011.Docker仓库管理

一 Docker仓库介绍

docker 仓库,即 registry,实现了镜像的管理、分发,同时还包括用户的认证。docker registry 仓库是一个无状态的、高可靠的服务器应用程序,用来存储docker镜像。docker.io 为 docker 官方的仓库,默认所有的pull均是从官方仓库拉取镜像。

仓库又分为公有仓库(DockerHub、dockerpool)和私有仓库。

二 Docker私有仓库构建

2.1 私有仓库构建形式

registry+registry-web:

registry容器用于提供私有仓库的服务,本实验采用docker-compose构建此容器。

部署准备:


节点
IP地址
备注

docker01
172.24.8.111
Docker仓库

docker02
172.24.8.112
Docker客户端,用于测试仓库

Harbor:

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中,确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。

Harbor官方网站:http://vmware.github.io/harbor/

Harbor源码地址:https://github.com/vmware/harbor

部署准备:


节点
IP地址
备注

docker01
172.24.8.111
Docker仓库,reg.itzgr.com

docker02
172.24.8.112
Docker客户端,用于测试仓库

三 registry构建:无认证部署

3.1 下载registry

  1 [email protected]:~# wget https://github.com/mkuchin/docker-registry-web/releases/download/v0.1.2/examples.tar.gz
  2 [email protected]:~# tar -zxvf examples.tar.gz
  3 [email protected]:~# mv examples compose_registry

3.2 docker-compose构建

  1 [email protected]:~# mkdir -p /registry/db
  2 [email protected]:~# mkdir -p /registry/images
  3 [email protected]:~# cd compose_registry/auth-disabled/
  4 [email protected]:~/compose_registry/auth-disabled# vi conf/registry/config.yml
  5 version: 0.1
  6 storage:
  7   filesystem:
  8     rootdirectory: /registry				#指定registry工作目录
  9   delete:
 10     enabled: true					        #开启删除功能
 11 http:
 12   addr: 0.0.0.0:5000
 13 notifications:
 14   endpoints:
 15     - name: listener
 16       url: http://registry-web:8080/api/notification
 17       timeout: 500ms
 18       threshold: 5
 19       backoff: 1s
 20 [email protected]:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml
 21 registry:
 22    url: http://registry:5000/v2
 23    name: 172.24.8.111:5000
 24    readonly: false
 25    auth:
 26      enabled: false					        #关闭相关认证
 27 [email protected]:~/compose_registry/auth-disabled# vi docker-compose.yml
 28 version: ‘2‘
 29 services:
 30   registry-web:
 31     image: hyper/docker-registry-web:latest
 32     ports:
 33       - 8080:8080
 34     volumes:
 35        - ./conf/registry-web:/conf:ro
 36        - /registry/db:/data				        #修改db保存目录
 37     networks:
 38       - registry-net
 39     depends_on:
 40        - registry
 41   registry:
 42     image: registry:2.4.1
 43     ports:
 44       - 5000:5000
 45     volumes:
 46       - /registry/images:/registry			        #修改镜像保存路径
 47       - ./conf/registry:/etc/docker/registry:ro
 48     networks:
 49       - registry-net
 50 networks:
 51   registry-net:
 52 #    driver: default

3.3 docker-compose启动容器

  1 [email protected]:~/compose_registry/auth-disabled# docker-compose up -d

3.4 客户端测试

  1 [email protected]:~# vi /etc/docker/daemon.json
  2 {
  3    "insecure-registries": ["172.24.8.111:5000"]
  4 }
  5 [email protected]:~# docker pull hello-world		                                         #pull测试镜像
  6 [email protected]:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy    #修改对应的tag
  7 [email protected]:~# docker push 172.24.8.111:5000/registry/hello-world

