Harbor是由 VMWare 公司开源的容器镜像仓库。Harbor功能包括:
<br />
-
镜像仓库权限控制
-
镜像远程同步复制
-
大规模镜像发布
-
镜像删除和空间回收
<br />
一、依赖环境安装
这里以centos7为例,依赖docker-ce、docker-compose(rust开发)工具,同时Harbor会对两者的版本有一些要求,这里为了便于安装,使用了docker-ce和epel源,方便直接安装好环境 。
1、docker-ce安装
step 1:安装一些必要的系统工具
yum install -y yum-utils device-mapper-persistent-data lvm2
Step 2:添加docker镜像源
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
Step 3: 安装 Docker-CE
yum -y install docker-ce
Step 4: 开启Docker服务
systemctl start docker.server
systemctl enable docker.server
官方软件源默认启用了最新的软件,您可以通过编辑软件源的方式获取各个版本的软件包。特点版本的安装方式如下:
<br />
Step 1: 查找Docker-CE的版本:
yum list docker-ce.x86_64 --showduplicates | sort -r
Step2 : 安装指定版本的Docker-CE: (VERSION 例如上面的 17.03.0.ce.1-1.el7.centos)
yum -y install docker-ce-[VERSION]
2、docker-compose安装
docker-compose的安装方式有两种,一种是从github上下载已经编译好的二进制包,一种是通过epel源,直接通过yum的方式安装
<br />
方法一:
curl -L https://github.com/docker/compose/releases/download/1.18.0/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
#查看版本
docker-compose version
方法二:
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum -y install docker-compose
二、Harbor安装
1、修改配置
Harbor的安装分为离线安装和在线安装,这里建议使用离线安装方式,因为默认拉镜外镜像速度太慢了。下载地址https://github.com/goharbor/harbor/releases ,将offline包解压后,放到/opt/harbor 目录,修改harbor.yml.tmpl文件,这里给出部分配置:
<br />
hostname: 192.168.159.132
http:
port: 80
https:
port: 443
certificate: /data/cert/192.168.159.132.crt
private_key: /data/cert/192.168.159.132.key
harbor_admin_password: Harbor12345
database:
password: root123
max_idle_conns: 50
max_open_conns: 1000
data_volume: /data
比较关键的配置是hostname,建议使用域名方式,这里只是测试使用了IP地址,选择IP和域名后面生成key的步骤会有一些小的区别。再有就是数据存方目录和证书文件存方目录。
2、证书生成
证书生成可以使用openssl ,也可以使用cfssl 工具进行生成,这里以<a href="https://goharbor.io/docs/2.1.0/install-config/configure-https/" target="_blank" rel="noopener noreferrer">官方方法</a>,使用openssl ,如下:
<br />
生成CA证书私钥
openssl genrsa -out ca.key 4096
生成CA证书
openssl req -sha512 -new \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=192.168.159.132" \
-key 192.168.159.132.key \
-out 192.168.159.132.csr
生成服务器私钥
openssl genrsa -out 192.168.159.132.key 4096
生成服务端CA证书
openssl req -x509 -new -nodes -sha512 -days 3650 \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=192.168.159.132" \
-key ca.key \
-out ca.crt
生成x509 v3 扩展文件
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:192.168.159.132
EOF
生成主机证书
openssl x509 -req -sha512 -days 3650 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in 192.168.159.132.csr \
-out 192.168.159.132.crt
复制服务端证书文件到认证目录
mkdir -p /data/cert/
cp 192.168.159.132.crt /data/cert/
cp 192.168.159.132.key /data/cert/
增加docker证书可信
openssl x509 -inform PEM -in 192.168.159.132.crt -out 192.168.159.132.cert
cp 192.168.159.132.cert /etc/docker/certs.d/192.168.159.132/
cp 192.168.159.132.key /etc/docker/certs.d/192.168.159.132/
cp ca.crt /etc/docker/certs.d/192.168.159.132/
这里步骤比较繁琐,如果使用域名,将上面的IP地址修改成域名就可以了,不过生成v3.ext这一步需要注意,如果是域名的话,对应的命令会是如下:
<br />
openssl x509 -req -sha512 -days 3650 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in yourdomain.com.csr \
-out yourdomain.com.crt
3、完成harbor的安装
进入解压的/opt/harbor目录,使用prepare进行环境检查(此步也可以跳过),使用install.sh文件运行安装,在离线安装下docker自动load harbor压缩包里的image镜像,如果是在线安装,这里会等待比较长时间会下载相关镜像。安装完成后,可以通过docker ps 或docker-compose ps查看已经启动的镜像信息。
<br />
[root@localhost harbor]# docker-compose ps
Name Command State Ports
