如何将本地docker 镜像上传到我的私有仓库

Posted 2023-03-21

参考技术A docker越来越炙手可热,如果你的团队已经准备开始使用docker,那么私有仓库是必不可少的东西,首先是可以帮助你加快从服务器pull镜像的速度,其次也可以帮助你.你不想把镜像放到公共的
Docker
Registry
上...启动服务器之前,我们先上传
Ubuntu
cloud
ima. 参考技术B 准备开始使用docker，那么私有仓库是必不可少的东西，首先是可以帮助你加快从服务器pull镜像的速度，其次也可以帮助你存放私有的镜像，本文主要为大家介绍如何从公用服务器上讲开放的images备份到本地私

docker本地仓库和私有仓库

docker本地仓库和私有仓库

• 一、docker本地仓库
• • 1.首先下载registry镜像
  • 2.在daemon.json文件中添加私有镜像仓库地址
  • 3.运行registry容器
  • • docker容器重启策略
  • 4.为镜像打标签
  • 5.上传到私有仓库
  • 6.列出私有仓库的所有镜像
  • 7.列出私有仓库的centos 镜像有哪些tag
  • 8.先删除原有的centos的镜像，再测试私有仓库下载
• 二、私有仓库（Harbor）
• • 1.简介
  • 2.Harbor的特性
  • 3.Docker私有仓库架构
• 三、Harbor 配置文件以及相关参数
• • 1.所需参数
  • 2.可选参数
• 四、使用Harbor构建docker私有仓库
• • 1.实验准备
  • 2.部署 docker-compose 和Harbor 服务
  • • 修改Harbor 参数文件
  • 3.启动Harbor
  • 4.查看 Harbor 启动镜像和容器
  • 5.创建一个项目
  • 6.在客户端上传镜像
• 五、维护管理Harbor
• • 1．通过Harbor web创建项目
  • 2.创建 Harbor 用户
  • 3.查看日志
  • 4.修改 Harbor.cfg 配置文件
  • 5.移除 Harbor 服务容器同时保留镜像数据/数据库
• 总结

一、docker本地仓库

1.首先下载registry镜像

拉取私有仓库镜像。
docker pull registry

2.在daemon.json文件中添加私有镜像仓库地址

vim /etc/docker/daemon.json

添加以下内容，用于让Docker信任私有仓库地址,保存退出。


"insecure-registries": ["192.168.19.77:5000"],
"registry-mirrors": ["https://bupq07hd.mirror.aliyuncs.com"]

#重新加载某个服务的置文件
systemctl daemon-reload

#重新启动docker
systemctl restart docker

3.运行registry容器

docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest

-itd: 在容器中打开一-个伪终端进行交互操作，并在后台运行
-v:把宿主机的/data/registry目录绑定到容器/var/lib/ registry目录(这个目录是registry容器中存放镜像文件的目录)，来实现数据的
持久化;
-p:映射端口;访问宿主机的5000端口就访问到registry容器的服务了
--restart=always:这是重启的策略，在容器退出时总是重启容器
--name registry: 创建容器命名为registry
registry:latest:这个是刚才pull下来的镜像

docker容器重启策略

（1）no，默认策略，在容器退出时不重启容器。
（2）on-failure，在容器非正常退出时（退出状态非0），才会重启容器。
（3）on-failure:3，在容器非正常退出时重启容器，最多重启3次。
（4）always，在容器退出时总是重启容器。
（5）unless-stopped，在容器退出时总是重启容器，但是不考虑在 Docker 守护进程启动时就已经停止了的容器。

4.为镜像打标签

docker tag registry:latest 192.168.19.77:5000/centos:v1

5.上传到私有仓库

docker push 192.168.19.77:5000/centos:v1

6.列出私有仓库的所有镜像

curl http://192.168.19.77:5000/v2/_catalog

7.列出私有仓库的centos 镜像有哪些tag

curl http://192.168.19.77:5000/v2/centos/tags/list

8.先删除原有的centos的镜像，再测试私有仓库下载

docker rmi -f 192.168.19.77:5000/centos:v1 
docker pull 192.168.19.77:5000/centos:v1 

二、私有仓库（Harbor）

1.简介

有可视化的Web管理界面，可以方便管理Docker镜像，又提供了多个项目的镜像权限管理及控制功能

Harbor是VMware公司开源的企业级Docker Registry项目

2.Harbor的特性

（1）基于角色控制:用户和仓库都是基于项目进行组织的，而用户在项目中可以拥有不同的权限。
（2）基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制(同步）。
（3）支持 LDAP/AD: Harbor 可以集成企业内部已有的 AD/LDAP(类似数据库的一张表)，用于对已经存在的用户认证和管理。
（4）镜像删除和垃圾回收:镜像可以被删除，也可以回收镜像占用的空间。
（5）图形化用户界面:用户可以通过浏览器来浏览，搜索镜像仓库以及对项日进行管理。
（6）审计管理:所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。
（7）支持 RESTful API: RESTful API 提供给管理员对于Harbor 更多的操控，使得与其它管理软件集成变得更容易。
（8）Harbor和docker registry的关系: Harbor实质上是对docker registry做了封装，扩展了自己的业务模板。

