1、搭建本地私有仓库

1.1.、下载registry镜像

docker pull registry

1.2、添加私有镜像仓库地址

2、在daemon.json文件中添加私有镜像仓库地址
vim /etc/docker/daemon.json
{
   "insecure-registries":["192.168.80.10:5000"],
   "registry-mirrors":["https://6ijb8ubo.mirror.aliyuncs.com"]
}
​
systemctl restart docker.service

1.3、运行registry容器

docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry:latest
-----------------------------------------------
-itd:进行交互操作，并在后台运行
-v:把宿主机的/data/registry目录绑定到容器/var/lib/registry目录
(这个目录是registry容器中存放镜像文件的目录)，来实现数据的持久化；
-p:映射端口；访问宿主机的5000端口就访问到registry容器的服务了
--restart=always:重启的策略，在容器退出时总是重启容器
--name registry:创建容器命名为registry
registry:latest:下载的镜像

1.3.1Docker容器的重启策略

1.4、为镜像打标签

docker tag centos:7  192.168.80.100:5000/centos:v1

1.5、上传到私有仓库

docker push 192.168.80.100:5000/centos:v1  

1.6、列出私有仓库的所有镜像

浏览器：http://192.168.80.100:5000/v2/_catalog

1.7、查看私有仓库的标签

浏览器：http://192.168.80.100:5000/v2/centos/tags/list

1.8、测试

先删除原有的centos的镜像，再测试私有仓库下载
docker rmi 192.168.80.100:5000/centos:v1
docker pull 192.168.80.100:5000/centos:v1

2、Harbor简介

本地私有仓库(registry)查看镜像和标签不方便

Harbor是VMware公司开源的企业级Docker Registry项目

目标：帮助用户迅速搭建一个企业级Docker Registry服务

基于：Docker公司开源的Registry

提供功能：图形管理UI、基于角色的访问控制、 AD/LDAP集成、以及审计日志(Auditlogging)等企业用户需求的功能，同时还原生支持中文。

Harbor的每个组件都是以Docker 容器的形式构建的，使用docker-compose 来进行部署。

用于部署Harbor的docker-compose 模板位于harbor /docker—compose. yml

3、Harbor特性

• 基于角色控制：用户和仓库都是基于项目进行组织的，而用户在项目中可以拥有不同的权限。

• 基于镜像的复制策略：镜像可以在多个Harbor实例之间进行复制(同步)

• 支持LDAP/AD: Harbor 可以集成企业内部已有的AD/LDAP (类似数据库的一张表) ，用于对已经存在的用户认证和管理。

• 镜像删除和垃圾回收：镜像可以被删除，也可以回收镜像占用的空间。

• 图形化用户界面：用户可以通过浏览器来浏览，搜索镜像仓库以及对项日进行管理。

• 审计管理：所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

• 支持RESTful API：RESTful API提供给管理员对于Harbor 更多的操控，使得与其它管理软件集成变得更容易。

• Harbor和docker registry的关系：Harbor实质 上是对docker registry做 了封装，扩展了自己的业务模板。

4、Harbor的构成

Harbor组件
————————————————————————————————————
1、Proxy
2、Registry
3、Core services
4、Database(Harbor-db)
5、Log collector(Harbor-log)
6、Job services

• Proxy：是一个nginx 的前端代理，Harbor 的Registry、 UI、 Token 服务等组件，都处在nginx 反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端不同的服务上。

• Registry：负责储存Docker镜像，并处理Docker push/pull命令。由于要对用户进行访问控制，即不同用户对Docker镜像有不同的读写权限，Registry 会指向一个Token 服务，强制用户的每次Docker pull/push 请求都要携带一个合法的Token， Registry会通过公钥对Token进行解密验证。

