Docker--harbor私有仓库部署与管理

一、搭建本地私有仓库

步骤概述

下载并配置 registry 镜像

docker pull registry
编辑 Docker 配置文件 daemon.json

{
"insecure-registries": ["192.168.10.23:5000"],
"registry-mirrors": ["https://ae3f5qei.mirror.aliyuncs.com"]
}
重启 Docker 服务

systemctl restart docker.service
运行 registry 容器

docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest

-itd：交互式操作并在后台运行容器。
-v：挂载宿主机目录到容器中，实现数据持久化。
-p：映射端口，将宿主机的 5000 端口映射到容器的 5000 端口。
--restart=always：容器退出时自动重启。
registry:latest：使用的 Docker 镜像名称和标签。

为镜像打标签和上传

docker tag centos:7 192.168.10.23:5000/centos:v1
docker push 192.168.10.23:5000/centos:v1

6.管理私有仓库

列出所有镜像：
curl http://192.168.10.23:5000/v2/_catalog

查询镜像的 tags：
curl http://192.168.10.23:5000/v2/centos/tags/list

二、Harbor 简介

2.1 什么是 Harbor

Harbor 是一个开源的企业级 Docker 镜像仓库，由 VMware 公司开发并维护。它提供了比 Docker Hub 更多的功能和安全性，特别适合用于私有环境中的容器镜像管理。

2.2 Harbor 特性

**角色控制：**Harbor 提供了基于角色的访问控制（Role-Based Access Control, RBAC），允许管理员精细地控制用户对不同资源的访问权限。
**镜像的复制策略：**Harbor 支持镜像复制功能，可以将镜像从一个仓库复制到另一个仓库，甚至跨数据中心复制。
**支持 AD/LDAP：**Harbor 可以与 Active Directory 或 Lightweight Directory Access Protocol（LDAP）集成，从而利用现有企业身份管理系统进行用户认证。
**镜像删除和回收：**用户可以删除不再需要的镜像，Harbor 也会定期清理无用的数据，节省存储空间。
**可视化界面：**Harbor 提供了一个用户友好的 Web 界面，让用户可以方便地查看和管理镜像仓库。
**审计管理：**Harbor 记录所有的操作，便于审计和追踪。
支持 RESTful API：用户可以通过 RESTful API 自动化管理 Harbor，比如创建、更新和删除镜像。
**升级版：**Harbor 是一个升级版的私有仓库，相比基础的 Docker 仓库，它提供了更多高级功能和更好的用户体验。

2.3 Harbor 构成

**1. Proxy：**通过一个前置的反向代理接受（浏览器）客户端请求，并转发到你的后端不同的服务。

**2. Registry：**负责镜像存储，通过 pull/push 上传下载。

**3. Core services：**提供核心功能，包括 webhook、UI、token、认证服务等。

Webhook：负责网站的一些服务功能（内部所有状态转发表面）。
UI：显示可视化界面。
Token：令牌认证服务（身份认证）。

**4. Database：**给核心功能提供的服务都会记录数据（镜像、分组等）并认证用户信息，你可以认为是元信息。

**5. Log coller：**负责收集各个组件的日志，为我们提供分析以及健康检查等。

**6. Job services：**主要镜像复制，本地镜像可以同步到其他私有仓库（Harbor）。

**7. Adminserver：**主要做一个后端配置的数据管理员，它没有其他功能。

这些组件共同构成了 Harbor 的核心功能，它们相互协作，提供了一个完整的私有镜像仓库解决方案。例如，Proxy 作为前端接收用户请求，然后转发给 Registry 进行镜像的存储和分发；Core services 提供了认证、日志记录、UI 显示等功能；Database 则存储了元数据和用户信息；Log coller 收集日志，帮助管理员监控系统状态；Job services 负责镜像复制等任务；Adminserver 则用于管理后端配置。

2.4 Harbor私有仓库交互过程

整个工作流程：

当客户端（如 Docker 客户端）想要访问 Harbor 时，首先通过 Nginx 反向代理将请求转发到 Core Services。
Core Services 包括 UI、token、webhook 等组件，它们处理用户的请求并返回结果。
如果需要存储或查询镜像，请求会被转发到 Registry。
如果需要执行镜像复制策略，则由 Job Services 处理。
在整个过程中，Log Collector 会收集所有组件的操作日志，以便进行后续的分析和审计。

三、Harbor 部署

Harbor服务器 192.168.10.23 docker-ce、docker-compose、harbor-offline-v1.2.2

client服务器 192.168.10.13 docker-ce

3.1 部署 Docker-Compose 服务

//下载或者上传 Docker-Compose
curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

docker-compose --version

3.2 部署 Harbor 服务

（1）下载或上传 Harbor 安装程序

wget http://harbor.orientsoft.cn/harbor-1.2.2/harbor-offline-installer-v1.2.2.tgz

tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/

（2）修改harbor安装的配置文件

vim /usr/local/harbor/harbor.cfg
--5行--修改，设置为Harbor服务器的IP地址或者域名
hostname = 192.168.10.23
--59行--指定管理员的初始密码，默认的用户名/密码是admin/Harbor12345
harbor_admin_password = Harbor12345