3.Docker私有仓库架构

图中组件解释
Proxy：通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务
Registry：负责存储Docker镜像，并处理docker push/pull命令
Core services：Harbor的核心功能，包括UI、webhook、token服务
Database：为core services提供数据库服务
Log collector：·负责收集其他组件的log，供日后进行分析

图解
所有的请求都经过proxy代理，proxy代理转发给Core services和Registry，其中Core services包括UI界面、token令牌和webhook网页服务功能，Registry主要提供镜像存储功能。如果要进行下载上传镜像，要经过token令牌验证然后从Registry获取或上传镜像，每一次下载或上传都会生成日志记录，会记入Log collector，而用户身份权限及一些镜像语言信息会被存储在Database中。

三、Harbor 配置文件以及相关参数

Harbor的配置文件是：/usr/local/harbor/harbor.cfg
关于 Harbor.cfg 配置文件中有两类参数：所需参数和可选参数

1.所需参数

修改此参数后，需要运行 install.sh脚本重新安装 Harbour，参数才会生效。

hostname
用于访问用户界面和 register 服务。
它应该是目标机器的 IP 地址或完全限定的域名（FQDN）
例如 192.168.19.77 或test.com。
不要使用 localhost 或 127.0.0.1 为主机名。

ui_url_protocol（参数选项：http 或 https，默认为 http）
用于访问 UI 和令牌/通知服务的协议。
如果公证处于启用状态，则此参数必须为 https。

max_job_workers
镜像复制作业线程。

db_password
用于db_auth 的MySQL数据库root 用户的密码。

customize_crt
该属性可设置为打开或关闭，默认打开。
打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌。
当由外部来源提供密钥和根证书时，将此属性设置为 off。

ssl_cert
SSL 证书的路径，仅当协议设置为 https 时才应用。

ssl_cert_key
SSL 密钥的路径，仅当协议设置为 https 时才应用。

secretkey_path
用于在复制策略中加密或解密远程 register 密码的密钥路径。
不建议配置，有很大的安全隐患

2.可选参数

这些参数对于更新是可选的，即用户可以将其保留为默认值，并在启动 Harbor 后在 Web UI 上进行更新。
如果进入 Harbor.cfg，只会在第一次启动 Harbor 时生效，随后对这些参数 的更新，Harbor.cfg 将被忽略。
注意：如果选择通过UI设置这些参数，请确保在启动Harbour后立即执行此操作。具体来说，必须在注册或在 Harbor 中创建任何新用户之前设置所需的

auth_mode
当系统中有用户时（除了默认的 admin 用户），auth_mode 不能被修改。

Email
Harbor需要该参数才能向用户发送“密码重置”电子邮件，并且只有在需要该功能时才需要。
请注意，在默认情况下SSL连接时没有启用。如果SMTP服务器需要SSL，但不支持STARTTLS，那么应该通过设置启用SSL email_ssl = TRUE。

harbour_admin_password
管理员的初始密码，只在Harbour第一次启动时生效。
之后，此设置将被忽略，并且应 UI中设置管理员的密码。
默认的用户名/密码是 admin/Harbor12345。

auth_mode
使用的认证类型
默认情况下，它是 db_auth，即凭据存储在数据库中。
对于LDAP身份验证，请将其设置为 ldap_auth。

self_registration
启用/禁用用户注册功能。
禁用时，新用户只能由 Admin 用户创建，只有管理员用户可以在 Harbour中创建新用户。
注意：当 auth_mode 设置为 ldap_auth 时，自注册功能将始终处于禁用状态，并且该标志被忽略。

Token_expiration
由令牌服务创建的令牌的到期时间（分钟），默认为 30 分钟。
即登录–退出后，30分钟内可以不输入用户名和密码登录，30分钟后需要再次验证。

project_creation_restriction
用于控制哪些用户有权创建项目的标志，表示哪些用户可以创建项目。
默认情况下， 每个人都可以创建一个项目。
如果将其值设置为“adminonly”，那么只有 admin 可以创建项目。

verify_remote_cert
打开或关闭，默认打开。
此标志决定了当Harbor与远程 register 实例通信时是否验证 SSL/TLS 证书。
将此属性设置为 off 将绕过 SSL/TLS 验证，这在远程实例具有自签名或不可信证书时经常使用。

