一 Docker仓库介绍 docker 仓库，即 registry，实现了镜像的管理、分发，同时还包括用户的认证。docker registry 仓库是一个无状态的、高可靠的服务器应用程序，用来存储docker镜像。docker.io 为 docker 官方的仓库，默认所有的pull均是从官方仓库拉取镜像。 仓库又分为公有仓库（DockerHub、dockerpool）和私有仓库。 二 Docker私有仓库构建 2.1 私有仓库构建形式 registry+registry-web： registry容器用于提供私有仓库的服务，本实验采用docker-compose构建此容器。 部署准备： 节点 IP地址 备注 docker01 172.24.8.111 Docker仓库 docker02 172.24.8.112 Docker客户端，用于测试仓库 Harbor： Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，通过添加一些企业必需的功能特性，例如安全、标识和管理等，扩展了开源Docker Distribution。作为一个企业级私有Registry服务器，Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制，镜像全部保存在私有Registry中，确保数据和知识产权在公司内部网络中管控。另外，Harbor也提供了高级的安全特性，诸如用户管理，访问控制和活动审计等。 Harbor官方网站：http://vmware.github.io/harbor/ Harbor源码地址：https://github.com/vmware/harbor 部署准备： 节点 IP地址 备注 docker01 172.24.8.111 Docker仓库，reg.itzgr.com docker02 172.24.8.112 Docker客户端，用于测试仓库 三 registry构建：无认证部署 3.1 下载registry 复制代码 1 root@docker01:~# wget https://github.com/mkuchin/docker-registry-web/releases/download/v0.1.2/examples.tar.gz 2 root@docker01:~# tar -zxvf examples.tar.gz 3 root@docker01:~# mv examples compose_registry 复制代码 3.2 docker-compose构建 复制代码 1 root@docker01:~# mkdir -p /registry/db 2 root@docker01:~# mkdir -p /registry/images 3 root@docker01:~# cd compose_registry/auth-disabled/ 4 root@docker01:~/compose_registry/auth-disabled# vi conf/registry/config.yml 5 version: 0.1 6 storage: 7 filesystem: 8 rootdirectory: /registry #指定registry工作目录 9 delete: 10 enabled: true #开启删除功能 11 http: 12 addr: 0.0.0.0:5000 13 notifications: 14 endpoints: 15 - name: listener 16 url: http://registry-web:8080/api/notification 17 timeout: 500ms 18 threshold: 5 19 backoff: 1s 20 root@docker01:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml 21 registry: 22 url: http://registry:5000/v2 23 name: 172.24.8.111:5000 24 readonly: false 25 auth: 26 enabled: false #关闭相关认证 27 root@docker01:~/compose_registry/auth-disabled# vi docker-compose.yml 28 version: '2' 29 services: 30 registry-web: 31 image: hyper/docker-registry-web:latest 32 ports: 33 - 8080:8080 34 volumes: 35 - ./conf/registry-web:/conf:ro 36 - /registry/db:/data #修改db保存目录 37 networks: 38 - registry-net 39 depends_on: 40 - registry 41 registry: 42 image: registry:2.4.1 43 ports: 44 - 5000:5000 45 volumes: 46 - /registry/images:/registry #修改镜像保存路径 47 - ./conf/registry:/etc/docker/registry:ro 48 networks: 49 - registry-net 50 networks: 51 registry-net: 52 # driver: default 复制代码 3.3 docker-compose启动容器 复制代码 1 root@docker01:~/compose_registry/auth-disabled# docker-compose up -d 复制代码 3.4 客户端测试 复制代码 1 root@docker02:~# vi /etc/docker/daemon.json 2 { 3 "insecure-registries": ["172.24.8.111:5000"] 4 } 5 root@docker02:~# docker pull hello-world #pull测试镜像 6 root@docker02:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy #修改对应的tag 7 root@docker02:~# docker push 172.24.8.111:5000/registry/hello-world 复制代码 浏览器访问http://172.24.8.111:8080/ 89_thumb1 四 registry构建：开启认证部署 4.1 下载registry 参考3.1即可。 4.2 docker-compose构建 复制代码 1 root@docker01:~# mkdir -p /registry/db 2 root@docker01:~# mkdir -p /registry/images 3 root@docker01:~# cd compose_registry/auth-enabled/ 4 root@docker01:~/compose_registry/auth-enabled# vi conf/registry/config.yml 5 version: 0.1 6 storage: 7 filesystem: 8 rootdirectory: /registry 9 delete: 10 enabled: true #开启删除功能 11 http: 12 addr: 0.0.0.0:5000 13 auth: 14 token: 15 realm: http://172.24.8.111:8080/api/auth 16 service: 172.24.8.111:5000 17 issuer: test 18 rootcertbundle: /etc/docker/registry/auth.cert #配置cert路径 19 log: 20 level: info 21 22 notifications: 23 endpoints: 24 - name: listener 25 