容器镜像仓库Harbor安装部署及简单使用教程

上面左边是我的个人微 信,如需进一步沟通,请加好 友。 右边是我的公众号“Openstack私有云”,如有兴趣,请关注。

在实际生产中,容器镜像需要放在本地,本地需要建立一个容器镜像仓库存放相关的镜像,并且能够根据不同账号设置不同的镜像使用权限,另外,这个仓库最好还能通过web管理界面能够很好的进行管理,比如设置权限、删除镜像、管理镜像空间等等 。

Habor是由VMWare公司开源的容器镜像仓库。官方地址:https://vmware.github.io/harbor/cn/

Harbor主要功能

1. 基于角色访问控制(RBAC)

在企业中,通常有不同的开发团队负责不同的项目,镜像像代码一样,每个人角色不同需求也不同,因此就需要访问权限控制,根据角色分配相应的权限。

例如,开发人员需要对项目构建这就用到读写权限(push/pull),测试人员只需要读权限(pull),运维一般管理镜像仓库,具备权限分配能力,项目经理具有所有权限。

在Harbor中,有三种角色:

Guest:对指定项目只读权限

Developer:开发人员,读写项目的权限

Admin:项目管理,所有权限

Anonymous:当用户未登录时,该用户视为匿名用户。匿名用户不能访问私有项目,只能访问公开项目

 

2. 镜像复制

 

可以将仓库中的镜像同步到远程的Harbor,类似于MySQL主从同步功能。

 

3. LDAP

 

Harbor支持LDAP认证,可以很轻易接入已有的LDAP。

 

4. 镜像删除和空间回收

 

Harbor支持在Web删除镜像,回收无用的镜像,释放磁盘空间。

 

5. 图形页面管理

 

用户很方面搜索镜像及项目管理。

 

6. 审计

 

对仓库的所有操作都有记录。

 

7. REST API

 

完整的API,方便与外部集成

 

Harbor组件

组件 功能
harbor-adminserver 配置管理中心
harbor-db Mysql数据库
harbor-jobservice 负责镜像复制
harbor-log 记录操作日志
harbor-ui Web管理页面和API
nginx 前端代理,负责前端页面和镜像上传/下载转发
redis 会话
registry 镜像存储

 

Harbor部署

 

硬件、软件、端口要求如下,以下图片来自网络:

我使用的是2核CPU、4G内存、40G的pve虚拟机一台,如下配置:

 

 

Harbor安装有3种方式:

在线安装:从Docker Hub下载Harbor相关镜像

离线安装:安装包包含部署的相关镜像

OVA安装程序:当用户具有vCenter环境时,使用此安装程序,在部署OVA后启动Harbor

 

这里采用离线安装,首先下载离线安装包:https://github.com/vmware/harbor/releases

HTTP方式部署

 

基本配置:

#tarxzvfharbor-offline-installer-v1.7.1.tgz
#cdharbor
#viharbor.cfg
hostname=192.168.1.44#IP地址或者域名访问
ui_url_protocol=http
harbor_admin_password=123456#Web登录密码
准备配置文件:
#./prepare
安装并启动Harbor:
./install.sh
会提示需要安装docker和docker-compose
#yuminstalldockerdocker-clientdocker-common
其中docker-compose需要用到epel源:
#yuminstallepel-release-y
#yuminstall-ydocker-compose
再次执行install.sh

安装完成后:

 

查看运行状态:

[root@localhostharbor]#docker-composeps
NameCommandStatePorts
-------------------------------------------------------------------------------------------
harbor-adminserver/harbor/start.shUp
harbor-core/harbor/start.shUp
harbor-db/entrypoint.shpostgresUp5432/tcp
harbor-jobservice/harbor/start.shUp
harbor-log/bin/sh-c/usr/local/bin/...Up127.0.0.1:1514->10514/tcp
harbor-portalnginx-gdaemonoff;Up80/tcp
nginxnginx-gdaemonoff;Up0.0.0.0:443->443/tcp,
0.0.0.0:4443->4443/tcp,
0.0.0.0:80->80/tcp
redisdocker-entrypoint.shredis...Up6379/tcp
registry/entrypoint.sh/etc/regist...Up5000/tcp
registryctl/harbor/start.shUp

登录web界面:

 

账号 admin,密码就是在harbor.cfg配置文件里面设置的123456

 

接下来就是简单使用,可以看到,harbor方便了管理,一般3类用户就够了,进行一个简单测试,新建一个开发用户,然将这个开发用户绑定到library项目,用这个用户登陆harbor推送和下载镜像。

具体的建用户过程就不详细写了,新建一个用户ywb,登陆,

系统会提示推送镜像需要运行的命令,还是很人性化的。

在客户端执行:

docker login 192.168.1.44

会报错https://192.168.1.44 connection refuse ,是因为docker 默认使用的是https连接,我们上面使用的是http安装,需要修改 /etc/docker/daemon.json文件,加入如下内容:

{"insecure-registries":["192.168.1.44:80"]}

或者,在 /etc/sysconfig/docker 配置文件的 OPTIONS 选项中增加一个选项:

--insecure-registry=192.168.1.44

之后对docker进行重启:

systemctl restart docker

测试过程:

1、下载一个tomcat 镜像:

docker pull tomcat

2、对这个镜像进行标记:

docker tag docker.io/tomcat 192.168.1.44/library/tomcat

3、登录harbor这个registry:

docker login 192.168.1.44

输入上面创建的账号密码。

4、上传这个镜像:

docker push 192.168.1.44/library/tomcat

最后使用个人账号登录web界面,可以看到镜像成功上传:

总结:

Harbor的安装使用都是很方便的,部署方式本身也是通过docker和容器编排docker-compose 实现,主要解决了局域网内的容器镜像管理问题。

这里没有使用https的方式部署,使用的是http方式,其中需要注意客户端docker中需要配置对“非安全” http的支持,加入--inscure-registry 参数的支持。

Harbor产品本身解决了本地局域网内部集中管理容器镜像的问题,如果是生产环境,可以考虑再加入同步复制的功能以确保数据的安全性,这里就不展开说,我也没用到,用到的时候再说。

点赞

发表评论

电子邮件地址不会被公开。必填项已用 * 标注