浏览器访问http://172.24.8.111:8080/

四 registry构建:开启认证部署

4.1 下载registry

参考3.1即可。

4.2 docker-compose构建

  1 [email protected]:~# mkdir -p /registry/db
  2 [email protected]:~# mkdir -p /registry/images
  3 [email protected]:~# cd compose_registry/auth-enabled/
  4 [email protected]:~/compose_registry/auth-enabled# vi conf/registry/config.yml
  5 version: 0.1
  6 storage:
  7   filesystem:
  8     rootdirectory: /registry
  9   delete:
 10     enabled: true					#开启删除功能
 11 http:
 12   addr: 0.0.0.0:5000
 13 auth:
 14   token:
 15     realm: http://172.24.8.111:8080/api/auth
 16     service: 172.24.8.111:5000
 17     issuer: test
 18     rootcertbundle: /etc/docker/registry/auth.cert	#配置cert路径
 19 log:
 20   level: info
 21
 22 notifications:
 23   endpoints:
 24     - name: listener
 25       url: http://registry-web:8080/api/notification
 26       timeout: 500ms
 27       threshold: 5
 28       backoff: 1s
 29 [email protected]:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml
 30 registry:
 31    url: http://registry:5000/v2
 32    name: 172.24.8.111:5000
 33    readonly: false
 34    auth:
 35      enabled: true
 36      key: /conf/auth.key				#指定key的路径
 37      issuer: test
 38 [email protected]:~/compose_registry/auth-disabled# vi docker-compose.yml
 39 version: ‘2‘
 40 services:
 41   registry-web:
 42     image: hyper/docker-registry-web:latest
 43     ports:
 44       - 8080:8080
 45     volumes:
 46        - ./conf/registry-web:/conf:ro
 47        - /registry/db:/data
 48     networks:
 49       - registry-net
 50     depends_on:
 51        - registry
 52   registry:
 53     image: registry:2.4.1
 54     ports:
 55       - 5000:5000
 56     volumes:
 57       - ./conf/registry:/etc/docker/registry:ro
 58       - /registry/images:/registry
 59     networks:
 60       - registry-net
 61 networks:
 62   registry-net:
 63 #    driver: default

4.3 生成自签名证书

  1 [email protected]:~/compose_registry/nginx-auth-enabled# ./generate-keys.sh

提示:改脚本会自动生成自签名的相关证书至相应目录,同时docker-compose配置文件将证书配置所在路径挂载至对应容器目录。

4.4 docker-compose启动容器

  1 [email protected]:~/compose_registry/nginx-auth-enabled# docker-compose up -d

4.5 客户端测试

  1 [email protected]:~# vi /etc/docker/daemon.json
  2 {
  3    "insecure-registries": ["172.24.8.111:5000"]
  4 }
  5 [email protected]:~# docker pull hello-world		                                        #pull测试镜像
  6 [email protected]:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy	#修改对应的tag

浏览器访问http://172.24.8.111:8080/

提示:默认用户admin无读写权限,可在web界面进行授权。

  1 [email protected]:~# docker login 172.24.8.111:5000		#输入默认admin/admin登录
  2 [email protected]:~# docker push 172.24.8.111:5000/registry/hello-world

提示:更多参考链接:




https://segmentfault.com/a/1190000012175537




https://github.com/mkuchin/docker-registry-web,相关docker-compose文件咨询博主。

五 registry构建:http形式Harbor

5.1 Harbor介绍

harbor由6大模块级成:

Proxy: Harbor的registry、UI、token services等组件,都处在一个反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端服务上。

Registry: 负责存储Docker镜像,以及处理Docker push/pull请求。同时Harbor强制要求对镜像的访问做权限控制, 在每一次push/pull请求时,Registry会强制要求客户端从token service那里获得一个有效的token。

Core services: Harbor的核心功能,主要包括如下3个服务:

  • UI: 作为Registry Webhook, 以图像用户界面的方式辅助用户管理镜像。
  • WebHook:是在registry中配置的一种机制,当registry中镜像发生改变时,就可以通知到Harbor的webhook endpoint。Harbor使用webhook来更新日志、初始化同步job等。
  • Token service:会根据该用户在一个工程中的角色,为每一次的push/pull请求分配对应的token。假如相应的请求并没有包含token的话,registry会将该请求重定向到token service。

Database:用于存放工程元数据、用户数据、角色数据、同步策略以及镜像元数据。

Job services: 主要用于镜像复制,本地镜像可以被同步到远程Harbor实例上。

Log collector: 负责收集其他模块的日志到一个地方。

5.2 容器组件介绍

harbor的每个组件都是以Docker容器的形式构建的,可以使用Docker Compose来进行部署,在使用了kubernetes的环境中,harbor也提供了kubernetes的配置文件。

harbor共有8个容器组成:

  • ui:harbor的核心服务。
  • log:运行着rsyslog的容器,进行日志收集。
  • mysql:由官方mysql镜像构成的数据库容器。
  • nginx:使用Nginx做反向代理。
  • registry:官方的Docker registry。
  • adminserver:harbor的配置数据管理器。
  • jobservice:Harbor的任务管理服务。
  • redis:用于存储session。

5.3 下载harbor安装文件

  1 [email protected]:~# wget https://storage.googleapis.com/harbor-releases/harbor-offline-installer-v1.5.4.tgz
  2 [email protected]:~# tar xvf harbor-offline-installer-v1.5.4.tgz

5.4 编辑harbor.cfg

  1 [email protected]:~# mkdir /data		#harbor默认相关volume挂载目录
  2 [email protected]:~# cd harbor/
  3 [email protected]:~/harbor# vi harbor.cfg
  4 hostname = reg.itzgr.com 		        # harbor的访问地址