--------------------------------------------------------------------------------------------------------
harbor-core /harbor/entrypoint.sh Up
harbor-db /docker-entrypoint.sh Up
harbor-jobservice /harbor/entrypoint.sh Up
harbor-log /bin/sh -c /usr/local/bin/ ... Up 127.0.0.1:1514->10514/tcp
harbor-portal nginx -g daemon off; Up
nginx nginx -g daemon off; Up 0.0.0.0:80->8080/tcp, 0.0.0.0:443->8443/tcp
redis redis-server /etc/redis.conf Up
registry /home/harbor/entrypoint.sh Up
registryctl /home/harbor/start.sh Up
此时在目录下也会生成docker-compose.yml文件,通过docker-compose可以很方便的进行服务启停,指令如下:
<br />
docker-compose down -v 或 docker-compose stop //区别,前者会remove掉容器、image、网络,停的更干净,后者只是停服务
docker-compose up -d
4、配置项目仓库
打开 https://192.168.159.132/ 登录,默认用户名密码 admin / Harbor12345 (在配置文件中修改过的,使用修改后的密码),登录后创建test项目仓库。
<img src="https://www.361way.com/wp-content/uploads/2021/01/harbor-project.png" width="400" height="267" title="harbor-project" alt="harbor-project" />
三、镜像推拉测试
使用docker login 192.168.159.132登录,使用的登录用户名密码是之前配置的用户名密码信息,如果已经登录过的,会在/root/.docker/config.json文件中记录,如下:
<br />
[root@localhost ~]# more /root/.docker/config.json
{
"auths": {
"192.168.159.132": {
"auth": "YWRtaW46SGFyYm9yMTIzNDU="
}
}
}
直接base64可以解密出信息。
使用docker pull hello-world可以多外部源拉一个测试镜像到本地,并重新打tag到harbor仓库,后面就可以从该仓库拉文件了。
<br />
远端拉镜像
[root@localhost ~]# docker pull hello-world
Using default tag: latest
latest: Pulling from library/hello-world
Digest: sha256:95ddb6c31407e84e91a986b004aee40975cb0bda14b5949f6faac5d2deadb4b9
Status: Image is up to date for hello-world:latest
docker.io/library/hello-world:latest
重新打标签
[root@localhost ~]# docker tag hello-world 192.168.159.132/361way/hello-world:latest
[root@localhost ~]# docker image ls|grep hello-world
hello-world latest bf756fb1ae65 13 months ago 13.3kB
192.168.159.132/361way/hello-world latest bf756fb1ae65 13 months ago 13.3kB
push到仓库
[root@localhost ~]# docker push 192.168.159.132/361way/hello-world:latest
The push refers to repository [192.168.159.132/361way/hello-world]
9c27e219663c: Layer already exists
latest: digest: sha256:90659bf80b44ce6be8234e6ff90a1ac34acbeb826903b02cfa0da11c82cbc042 size: 525
完成后,可以测试从仓库里拉镜像测试
<br />
[root@localhost ~]# docker rmi bf756fb1ae65 -f
Untagged: 192.168.159.132/361way/hello-world:latest
Untagged: 192.168.159.132/361way/hello-world@sha256:90659bf80b44ce6be8234e6ff90a1ac34acbeb826903b02cfa0da11c82cbc042
Untagged: 192.168.159.132/test/hello-world:latest
Untagged: 192.168.159.132/test/hello-world@sha256:90659bf80b44ce6be8234e6ff90a1ac34acbeb826903b02cfa0da11c82cbc042
Untagged: hello-world:latest
Untagged: hello-world@sha256:95ddb6c31407e84e91a986b004aee40975cb0bda14b5949f6faac5d2deadb4b9
Deleted: sha256:bf756fb1ae65adf866bd8c456593cd24beb6a0a061dedf42b26a993176745f6b
[root@localhost ~]# docker run 192.168.159.132/361way/hello-world:latest
[root@localhost ~]# docker image ls |grep hello-world
192.168.159.132/361way/hello-world latest bf756fb1ae65 13 months ago 13.3kB
四、安装中的问题
在key文件配置不当的时候,会遇到如下错误:
<br />
File "/usr/lib/python3.6/shutil.py", line 263, in copy2
copyfile(src, dst, follow_symlinks=follow_symlinks)
File "/usr/lib/python3.6/shutil.py", line 120, in copyfile
with open(src, 'rb') as fsrc:
IsADirectoryError: [Errno 21] Is a directory: '/hostfs/data/cert'
解决方法就是把key文件重新配置即可。当然还会遇到其他问题,可以参考:https://goharbor.io/docs/2.1.0/install-config/troubleshoot-installation/
《Docker仓库Harbor安装配置》有1条评论