• Core services： Harbor的核心功能，主要提供以下3个服务: 1) UI (harbor-ui) ：提供图形化界面，帮助用户管理Registry上的镜像(image) ，并对用户进行授权， 2) WebHook：为了及时获取Registry.上image状态变化的情况，在Registry 上配置Webhook.把消前您的网络状态不佳块 3) Token 服务：负责根据用户权限给每个Docker_ push/pu11 命令签发Token。 Docker 客户端向Registry 服务发起的请求， 如果不包含Token，会被重定向到Token服 务，获得Token后再重新向Registry 进行请求。

• Database (harbor-db) ：为core services提供数据库服务，负责储存用户权限、审计日志、Docker 镜像分组信息等数据。

• Job services：主要用于镜像复制，本地镜像可以被同步到远程Harbor实例上。

• Log collector (harbor-log) ：负贵收集其他组件的日志到一个地方。

Harbor的每个组件都是以Docker容器的形式构建的，因此，使用Docker Compose来对它进行部署。
总共分为7个容器运行，通过在docker-compose.yml所在目录中执行docker-compose ps命令来查看，
名称分别为: nginx、 harbor-jobservice、 harbor-ui、 harbor-db、 harbor-adminserver、 registry、 harbor-log。
其中harbor-adminserver主要是作为一个后端的配置数据管理，并没有太多的其他功能。harbor-ui所要操作的所有数据都通过harbor-adminserver这样一个数据配置管理中心来完成。

 

5、Harbor部署

Harbor服务器：   192.168.80.100    docker-ce docker-compose  harbor-offline-v1.2.2
client客户端：   192.168.80.200    docker-ce

5.1、部署Docker-Compose服务

下载或上传Docker-Compose
cd /opt
chmod +x /usr/local/bin/docker-compose
mv docker-compose /usr/local/bin
docker-compose -v

 

5.2、部署Harbor服务

下载或上传Harbor安装程序
Harbor的下载
tar zxvf harbor-offline-installer-v1.2.2.tgz  -C /opt/

5.3、修改harbor安装的配置文件

vim /opt/harbor/harbor.cfg
--5行--修改 设置为Harbor服务器的IP地址或域名
hostname=192.168.80.100
--59行- 指定管理员的初始密码，默认的用户名/密码是admin/Harbor12345
harbor_admin_password = Harbor12345
---------------------------
Harbor.cfg配置文件的两类参数：所需参数和可选参数
1、所需参数：这些参数需要在配置文件Harbor.cfg中设置。如果用户更新它们并运行install.sh脚本重新安装Harbor,参数将生效。具体参数如下：
●hostname: 用于访问用户界面和register服务。它应该是目标机器的IP地址或完全限定的域名(FQDN)，例如192.168.80.10或hub.kgc.cn。不要使用localhost或127.0.0.1为主机名。
●ui_url_protocol：(http或https，默认为http)用于访问UI和令牌/通知服务的协议。如果公证处于启用状态，则此参数必须为https。
●max_job_workers：镜像复制作业线程。
●db_password: 用于db_auth的MySQL数据库root用户的密码。
●customize_ crt：该属性可设置为打开或关闭，默认打开。打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌。当由外部来源提供密钥和根证书时，将此属性设置为off。
●ss1_cert：SSL证:书的路径，仅当协议设置为https时才应用。
●secretkey_path：用于在复制策略中加密或解密远程register密码的密钥路径。
​
2、可选参数：这些参数对于更新是可选的，即用户可以将其保留为默认值，并在启动Harbor后在Web UI. 上进行更新。如果进入Harbor.cfg，只会在第一次启动Harbor 时生效，随后对这些参数的更新，Harbor.cfg 将被忽略。
注意:如果选择通过UI设置这些参数，请确保在启动Harbor后立即执行此操作。具体来说，必须在注册或在Harbor.
中创建任何新用户之前设置所需的auth_mode。当系统中有用户时(除了默认的admin用户)，
auth_mode不能被修改。具体参数如下:
●Email：Harbor需要该参数才能向用户发送“密码重置"电子邮件，并且只有在需要该功能时才启用。请注意，在默认情况下SSL连接时没有启用。如果SMTP服务器需要SsL,但不支持STARTTLS，那么应该通过设置启用SsL email_ss1 = TRUE。
●harbor_admin password：管理员的初始密码，只在Harbor 第一次启动时生效。 之后， 此设置将 被忽略，并且应在 UI
中设置管理员的密码。请注意，默认的用户名/密码是admin/ Harbor12345。
●auth mode：使用的认证类型，默认情况下，它是db auth,即凭据存储在数据库中。对于LDAP身份验证，请将其设置为ldap_auth。
●self_registration：启用/禁用用户注册功能。禁用时，新用户只能由Admin用户创建，只有管理员用户可以在Harbor中创建新用户。注意:当auth_mode设置为ldap_auth时，自注册功能将始终处于禁止状态，并且该标准被忽略
●project_creation_restriction: 用于控制哪些用户有权创建项目的标志。默认情况下，每个人都可以创建一个项目。如果将其值设置为"adminonly",那么只有admin可以创建项目。
●verify_remote_cert: 打开或关闭，默认打开。此标志决定了当Harbor与远程register实例通信时是否验证SSL/TLS 证书。 将此属性设置为off将绕过SsL/TLS验证，这在远程实例具有自签名或不可信证书时经常使用。
​
另外，默认情况下，Harbor 将镜像存储在本地文件系统上。在生产环境中，可以考虑使用其他存储后端而不是本地文件系统，如s3、OpenstackSwif、 Ceph 等对象存储。但需要更新common/ templates/ registry/config.yml. 文件。
Harbor的默认镜像存储路径在/data/registry 目录下，映射到docker容器里面的/storage 目录下。
这个参数是在docker-compose.yml 中指定的，在docker-compose. up -d运行之前修改。
如果希望将Docker镜像存储到其他的磁盘路径，可以修改这个参数。