3.3 启动 Harbor

cd /usr/local/harbor/

在配置好了 harbor.cfg 之后，执行 ./prepare 命令，为 harbor 启动的容器生成一些必要的文件（环境）

再执行命令 ./install.sh 以 pull 镜像并启动容器

3.4 查看 Harbor 启动镜像

cd /usr/local/harbor/
docker-compose ps

3.5 创建一个新项目

（1）浏览器访问：http://192.168.10.23 登录 Harbor WEB UI 界面，默认的管理员用户名和密码是 admin/Harbor12345

（2）输入用户名和密码登录界面后可以创建一个新项目。点击"+项目"按钮

（3）填写项目名称为"myproject-kgc"，点击"确定"按钮，创建新项目

（4）此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下，Registry 服务器在端口 80 上侦听。

//登录 Harbor

docker login [-u admin -p Harbor12345] http://127.0.0.1

//下载镜像进行测试

docker pull nginx

//将镜像打标签

格式：docker tag 镜像:标签仓库IP/项目名称/镜像名:标签

docker tag nginx:latest 127.0.0.1/myproject-kgc/nginx:v1

//上传镜像到 Harbor

docker push 127.0.0.1/myproject-kgc/nginx:v1

（5）在 Harbor 界面 myproject-kgc 目录下可看见此镜像及相关信息

3.6 在其他客户端上传镜像

以上操作都是在 Harbor 服务器本地操作。如果其他客户端登录到 Harbor，就会报如下错误。出现这问题的原因为Docker Registry 交互默认使用的是 HTTPS，但是搭建私有镜像默认使用的是 HTTP 服务，所以与私有镜像交互时出现以下错误。

（1）在 Docker 客户端配置操作

//解决办法是：在 Docker server 启动的时候，增加启动参数，默认使用 HTTP 访问。

vim /usr/lib/systemd/system/docker.service
--13行--修改
ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.10.23 --containerd=/run/containerd/containerd.sock
或
ExecStart=/usr/bin/dockerd --insecure-registry 192.168.10.23

//重启 Docker，再次登录

systemctl daemon-reload
systemctl restart docker

//再次登录 Harbor

docker login -u admin -p Harbor12345 http://192.168.10.23

//将自动保存凭据到/root/.docker/config.json，下次登录时可直接使用凭据登录 Harbor

//下载镜像进行测试

docker pull 192.168.10.23/myproject-kgc/nginx:v1

//上传镜像进行测试

docker tag redis:latest 192.168.10.23/myproject-kgc/redis:v2

docker push 192.168.10.23/myproject-kgc/redis:v2

（2）刷新 Harbor 的 Web 管理界面进行查看，会发现 myproject-kgc 项目里面有两个镜像

四、维护管理 Harbor 指南

4.1 通过 Harbor Web 创建项目

在 Harbor 仓库中，任何镜像在被 push 到 registry 之前都必须有一个自己所属的项目。

登录 Harbor Web 界面。
单击"+项目"，填写项目名称，例如 myproject-kgc。
项目级别若设置为"私有"，则不勾选。如果设置为公共仓库，则所有人对此项目下的镜像拥有读权限，命令行中不需要执行 Docker login 即可下载镜像，镜像操作与 Docker Hub 一致。

4.2 创建 Harbor 用户

（1）创建用户并分配权限

在 Web 管理界面中单击系统管理 -> 用户管理 -> +用户。
填写用户名为"kgc-zhangsan"，邮箱为"kgc-zhangsan@kgc.com"，全名为"zhangsan"，密码为"Abc123456"，注释为"管理员"（可省略）。
用户创建成功后，单击左侧"..."按钮可将上述创建的用户设置为管理员角色或进行删除操作，本例不作任何设置。

（2）添加项目成员

单击项目 -> myproject-kgc -> 成员 -> + 成员。
填写上述创建的用户 kgc-zhangsan 并分配角色为"开发人员"。
此时单击左侧"..."按钮仍然可对成员角色进行变更或者删除操作。

（3）在客户端上使用普通账户操作镜像

登出原来用户，再用创建的新用户登录

用新用户操作动作上传镜像

4.3 查看日志

Harbor Web 界面的操作日志按时间顺序记录用户相关操作，方便管理员查看和审计。

4.4 移除 Harbor 服务容器同时保留镜像数据/数据库，并进行迁移

（1）移除 Harbor 服务容器

cd /usr/local/harbor
docker-compose down -v

（2）把项目中的镜像数据进行打包

持久数据，如镜像，数据库等在宿主机的 /data/ 目录下，日志在宿主机的 /var/log/Harbor/ 目录下。

ls /data/registry/docker/registry/v2/repositories/myproject-kgc
cd /data/registry/docker/registry/v2/repositories/myproject-kgc
tar zcvf kgc-registry.tar.gz ./*

4.5 如需重新部署，需要移除 Harbor 服务容器全部数据

cd /usr/local/harbor
docker-compose down -v
rm -r /data/database
rm -r /data/registry

通过以上步骤，可以管理和维护 Harbor 仓库，包括创建项目、用户、管理镜像、查看日志以及进行配置文件的修改和数据迁移