url: http://registry-web:8080/api/notification 26 timeout: 500ms 27 threshold: 5 28 backoff: 1s 29 root@docker01:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml 30 registry: 31 url: http://registry:5000/v2 32 name: 172.24.8.111:5000 33 readonly: false 34 auth: 35 enabled: true 36 key: /conf/auth.key #指定key的路径 37 issuer: test 38 root@docker01:~/compose_registry/auth-disabled# vi docker-compose.yml 39 version: '2' 40 services: 41 registry-web: 42 image: hyper/docker-registry-web:latest 43 ports: 44 - 8080:8080 45 volumes: 46 - ./conf/registry-web:/conf:ro 47 - /registry/db:/data 48 networks: 49 - registry-net 50 depends_on: 51 - registry 52 registry: 53 image: registry:2.4.1 54 ports: 55 - 5000:5000 56 volumes: 57 - ./conf/registry:/etc/docker/registry:ro 58 - /registry/images:/registry 59 networks: 60 - registry-net 61 networks: 62 registry-net: 63 # driver: default 复制代码 4.3 生成自签名证书 复制代码 1 root@docker01:~/compose_registry/nginx-auth-enabled# ./generate-keys.sh 复制代码 提示：改脚本会自动生成自签名的相关证书至相应目录，同时docker-compose配置文件将证书配置所在路径挂载至对应容器目录。 4.4 docker-compose启动容器 复制代码 1 root@docker01:~/compose_registry/nginx-auth-enabled# docker-compose up -d 复制代码 4.5 客户端测试 复制代码 1 root@docker02:~# vi /etc/docker/daemon.json 2 { 3 "insecure-registries": ["172.24.8.111:5000"] 4 } 5 root@docker02:~# docker pull hello-world #pull测试镜像 6 root@docker02:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy #修改对应的tag 复制代码 浏览器访问http://172.24.8.111:8080/ 90_thumb1 提示：默认用户admin无读写权限，可在web界面进行授权。 91_thumb1 复制代码 1 root@docker02:~# docker login 172.24.8.111:5000 #输入默认admin/admin登录 2 root@docker02:~# docker push 172.24.8.111:5000/registry/hello-world 复制代码 92_thumb1 提示：更多参考链接： https://segmentfault.com/a/1190000012175537 https://github.com/mkuchin/docker-registry-web，相关docker-compose文件咨询博主。 五 registry构建：http形式Harbor 5.1 Harbor介绍 93_thumb1 harbor由6大模块级成： Proxy: Harbor的registry、UI、token services等组件，都处在一个反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端服务上。 Registry: 负责存储Docker镜像，以及处理Docker push/pull请求。同时Harbor强制要求对镜像的访问做权限控制， 在每一次push/pull请求时，Registry会强制要求客户端从token service那里获得一个有效的token。 Core services: Harbor的核心功能，主要包括如下3个服务: UI: 作为Registry Webhook, 以图像用户界面的方式辅助用户管理镜像。 WebHook：是在registry中配置的一种机制，当registry中镜像发生改变时，就可以通知到Harbor的webhook endpoint。Harbor使用webhook来更新日志、初始化同步job等。 Token service：会根据该用户在一个工程中的角色，为每一次的push/pull请求分配对应的token。假如相应的请求并没有包含token的话，registry会将该请求重定向到token service。 Database：用于存放工程元数据、用户数据、角色数据、同步策略以及镜像元数据。 Job services: 主要用于镜像复制，本地镜像可以被同步到远程Harbor实例上。 Log collector: 负责收集其他模块的日志到一个地方。 5.2 容器组件介绍 harbor的每个组件都是以Docker容器的形式构建的，可以使用Docker Compose来进行部署，在使用了kubernetes的环境中，harbor也提供了kubernetes的配置文件。 harbor共有8个容器组成： ui：harbor的核心服务。 log：运行着rsyslog的容器，进行日志收集。 mysql：由官方mysql镜像构成的数据库容器。 nginx：使用Nginx做反向代理。 registry：官方的Docker registry。 adminserver：harbor的配置数据管理器。 jobservice：Harbor的任务管理服务。 redis：用于存储session。 5.3 下载harbor安装文件 复制代码 1 root@docker01:~# wget https://storage.googleapis.com/harbor-releases/harbor-offline-installer-v1.5.4.tgz 2 root@docker01:~# tar xvf harbor-offline-installer-v1.5.4.tgz 复制代码 5.4 编辑harbor.cfg 复制代码 1 root@docker01:~# mkdir /data #harbor默认相关volume挂载目录 2 root@docker01:~# cd harbor/ 3 root@docker01:~/harbor# vi harbor.cfg 4 hostname = reg.itzgr.com # harbor的访问地址 复制代码 5.5 安装harbor 复制代码 1 root@docker01:~/harbor# ./install.sh 复制代码 提示：配置相应的hostname，其他保持默认即可，具体更多harbor.cfg参数详见《附007.harbor.cfg配置文件详解》； 若出现以下报错：Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt 需要修改prepare文件，将第498行： 复制代码 1 empty_subj = "/C=/ST=/L=/O=/CN=/" 复制代码 修改如下： 复制代码 1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner" 复制代码 5.6 确认验证 复制代码 1 root@docker01:~# cd harbor 2 root@docker01:~/harbor# docker-compose ps 复制代码 host文件中添加如下解析： 复制代码 1 172.24.8.111 reg.itzgr.com 复制代码 浏览器访问：reg.itzgr.com，并使用默认用户名admin/Harbor12345 94_thumb1 六 registry构建：https形式Harbor 6.1 下载harbor安装文件 参考5.3。 