另外，默认情况下，Harbour 将镜像存储在本地文件系统上。在生产环境中，可以考虑 使用其他存储后端而不是本地文件系统，如 S3、Openstack Swif、Ceph 等。但需要更新common/templates/registry/config.yml 文件。

四、使用Harbor构建docker私有仓库

1.实验准备

主机	操作系统	ip	软件
server	CentOS7	192.168.19.77	docker、docker-compose、harbor-offline-v1.1.2
client	CentOS7	192.168.19.11	docker

2.部署 docker-compose 和Harbor 服务

cd /opt
上传压缩包  docker-compose 和 harbor-offline-installer-v1.2.2.tgz
chmod +x docker-compose
mv docker-compose /usr/local/bin

#在线下载方法
wget http:// harbor.orientsoft.cn/harbor-1.2.2/harbor-offline-installer-v1.2.2.tgz

tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/

修改Harbor 参数文件

配置Harbor参数文件
vim /usr/local/harbor/harbor.cfg

第5行修改
hostname = 192.168.19.77

3.启动Harbor

sh /usr/local/harbor/install.sh

4.查看 Harbor 启动镜像和容器

cd /usr/local/harbor
docker-compose ps

5.创建一个项目

打开浏览器访问 http://192.168.19.77 的管理页面，默认的管理员用户名和密码是 admin/Harbor12345

本地登录

docker login http://127.0.0.1
admin
Harbor12345

下载镜像进行测试

docker pull nginx

镜像打标签

docker tag nginx 127.0.0.1/zzproject/nginx:v1

上传镜像到Harbor

docker push 127.0.0.1/zzproject/nginx:v1

6.在客户端上传镜像

上述操作都是在 Harbor 服务器本地操作。如果其他客户端上传镜像到 Harbor，就会报
如下错误。出现这问题的原因 Docker Registry 交互默认使用的是 HTTPS，但是搭建私有镜
像默认使用的是 HTTP 服务，所以与私有镜像交互时出现以下错误。

[root@192 ~]# docker login -u admin -p Harbor http://192.168.19.77
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get https://192.168.19.77/v2/: dial tcp 192.168.19.77:443: connect: connection refused

解决办法

vim /usr/lib/systemd/system/docker.service
#--------------------修改内容-----------------------------------
ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.19.77 --containerd=/run/containerd/containerd.sock
#---------------------------------------------------------------

//重启服务
systemctl daemon-reload 
systemctl restart docker

//再次登录
docker login  -u admin -p Harbor12345 http://192.168.19.77

上传实例

docker pull tomcat

docker images

docker tag tomcat 192.168.19.77/zzproject/tomcat:v2

docker push 192.168.19.77/zzproject/tomcat:v2

五、维护管理Harbor

1．通过Harbor web创建项目

在Harbor仓库中，任何镜像在被 push到 regsitry之前都必须有一个自己所属的项目。
单击"+项目”，填写项目名称，项目级别若设置为"私有"，则不勾选。如果设置为公共仓库，则所有人对此项目下的镜像拥有读权限，命令行中不需要执行"Docker login"即可下载镜像，镜像操作与Docker Hub一致。

2.创建 Harbor 用户

客户端上操作

删除之前打标签的镜像

docker rmi 192.168.19.77/zzproject/tomcat:v2

测试创建的新用户

//注销登录
docker logout 192.168.19.77

//使用新创建的用户和密码登录私有仓库
docker login 192.168.19.77
zzk
Harbor12345

//从私有仓库下载镜像
docker pull 192.168.19.77/zzproject/nginx:v1

//查看镜像
docker images

3.查看日志

4.修改 Harbor.cfg 配置文件

192.168.19.77

要更改 Harbour 的配置文件时，请先停止现有的 Harbor 实例并更新 Harbor.cfg；然后运行 prepare 脚本来填充配置；最后重新创建并启动 Harbour 的实例。

cd /usr/local/harbor
docker-compose down -v  # 停止现有的 Harbor 实例

vim harbor.cfg  #修改配置文件

./prepare   #运行 prepare 脚本来填充配置

docker-compose up -d  # 重启服务

5.移除 Harbor 服务容器同时保留镜像数据/数据库

192.168.19.77

cd /usr/local/harbor
docker-compose down -v

#查看创建的项目
cd /data/registry/docker/registry/v2/repositories/
ls
#查看上传的镜像
cd 项目名
ls
#持久数据，如镜像，数据库等在宿主机的/data目录下，日志在宿主机的/var/log/Harbor目录下

#如果需要重新部署，需要移除Harbor服务容器全部数据
cd /data
rm -rf /data/database
rm -rf /data/registry

总结

掌握本地仓库和私有仓库的创建方法