的主体。
* mysql: 由官方MySql镜像构成的数据库容器。
* log: 运行着rsyslogd的容器,通过log-driver的形式收集其他容器的日志。
这几个容器通过Docker link的形式连接在一起,这样,在容器之间可以通过容器名字互相访问。对终端用户而言,只需要暴露proxy (即Nginx)的服务端口。
Harbor的安装方式
* 在线online安装 --> 由于国内墙和网速率的原因,体验不理想
* 离线offline安装 --> 下载包较大 [ 包含了相关依赖镜像 ]
此次选择离线包安装
4. 环境
| 1 2 3 4 | [root@harbor ~] # cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) [root@harbor ~] # uname -r 3.10.0-327.36.3.el7.x86_64 |
5. 服务器 IP 地址
192.168.60.150
6. 安装
* 安装 docker
| 1 | [root@harbor ~] # yum install docker -y |
* 设置 docker 服务开机启动
| 1 | [root@harbor ~] # systemctl enable docker.service |
* 启动 docker 服务
| 1 | [root@harbor ~] # systemctl start docker.service |
* 安装 docker-compose
| 1 2 3 4 | [root@harbor ~] # yum install python-pip -y [root@harbor ~] # pip install --upgrade pip [root@harbor ~] # pip install docker-compose [root@harbor ~] # pip install --upgrade backports.ssl_match_hostname |
* 下载 harbor 离线包 [ https://github.com/vmware/harbor ]
| 1 | [root@harbor ~] # wget https://github.com/vmware/harbor/releases/download/v1.1.2/harbor-offline-installer-v1.1.2.tgz |
* 解压下载的harbor包 [ harbor-offline-installer-v1.1.2.tgz ]
| 1 | [root@harbor ~] # tar zxf harbor-offline-installer-v1.1.2.tgz |
* 切换进harbor包目录
| 1 | [root@harbor ~] # cd harbor |
* 修改habor配置文件 [ harbor.cfg ]
| 1 2 3 4 | hostname = 192.168.60.150 # 指定私有仓库的主机名,可以是IP地址,也可以是域名 ui_url_protocol = http # 用户访问私仓时使用的协议,默认时http,也可配置成https db_password = root123 # 指定mysql数据库管理员密码 harbor_admin_password:Harbor12345 # harbor的管理员账户密码 |
* 通过自带脚本一键安装
| 1 | [root@harbor harbor] # ./install.sh |
* 通过浏览器访问管理
用户默认为admin
密码默认为Harbor12345 [可通过安装前 harbor.cfg 配置文件修改 harbor_admin_password 指定 ]
7. 客户端使用测试 [ docker 机 ]
* 通过 admin 账户登陆创建 test 用户
* 退出 admin 账户登陆 test 用户
* 创建 test 项目, 访问级别选择公开
* 修改docker配置 [ /etc/sysconfig/docker ]
指定非https仓库
| 1 | OPTIONS='--insecure-registry 192.168.60.150 " |
* 重启或启动 docker 服务
| 1 | [root@harbor client] # systemctl restart docker |
* docker 登陆 harbor
| 1 2 | [root@harbor client] # docker login -u test -p Asd123456 192.168.60.150 Login Succeeded |
* 编辑dockerfile文件
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 | # Url https://lisea.cn # Base imgae FROM centos # Maintainer MAINTAINER lisea lisea@126.com # Commands RUN rpm -ivh http: //mirrors .aliyun.com /epel/epel-release-latest-7 .noarch.rpm RUN yum install nginx -y RUN echo "daemon off;" >> /etc/nginx/nginx .conf RUN echo "this is test nginx image" > /usr/share/nginx/html/index .html EXPOSE 80 CMD [ "nginx" ] |
* 通过Dockerfile构建一个新镜像, 直接指明registry和标签
| 1 | [root@harbor client] # docker build -t 192.168.60.150/test/nginx:v1.0.1 . |
* 上传镜像至 harbor registry
| 1 | [root@harbor client] # docker push 192.168.60.150/test/nginx:v1.0.1 |
* web中查看镜像是否上传成功 [ 成功上传nginx ]
* 删除本地镜像
| 1 | [root@harbor client] # docker rmi 192.168.60.150/test/nginx:v1.0.1 |
* 从harbor中下载镜像
| 1 | [root@harbor client] # docker pull 192.168.60.150/test/nginx:v1.0.1 |
8. 总结
以需求驱动技术,技术本身没有优略之分,只有业务之分。
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
关于SkyDrive Pro的5个问题
关于SkyDrivePro的5个问题 去年微软发布了最新的Office2013套件,除了功能方面的改进之外,还增加了一个叫SkyDrivePro的东西,它是跟新的SharePoint程序结合使用的,所以,在下面,我分享了5个在过去由用户提出来的关于此软件的相关问题: 1.SkyDrive和SkyDrivePro两者有什么区别? SkyDrive是针对用户去同步和共享自已的个人文件,而且它是针对个人免费的,包含在Office365HomePremium版里,SkyDrive已经是超过6千万用户使用的个人云存储服务了,它同样可以通过移动设备去访问文档,在新的Office版本里,SkyDrive还是使用默认的存储地址,让用户更加方便的去创建、存储和与他人共享文件。SkyDrivePro它是组织规定和管理他们的用户的一个文档存储服务,它是作为很多Office365版本的一个互助的一个服务,最主要的是与新版本的SharePoint一起使用。比如它们的消息群体,SkyDrivePro允许用户同步他们的工作文档从SharePoint到达云端,支持在无网的情况下使用工作文档,同样支持移动设备访问,...
- 下一篇
Openstack 安装部署指南翻译系列 之 概况
1.1.1.1.Nova服务安装(Compute) 1.1.1.1.1.计算服务概述 使用OpenStack Compute来托管和管理云计算系统。OpenStack Compute是基础架构即服务(IaaS)系统的主要部分。主要模块是用Python实现的。 OpenStack Compute与OpenStack Identity进行交互以进行身份验证; OpenStack镜像服务用于磁盘和服务器镜像; OpenStack仪表板用于用户和管理界面。镜像访问受到项目和用户的限制;配额对于每个项目是有限的(例如数量)。OpenStack Compute可以在标准硬件上水平扩展,并下载镜像以启动实例。 OpenStack Compute由以下几个服务组成: 2nova-api服务 接受并回复最终用户的计算API调用。该服务支持OpenStack Compute API,Amazon EC2 API和特殊的Admin API,用于特权用户执行管理操作。它执行一些策略并启动大多数业务流程活动,例如运行一个实例。 2nova-api-metadata服务 接受来自实例的元数据请求。nova-...
相关文章
文章评论
共有0条评论来说两句吧...
微信收款码
支付宝收款码