5.5 安装harbor

  1 [email protected]:~/harbor# ./install.sh

提示:配置相应的hostname,其他保持默认即可,具体更多harbor.cfg参数详见《附007.harbor.cfg配置文件详解》;




若出现以下报错:Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt




需要修改prepare文件,将第498行:

  1 empty_subj = "/C=/ST=/L=/O=/CN=/"

修改如下:

  1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner"

5.6 确认验证

  1 [email protected]:~# cd harbor
  2 [email protected]:~/harbor# docker-compose ps

host文件中添加如下解析:

  1 172.24.8.111 reg.itzgr.com

浏览器访问:reg.itzgr.com,并使用默认用户名admin/Harbor12345

六 registry构建:https形式Harbor

6.1 下载harbor安装文件

参考5.3。

6.2 自建证书

  1 [email protected]:~# localdomain=reg.itzgr.com
  2 [email protected]:~# openssl req   3     -newkey rsa:4096 -nodes -sha256 -keyout ca.key   4     -x509 -days 365 -out ca.crt					#创建CA证书
  5 Country Name (2 letter code) [AU]:CN				#国家
  6 State or Province Name (full name) [Some-State]:ZheJiang	        #州或省
  7 Locality Name (eg, city) []:WenZhou				        #城市
  8 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor	#机构
  9 Organizational Unit Name (eg, section) []:harbor			#组织
 10 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com	#访问域名
 11 Email Address []:[email protected]					#邮箱
 12
 13 [email protected]:~# openssl req  14     -newkey rsa:4096 -nodes -sha256 -keyout $localdomain.key  15     -out $localdomain.csr 						#生成证书签名请求
 16 Country Name (2 letter code) [AU]:CN
 17 State or Province Name (full name) [Some-State]:ZheJiang
 18 Locality Name (eg, city) []:WenZhou
 19 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor
 20 Organizational Unit Name (eg, section) []:harbor
 21 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com
 22 Email Address []:[email protected]
 23 A challenge password []:x7374521*
 24 An optional company name []:reg.itzgr.com
 25
 26 [email protected]:~# openssl x509 -req -days 365 -in $localdomain.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out $localdomain.crt
 27 [email protected]:~# mkdir /root/cert/
 28 [email protected]:~# cp $localdomain.crt $localdomain.key /root/cert/

6.2 编辑harbor.cfg

  1 [email protected]:~# cd harbor/
  2 [email protected]:~/harbor# vi harbor.cfg
  3 hostname = reg.itzgr.com
  4 ui_url_protocol = https
  5 ssl_cert = /root/cert/reg.itzgr.com.crt
  6 ssl_cert_key = /root/cert/reg.itzgr.com.key

6.3 安装harbor

  1 [email protected]:~/harbor# ./prepare
  2 [email protected]:~/harbor# ./install.sh

提示:配置相应的hostname,其他保持默认即可,具体更多harbor.cfg参数详见《附007.harbor.cfg配置文件详解》;




若出现以下报错:Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt




需要修改prepare文件,将第498行:

  1 empty_subj = "/C=/ST=/L=/O=/CN=/"

修改如下:

  1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner"

6.4 确认验证

  1 [email protected]:~# cd harbor
  2 [email protected]:~/harbor# docker-compose ps

host文件中添加如下解析:

  1 172.24.8.111 reg.itzgr.com

浏览器访问:https://reg.itzgr.com,并使用默认用户名admin/Harbor12345

提示:由于在自建证书,非安全证书,因此浏览器访问可能出现无法访问或告警提示,忽略即可。

6.5 docker 客户端测试

  1 [email protected]:~# vi /etc/hosts
  2 172.24.8.111 reg.itzgr.com
  3 [email protected]:~# mkdir -p /etc/docker/certs.d/reg.itzgr.com
  4 [email protected]:~# scp ca.crt [email protected]:/etc/docker/certs.d/reg.itzgr.com/

提示:服务端需要将自建证书的crt文件复制至客户端相应目录(若不存在则创建),也可通过以下方式实现:

  1 [email protected]:~# vi /etc/docker/daemon.json
  2 {
  3    "insecure-registries": ["https://reg.itzgr.com"]
  4 }

若是信任CA机构颁发的证书,相应关闭daemon.json中的配置。

  1 [email protected]:~# docker login reg.itzgr.com		#登录registry
  2 Username: admin
  3 Password:

