011.Docker仓库管理
一 Docker仓库介绍
docker 仓库,即 registry,实现了镜像的管理、分发,同时还包括用户的认证。docker registry 仓库是一个无状态的、高可靠的服务器应用程序,用来存储docker镜像。docker.io 为 docker 官方的仓库,默认所有的pull均是从官方仓库拉取镜像。
仓库又分为公有仓库(DockerHub、dockerpool)和私有仓库。
二 Docker私有仓库构建
2.1 私有仓库构建形式
registry+registry-web:
registry容器用于提供私有仓库的服务,本实验采用docker-compose构建此容器。
部署准备:
节点 | IP地址 | 备注 |
|---|---|---|
docker01 | 172.24.8.111 | Docker仓库 |
docker02 | 172.24.8.112 | Docker客户端,用于测试仓库 |
Harbor:
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中,确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。
Harbor官方网站:http://vmware.github.io/harbor/
Harbor源码地址:https://github.com/vmware/harbor
部署准备:
节点 | IP地址 | 备注 |
|---|---|---|
docker01 | 172.24.8.111 | Docker仓库,reg.itzgr.com |
docker02 | 172.24.8.112 | Docker客户端,用于测试仓库 |
三 registry构建:无认证部署
3.1 下载registry
1 root@docker01:~# wget https://github.com/mkuchin/docker-registry-web/releases/download/v0.1.2/examples.tar.gz
2 root@docker01:~# tar -zxvf examples.tar.gz
3 root@docker01:~# mv examples compose_registry3.2 docker-compose构建
1 root@docker01:~# mkdir -p /registry/db
2 root@docker01:~# mkdir -p /registry/images
3 root@docker01:~# cd compose_registry/auth-disabled/
4 root@docker01:~/compose_registry/auth-disabled# vi conf/registry/config.yml
5 version: 0.1
6 storage:
7 filesystem:
8 rootdirectory: /registry #指定registry工作目录
9 delete:
10 enabled: true #开启删除功能
11 http:
12 addr: 0.0.0.0:5000
13 notifications:
14 endpoints:
15 - name: listener
16 url: http://registry-web:8080/api/notification
17 timeout: 500ms
18 threshold: 5
19 backoff: 1s
20 root@docker01:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml
21 registry:
22 url: http://registry:5000/v2
23 name: 172.24.8.111:5000
24 readonly: false
25 auth:
26 enabled: false #关闭相关认证
27 root@docker01:~/compose_registry/auth-disabled# vi docker-compose.yml
28 version: '2'
29 services:
30 registry-web:
31 image: hyper/docker-registry-web:latest
32 ports:
33 - 8080:8080
34 volumes:
35 - ./conf/registry-web:/conf:ro
36 - /registry/db:/data #修改db保存目录
37 networks:
38 - registry-net
39 depends_on:
40 - registry
41 registry:
42 image: registry:2.4.1
43 ports:
44 - 5000:5000
45 volumes:
46 - /registry/images:/registry #修改镜像保存路径
47 - ./conf/registry:/etc/docker/registry:ro
48 networks:
49 - registry-net
50 networks:
51 registry-net:
52 # driver: default3.3 docker-compose启动容器
1 root@docker01:~/compose_registry/auth-disabled# docker-compose up -d3.4 客户端测试
1 root@docker02:~# vi /etc/docker/daemon.json
2 {
3 "insecure-registries": ["172.24.8.111:5000"]
4 }
5 root@docker02:~# docker pull hello-world #pull测试镜像
6 root@docker02:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy #修改对应的tag
7 root@docker02:~# docker push 172.24.8.111:5000/registry/hello-world浏览器访问http://172.24.8.111:8080/
四 registry构建:开启认证部署
4.1 下载registry
参考3.1即可。
4.2 docker-compose构建
1 root@docker01:~# mkdir -p /registry/db
2 root@docker01:~# mkdir -p /registry/images