6.2 自建证书 复制代码 1 root@docker01:~# localdomain=reg.itzgr.com 2 root@docker01:~# openssl req \ 3 -newkey rsa:4096 -nodes -sha256 -keyout ca.key \ 4 -x509 -days 365 -out ca.crt #创建CA证书 5 Country Name (2 letter code) [AU]:CN #国家 6 State or Province Name (full name) [Some-State]:ZheJiang #州或省 7 Locality Name (eg, city) []:WenZhou #城市 8 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor #机构 9 Organizational Unit Name (eg, section) []:harbor #组织 10 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com #访问域名 11 Email Address []:xhy@itzgr.com #邮箱 12 13 root@docker01:~# openssl req \ 14 -newkey rsa:4096 -nodes -sha256 -keyout $localdomain.key \ 15 -out $localdomain.csr #生成证书签名请求 16 Country Name (2 letter code) [AU]:CN 17 State or Province Name (full name) [Some-State]:ZheJiang 18 Locality Name (eg, city) []:WenZhou 19 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor 20 Organizational Unit Name (eg, section) []:harbor 21 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com 22 Email Address []:xhy@itzgr.com 23 A challenge password []:x7374521* 24 An optional company name []:reg.itzgr.com 25 26 root@docker01:~# openssl x509 -req -days 365 -in $localdomain.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out $localdomain.crt 27 root@docker01:~# mkdir /root/cert/ 28 root@docker01:~# cp $localdomain.crt $localdomain.key /root/cert/ 复制代码 6.2 编辑harbor.cfg 复制代码 1 root@docker01:~# cd harbor/ 2 root@docker01:~/harbor# vi harbor.cfg 3 hostname = reg.itzgr.com 4 ui_url_protocol = https 5 ssl_cert = /root/cert/reg.itzgr.com.crt 6 ssl_cert_key = /root/cert/reg.itzgr.com.key 复制代码 6.3 安装harbor 复制代码 1 root@docker01:~/harbor# ./prepare 2 root@docker01:~/harbor# ./install.sh 复制代码 提示：配置相应的hostname，其他保持默认即可，具体更多harbor.cfg参数详见《附007.harbor.cfg配置文件详解》； 若出现以下报错：Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt 需要修改prepare文件，将第498行： 复制代码 1 empty_subj = "/C=/ST=/L=/O=/CN=/" 复制代码 修改如下： 复制代码 1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner" 复制代码 6.4 确认验证 复制代码 1 root@docker01:~# cd harbor 2 root@docker01:~/harbor# docker-compose ps 复制代码 host文件中添加如下解析： 复制代码 1 172.24.8.111 reg.itzgr.com 复制代码 浏览器访问：https://reg.itzgr.com，并使用默认用户名admin/Harbor12345 95_thumb1 提示：由于在自建证书，非安全证书，因此浏览器访问可能出现无法访问或告警提示，忽略即可。 6.5 docker 客户端测试 复制代码 1 root@docker02:~# vi /etc/hosts 2 172.24.8.111 reg.itzgr.com 3 root@docker02:~# mkdir -p /etc/docker/certs.d/reg.itzgr.com 4 root@docker01:~# scp ca.crt root@172.24.8.112:/etc/docker/certs.d/reg.itzgr.com/ 复制代码 提示：服务端需要将自建证书的crt文件复制至客户端相应目录（若不存在则创建），也可通过以下方式实现： 复制代码 1 root@docker02:~# vi /etc/docker/daemon.json 2 { 3 "insecure-registries": ["https://reg.itzgr.com"] 4 } 复制代码 若是信任CA机构颁发的证书，相应关闭daemon.json中的配置。 复制代码 1 root@docker02:~# docker login reg.itzgr.com #登录registry 2 Username: admin 3 Password: 复制代码 提示：公开的registry可pull，但push也必须登录，私有的registry必须登录才可pull和push。 复制代码 1 root@docker02:~# docker pull hello-world 2 root@docker02:~# docker tag hello-world:latest reg.itzgr.com/library/hello-world:xhy 3 root@docker02:~# docker push reg.itzgr.com/library/hello-world:xhy 复制代码 96_thumb1 提示：修改tag必须为已经存在的项目，并且具备相应的授权。 作者： 木二 出处： http://www.cnblogs.com/itzgr/> 关于作者：云计算、虚拟化，多多交流！ 本文版权归作者和博客园共有，欢迎转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出, 原文链接 如有问题， 可邮件（xhy@itzgr.com）咨询.https://www.cnblogs.com/itzgr/p/10177299.html