提示:公开的registry可pull,但push也必须登录,私有的registry必须登录才可pull和push。

  1 [email protected]:~# docker pull hello-world
  2 [email protected]:~# docker tag hello-world:latest reg.itzgr.com/library/hello-world:xhy
  3 [email protected]:~# docker push reg.itzgr.com/library/hello-world:xhy

提示:修改tag必须为已经存在的项目,并且具备相应的授权。

原文地址:https://www.cnblogs.com/itzgr/p/10043402.html

时间: 2024-10-09 01:59:06

011.Docker仓库管理的相关文章

docker仓库管理以及搭建

docker仓库管理和容器连接 是什么? 仓库就类似于我们在网上搜索操作系统光盘的一个镜像站. 这里的仓库指的是Docker镜像存储的地方. 注册 在 https://hub.docker.com 免费注册一个 Docker 账号. docker仓库 公有:Docker hub.Docker cloud.等 私有:registry.harbor等 本地:在当前主机存储镜像的地方 相关操作 docker login [仓库名称] docker pull [镜像名称] docker push [镜像

Docker仓库管理

1.# docker pull registry //下载registry镜像,registry为docker官方提供的一个镜像,我们可以用它来创建本地的docker私有仓库. 2.# docker run -d -p 5000:5000 registry //以registry镜像启动容器,监听5000端口 # docker exec -it a9f bash //宿主机和容器同时监听了5000端口 3.# curl 127.0.0.1:5000 //可以访问它 访问结果:"\"do

Docker 仓库管理

共有仓库 公用仓库即使用Docker hub 创建Docker hub账号,docke机器通过docker login 进行登录即可使用. docker run -d -p 5000:5000 registry 这将使用官方的 registry 镜像来启动本地的私有仓库. 用户可以通过指定参数来配置私有仓库位置,例如配置镜像存储到 Amazon S3 服务. docker run -e SETTINGS_FLAVOR=s3 -e AWS_BUCKET=acme-docker -e STORAGE

Docker仓库管理工具Harbor

简介: Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全.标识和管理等,扩展了开源Docker Distribution.作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全.提升用户使用Registry构建和运行环境传输镜像的效率.Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控.另外,Harbor也提供了高

012.Docker私有仓库多Harbor同步部署

一 Harbor主从介绍 harbor官方默认提供主从复制的方案来解决镜像同步问题,通过复制的方式,我们可以实时将测试环境harbor仓库的镜像同步到生产环境harbor,类似于如下流程: Harbor以"项目"为中心,通过对项目配置"复制策略",标明需要复制的项目以及镜像.管理员在复制策略中指明目标实例,即复制的"目的地",并对它的地址和连接时使用的用户名密码进行设置.当复制策略被激活时,源项目下的所有镜像,都会被复制到目标实例:此外,当源项目

2 docker模板 镜像 容器 仓库管理

镜像管理 搜索镜像 # docker search centos [stars]:开发者的数量,应当选择开发者较多的 下载镜像 # docker pull centos 查看镜像 # docker images 复制镜像 # docker tag centos centos1[:tag] 启动镜像 docker run -t -i centos /bin/bash -t分配为终端 -i让容器标准输入打开 加上-d 即使exit退出为终端,容器也在运行,容器里的网站啊数据库都不会停止 查看镜像的运

1.8-docker仓库管理

Docker 仓库管理 * docker pull registry   //下载registry 镜像,registy为docker官方提供的一个仓库镜像,我们可以用它来创建本地的docker私有仓库. * docker run -d -p 5000:5000 registy   //以registry镜像启动容器,监听5000端口,#端口映射5000,因为不在一个局域网,里外的端口不通,所以需要映射. * curl 127.0.0.1:5000  //可以访问它 下面我们来把其中一个镜像上传

Docke容器及仓库管理

1.容器管理 docker create  -it  centos #创建一个容器,但该容器并没有启动 docker start  26e04d6c4ed3  (通过docker ps -a查看ID) #启动容器后,可以使用 docker ps  查看到,有start 就有stop,和restart,之前我们使用的docker run 相当于先create再start docker exec -it 26e04d6c4ed3  /bin/bash    #进入某个镜像 =============

docker一: 镜像与容器管理

Docker的优势: 1.启动非常快,秒级实现. 2.资源利用率高,在机器中以进程的方式存在,一台机器可以跑上百个docker容器. 3.创建和配置后可以在任意地方运行docker,只需将其上传到docker仓库,用到时拉下来就可以 4.易迁移,平台依赖性不强. Docker的主要概念: 1.镜像:只读模板,类似于安装系统用到的iso文件,对于镜像我们可以自定义,比如在一台机器上安装好lnmp环境,然后打包成为一个镜像,那么后期只需要从仓库中把这个镜像拉下来就可以直接使用lnmp环境了,非常方便