Harbor构建企业级私有docker镜像的仓库的开源解决方案

一、Harbor

1、Harbor是构建企业级私有docker镜像的仓库的开源解决方案，它是Docker Registry的更高级封装，它除了提供友好的Web UI界面，角色和用户权限管理，用户操作审计等功能外，它还整合了K8s的插件(Add-ons)仓库，即Helm通过chart方式下载，管理，安装K8s插件，而chartmuseum可以提供存储chart数据的仓库【注:helm就相当于k8s的yum】。另外它还整合了两个开源的安全组件，一个是Notary，另一个是Clair，Notary类似于私有CA中心，而Clair则是容器安全扫描工具，它通过各大厂商提供的CVE漏洞库来获取最新漏洞信息，并扫描用户上传的容器是否存在已知的漏洞信息，这两个安全功能对于企业级私有仓库来说是非常具有意义的。

2、简单来说harbor就是VMWare公司提供的一个docker私有仓库构建程序，功能非常强大.

支持多租户签名和认证支持安全扫描和风险分析这次日志审计基于角色的访问控制支持可扩展的API和GUI Image replication between instances 国际化做的很好(目前仅支持英文和中文)

二、安装部署harbor v1.10.0

harbor git 地址：//github.com/goharbor/harbor harbor支持k8s的helm安装和本地安装，我这次先择的安装方式是本地安装。我的运行环境是 Rhel7.6

安装准备

1.需要安装docker并运行，docker安装可以参考： //blog.csdn.net/qq_35887546/article/details/105366356

2.需要安装docker-compose

curl -L "https://github.com/docker/compose/releases/download/1.23.2/docker-compose-$(uname -s)-$(uname -m)" -o/usr/local/bin/docker-compose

给docker-compose执行权限，运行命令

chmod +x /usr/local/bin/docker-compose

检查运行docker-compose --version，如下:

[root@master ~]# docker-compose --version
version 1.23.2, build 1110ad01

安装

1、下载安装包

下载地址：/github.com/goharbor/harbor/releases 直接选择编译好的包

image.png

这里有两个包Harbor offline installer 和 Harbor online installer，两者的区别的是 Harbor offline installer 里就包含的 Harbor 需要使用的镜像文件

下载成功，并解压

[root@master ~]# tar zxf harbor-offline-installer-v1.10.1.tgz -C /data/

进入解压的目录，并 ls

[root@master ~]# cd /data/harbor/
[root@master harbor]# ls
common.sh harbor.v1.10.1.tar.gz harbor.yml install.sh LICENSE prepare

2、编辑配置文件

harbor.yml 就是harbor的配置文件 harbor的数据目录为/data 编辑harbor.yml，修改hostname、https证书路径、admin密码

证书的制作可以参考：//www.jianshu.com/p/721455035190

注意：每次修改完配置文件后都需要运行

[root@master harbor]# ./prepare

运行 ./install.sh

[root@master harbor]# ./install.sh

image.png

运行成功docker ps 查看，可以看到服务已经起来

image.png

常用管理命令

停止服务： docker-compose stop
开始服务： docker-compose start
重启服务：docker-compose restart
停止服务并删除容器：docker-compose down
启动服务并运行容器：docker-compose up

注意：这些命令均要在harbor目录下运行

三、GUIl界面使用

浏览器访问//harbor域名地址

输入用户名admin，密码admin登陆

image.png

新建一个命名为cicd项目，并设置访问级别为公开

这里的项目就是一私有化的Docker镜像仓库，默认的仓库是library

四、本机上传拉取镜像

1、修改Docker配置 docker 默认是按 https 请求的修改文件 /etc/docker/daemon.json

[root@master harbor]# cat /etc/docker/daemon.json
{
"registry-mirrors": ["https://registry.docker-cn.com"],
"insecure-registries" : ["harbor域名地址:端口号"]
}

然后重启docker

systemctl daemon-reload
systemctl restart docker

2、制作镜像将 nginx 制作成一个私有镜像

docker tag nginx:latest harbor域名地址:端口号/cicd/nginx:latest

本机上传

首先登陆私有库

[root@master harbor]# docker login harbor域名地址:端口号
Authenticating with existing credentials...
WARNING! Your password will be stored unencrypted in /root/.docker/config.json
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded

接下来进行PUSH

[root@master harbor]# docker push harbor域名地址:端口号/cicd/nginx
The push refers to repository [harbor域名地址:端口号/cicd/nginx]
16542a8fc3be: Pushed
6597da2e2e52: Pushed
977183d4e999: Pushed
c8be1b8f4d60: Pushed
latest: digest: sha256:e5dd9dbb37df5b731a6688fa49f4003359f6f126958c9c928f937bec69836320 size: 1152

可以在网页端查看结果

image.png

从后台已经能看到这个镜像了

本机拉取

[root@master harbor]# docker rmi harbor域名地址:端口号/cicd/nginx #删除原来的镜像
[root@master harbor]# docker rmi harbor域名地址:端口号/cicd/nginx
Untagged: harbor域名地址:端口号/cicd/nginx:latest
Untagged: harbor域名地址:端口号/cicd/nginx@sha256:2f1cd90e00fe2c991e18272bb35d6a8258eeb27785d121aa4cc1ae4235167cfd[root@master harbor]# docker pull harbor域名地址:端口号/cl/nginx #拉取镜像
Using default tag: latest
latest: Pulling from cl/nginx
Digest: sha256:
Status: Downloaded newer image for harbor域名地址:端口号/cl/nginx:latest
harbor域名地址:端口号/cl/nginx:latest[root@master harbor]# docker pull harbor域名地址:端口号/cicd/nginx
Using default tag: latest
latest: Pulling from cicd/nginx
Digest: sha256:2f1
Status: Downloaded newer image for harbor域名地址:端口号/cicd/nginx:latest
harbor域名地址:端口号/cicd/nginx:latest