Docker 搭建本地私有仓库 与 Harbor

Posted 2021-08-31 奋斗的蜗牛灬

目录

• 前言
• 一、搭建 Docker 私有仓库
• 二、Harbor简介

前言

Docker 三要素：镜像，容器，仓库。

仓库分为共有仓库和私有仓库：

• 公有仓库就是 DokcerHub。外网，受网络影响大。
• 私有仓库就是搭建在本地服务器中的，公司都是用自己搭建的私有仓库，不对外公开，速度快，好管理。

一、搭建 Docker 私有仓库

• 下载私有仓库所需软件包，Docker 私有仓库 是通过 registry 注册镜像实现的。

首先下载 registry 镜像

docker pull registry

在 daemon.json 文件中添加私有镜像仓库地址，JSON 格式

JSON 格式

• 键值对
• 逗号分隔各项

vim /etc/docker/daemon.json

{
	"insecure-registries" : [ "192.168.10.60:5000"],   #指定本地仓库地址与端口，本地端口号用5000，注意用逗号结尾
	"registry-mirrors": [ "https;//XXXXXXX.mirror.aliyuncs.com" ]   
	#这个是阿里云仓库下载加速用的
}

systemctl daemon-reload
systemctl restart docker.service     

#运行registry容器，-v：把宿主机的/data/registry目录 挂载到 容器中的/var/lib/registry目录中
docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest

-------------------
-itd：在容器中打开一个伪终端进行交互操作，并在后台运行
-v：把宿主机的/data/registry目录 挂载到 容器中的/var/lib/registry目录(这个目录是registry容器中存放镜像文件的目录)，来实现数据的持久化;
-p：映射端口;访问宿主机的5000端口就访问到registry容器的服务了restart=always：这是重启的策略，在容器退出时总是重启容器
--name registry：创建容器命名为registry
registry:latest：这个是刚才pull下来的镜像
-------------------

Docker容器的重启策略 --restart= 如下：

• no：默认策略，在容器退出时不重启容器
• on-failure：在容器非正常退出时（退出状态非0），才会重启容器
• on-failure:n：在容器非正常退出时重启容器，最多重启n次，常配置成3
• always：在容器退出时总是重启容器
• unless-stopped：在容器退出时总是重启容器，但是不考虑在 Docker 守护进程启动时就已经停止了的容器
  
  

#为镜像打标签（类似GitLab打标签，存一个版本）

docker tag centos:7 192.168.10.60:5000/centos:v1

#v1 表示该版本名

#上传到私有仓库，指定仓库名和标签

#指定要上传的 仓库IP地址和端口号。镜像级版本号

docker push 192.168.10.60:5000/centos:v1

#列出私有仓库的所有镜像

curl http://192.168.10.60:5000/v2/_catalog
curl http://192.168.10.60:5000/v2/centos/tags/list

#先删除原有的centos 的镜像，再测试，从私有仓库中下载打了标签的镜像

docker images
docker rmi -f 300e315adb2f
docker pull 192.168.10.60:5000/centos:v1

二、Harbor简介

(1）什么是Harbor
Harbor 是VWware公司开源的企业级Docker Registry 项目，其目标是帮助用户迅速搭建一个企业级的Docker Registry服务。
Harbor以、Docker公司开源的Registry为基础，提供了图形管理U〔、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP集成、以及审计日志(Auditlogging）等企业用户需求的功能，同时还原生支持中文。
Harbor 的每个组件都是以Docker 容器的形式构建的，使用docker-compose来对它进行部署。用于部署Harbocr的docker-compose模板位于harbor/ docker-compose.yml。
(2) Harbor的特性
1、基于角色控制:用户和仓库都是基于项目进行组织的，而用户在项目中可以拥有不同的权限。
2、基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制(同步)。
3、支持 LDAP/AD: Harbor 可以集成企业内部已有的 AD/LDAP（类似数据库的
张表），用于对已经存在的用户认证和管理。
4、镜像删除和垃圾回收:镜像可以被删除，也可以回收镜像占用的空间。
5、图形化用户界面:用户可以通过浏览器来浏览，搜索镜像仓库以及对项目进行管理。
6、审计管理:所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。
7、支持 RESTful API: RESTful API 提供给管理员对于Harbor 更多的操控，使得与其它管理软件集成变得更容易。
58、Harbor和docker registry的关系:Harbor实质上是对docker registry做了封装，扩展了自己的业务模板。
(3) Harbor的构成
Harbor 在架构上主要有 Proxy、Registry、Core services、Database (Harbor-db》、Log collector (Harbor-log)、Job services六个组件。

Proxy: Harbor 的Registry、UI、Token服务等组件，都处在nginx反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端不同的服务上。
Registry:负责储存 Docker镜像，并处理Docker push/pull 命令。由于要对用户进行访问控制，即不同用户对Docker镜像有不同的读写权限，Registry 会指向一个Token服务，强制用户的每次 Docker pull/push请求都要携带一个合法的Token,Registry会通过公钥对Token进行解密验证。
●Core services: Harbor的核心功能，主要提供以下3个服务:
1)UI (harbor-ui):提供图形化界面，帮助用户管理Registry 上的镜像（image)，并对用户进行授权。
2) WebHook:为了及时获取RegistryEimage 状态变化的情况，在Registry上配置Wiebhook，把状态变化传递给UI模块。3) Token 服务:负责根据用户权限给每个Docker push/pull 命令签发Token。Docker客户端向Registry服务发起的请求，如果不包含Token，会被重定向到Token服务，获得Token后再重新向Registry进行请求。
Database (harbor-db):为core services提供数据库服务，负责储存用户权限、审计日志、Docker镜像分组信息等数据。
Job services:主要用于镜像复制，本地镜像可以被同步到远程Harbor实例
上。
●Log collector (harbor-log):负责收集其他组件的日志到一个地方。