5.4、启动Harbor

cd /usr/local/harbor/
在配置好了harbor.cfg之后，执行./prepare命令，为harbor启动的容器生成一些必要的文件（环境）
再执行命令./install.sh以pull镜像并启动容器
[root@localhost opt]# cd /opt/harbor/
[root@localhost harbor]#./prepare
[root@localhost harbor]#./install.sh
​
[root@localhost harbor]# sysctl -p
net.ipv4.ip_forward = 1
[root@localhost harbor]# systemctl restart docker

5.5、查看Harbor启动镜像

cd /opt/docker-compose ps
​
docker-compose up -d  #启动
docker-compose stop #停止
docker-compose restart  #重新启动

5.6、项目管理

5.6.1、当前用户管理

192.168.80.100
----------------------------
1、浏览器访问：http://192.168.80.10登录Harbor WEB UI界面，默认的管理员用户名和密码是admin/Harbor12345
2、输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮
3、填写项目名称为“myproject-kgc”,点击“确定“按钮，创建新项目
4、此时可使用Docker命令在本地通过127.0.0.1来登录和推送镜像。默认情况下，Registry服务器在端口80上监听。

5.6.2、其他root用户管理

192.168.80.200
---------------------------
1、交互式登录失败
[root@localhost ~]# docker login -u admin -p Harbor12345 http://192.168.80.100
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get "https://192.168.80.100/v2/": dial tcp 192.168.80.100:443: connect: connection refused
​
2、修改配置文件
[root@localhost system]# cd /usr/lib/systemd/system
[root@localhost system]# ls docker.service 
docker.service
[root@localhost system]# vim docker.service 
​
13行末尾添加     --insecure-registry 192.168.80.100
​
​
3、重启
[root@localhost system]# systemctl daemon-reload 
[root@localhost system]# systemctl restart docker
​
4、登录成功
[root@localhost system]# docker login -u admin -p Harbor12345 http://192.168.80.100
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
​
Login Succeeded

5.6.3、普通用户管理