Docker的核心:镜像、容器、仓库
仓库:保存镜像
私有:自定义用户的形式登录仓库,拉取或者上传镜像(内部管理的用户)
harbor是什么?
harbor是由VMware公司开发的,开源的企业级的 docker registry项目。帮助用户快速搭建一个企业级的Docker仓库的服务。
支持中文
harbor的特性
1、 基于角色进行控制,用户和仓库都是基于项目进行的,用户在每个项目中拥有不同的权限。
2、 可以基于镜像在不同的harbor实例之间进行复制。
3、 harbor自带一个数据库,AD/LDAP(类似于数据库中的表)用于对已存在的用户进行认证和管理。
4、 镜像删除和垃圾回收,仓库中的镜像可以被删除(基于权限控制),也可以回收镜像占用的空间。
5、 图形化界面,用户可以直接通过浏览器来对镜像仓库进行管理
6、 审计管理,所有的对镜像仓库的操作都可以被记录溯源
7、 支持API操作,API的程序接口,端口:主机和主机之间的通信。API是应用和应用直接的接口。管理员可以基于API调用接口和更多的其他程序进行集成
harbor的组件
1、 proxy:安装完成harbor后,会自动生成一个nginx容器,自动对外映射80端口,nginx起前端代理的作用。在harbor当中registry、UI、TOKEN,都在nginx的反向代理后面。通过nginx的代理可以把请求转发到后端不同的应用。
2、 Registry:负责存储镜像,所有的docker pull/push的命令都由其负责。用户进行访问控制,不同的用户对docker镜像有不同的读写权限。Registry每次都会指向一个不同的Token。强制用户每次的pull/push,都必须带一个合法的token(公钥对)
Resgistry会通过公钥对,进行解密验证,身份合法才能指定操作。
3、 CORE SERVICES:harbor的核心功能,提供3个服务:
-
UI:提供图形化界面
-
Webhook:仓库上所有镜像的变化(增删改),都会传给webhook,显示在UI界面上
-
Token:签发每一次pull和push的公钥对,用来和仓库之间进行权限认证。
-
database:harbor-db,为核心core services提供数据库存储服务,用户权限,审计日志 docker镜像的分组和项目信息
-
job service:主要用于镜像复制,本地镜像可以同步到远程harbor上
-
log collector(harbor-log):统一日志收集工具
docker-harbor搭建
实验准备
bash
docker1 20.0.0.41 安装仓库 docker-ce harbor docker-compose
docker2 20.0.0.42 客户端 docker-compose
docker3 20.0.0.43 安装仓库---实现远程同步 docker-ce harbor docker-compose
docker1安装组件
安装配置docker-compose
mv docker-compose-linux-x86_64 docker-compose
mv docker-compose /usr/local/bin/
chmod 777 /usr/local/bin/docker-compose
docker-compose -v
安装配置harbor
tar -xf harbor-offline-installer-v2.8.1.tgz -C /usr/local/
cd /usr/local/harbor/
cp
vim harbor.yml
hostname: 20.0.0.41
---34行---
harbor_admin_password: 123456
data_volume: /data
#镜像的保存位置
开始编译harbor
./prepare
#编译环境
https:docker-harbor默认的通信西医是https加密通信协议
vim harbor.yml
#https:
# https port for harbor, default is 443
# port: 443
# The path of cert and key files for nginx
# certificate: /your/certificate/path
# private_key: /your/private/key/path
#注释掉https协议
./install.sh
#开始安装
安装完成后登录页面测试20.0.0.41
用户名:admin
密码:123456
新建项目:
-1表示不做限制
创建用户:
给用户添加权限
角色:
访客:只能看,只有读权限
开发者:有读写权限。但是没有删除权限
维护人员,读写权限,修改其他配置项的权限
项目管理员:对该项目有所有权限
远程登录
到docker2进行操作
bash
docker2
vim /usr/lib/systemd/system/docker.service
---13---
--insecure-registry 20.0.0.41
systemctl daemo-reload
systemctl restart docker
docker login -u zyg -p Yuanye824315 http://20.0.0.41
#远程登录41
docker pull logstash
docker tag logstash:latest 20.0.0.41/zygtest/logstash:zyg1
docker push 20.0.0.41/zygtest/logstash:zyg1
#docker push docke1的IP/库的名称/标签
实现镜像同步
bash
docker3
安装harbor
安装配置docker-compose
mv docker-compose-linux-x86_64 docker-compose
mv docker-compose /usr/local/bin/
chmod 777 /usr/local/bin/docker-compose
docker-compose -v
安装配置harbor
tar -xf harbor-offline-installer-v2.8.1.tgz -C /usr/local/
cd /usr/local/harbor/
cp harbor.yml.tmpl harbor.yml
vim harbor.yml
hostname: 20.0.0.41
---34行---
harbor_admin_password: 123456
data_volume: /data
#镜像的保存位置
开始编译harbor
./prepare
#编译环境
https:docker-harbor默认的通信西医是https加密通信协议
vim harbor.yml
#https:
# https port for harbor, default is 443
# port: 443
# The path of cert and key files for nginx
# certificate: /your/certificate/path
# private_key: /your/private/key/path
#注释掉https协议
./install.sh
#开始安装
#如果需要修改harbor配置文件重新./install.sh在执行一次即可
进入页面:
仓库管理新建目标
目标url:http://你的IP
复制管理新建规则
如果不选则拉取所有
复制成功:
实验完成