3 root@docker01:~# cd compose_registry/auth-enabled/
4 root@docker01:~/compose_registry/auth-enabled# vi conf/registry/config.yml
5 version: 0.1
6 storage:
7 filesystem:
8 rootdirectory: /registry
9 delete:
10 enabled: true #开启删除功能
11 http:
12 addr: 0.0.0.0:5000
13 auth:
14 token:
15 realm: http://172.24.8.111:8080/api/auth
16 service: 172.24.8.111:5000
17 issuer: test
18 rootcertbundle: /etc/docker/registry/auth.cert #配置cert路径
19 log:
20 level: info
21
22 notifications:
23 endpoints:
24 - name: listener
25 url: http://registry-web:8080/api/notification
26 timeout: 500ms
27 threshold: 5
28 backoff: 1s
29 root@docker01:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml
30 registry:
31 url: http://registry:5000/v2
32 name: 172.24.8.111:5000
33 readonly: false
34 auth:
35 enabled: true
36 key: /conf/auth.key #指定key的路径
37 issuer: test
38 root@docker01:~/compose_registry/auth-disabled# vi docker-compose.yml
39 version: '2'
40 services:
41 registry-web:
42 image: hyper/docker-registry-web:latest
43 ports:
44 - 8080:8080
45 volumes:
46 - ./conf/registry-web:/conf:ro
47 - /registry/db:/data
48 networks:
49 - registry-net
50 depends_on:
51 - registry
52 registry:
53 image: registry:2.4.1
54 ports:
55 - 5000:5000
56 volumes:
57 - ./conf/registry:/etc/docker/registry:ro
58 - /registry/images:/registry
59 networks:
60 - registry-net
61 networks:
62 registry-net:
63 # driver: default4.3 生成自签名证书
1 root@docker01:~/compose_registry/nginx-auth-enabled# ./generate-keys.sh提示:改脚本会自动生成自签名的相关证书至相应目录,同时docker-compose配置文件将证书配置所在路径挂载至对应容器目录。
4.4 docker-compose启动容器
1 root@docker01:~/compose_registry/nginx-auth-enabled# docker-compose up -d4.5 客户端测试
1 root@docker02:~# vi /etc/docker/daemon.json
2 {
3 "insecure-registries": ["172.24.8.111:5000"]
4 }
5 root@docker02:~# docker pull hello-world #pull测试镜像
6 root@docker02:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy #修改对应的tag浏览器访问http://172.24.8.111:8080/
提示:默认用户admin无读写权限,可在web界面进行授权。
1 root@docker02:~# docker login 172.24.8.111:5000 #输入默认admin/admin登录
2 root@docker02:~# docker push 172.24.8.111:5000/registry/hello-world
提示:更多参考链接:
https://segmentfault.com/a/1190000012175537
https://github.com/mkuchin/docker-registry-web,相关docker-compose文件咨询博主。
五 registry构建:http形式Harbor
5.1 Harbor介绍
harbor由6大模块级成:
Proxy: Harbor的registry、UI、token services等组件,都处在一个反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端服务上。
Registry: 负责存储Docker镜像,以及处理Docker push/pull请求。同时Harbor强制要求对镜像的访问做权限控制, 在每一次push/pull请求时,Registry会强制要求客户端从token service那里获得一个有效的token。
Core services: Harbor的核心功能,主要包括如下3个服务:
- UI: 作为Registry Webhook, 以图像用户界面的方式辅助用户管理镜像。
- WebHook:是在registry中配置的一种机制,当registry中镜像发生改变时,就可以通知到Harbor的webhook endpoint。Harbor使用webhook来更新日志、初始化同步job等。
- Token service:会根据该用户在一个工程中的角色,为每一次的push/pull请求分配对应的token。假如相应的请求并没有包含token的话,registry会将该请求重定向到token service。
Database:用于存放工程元数据、用户数据、角色数据、同步策略以及镜像元数据。
Job services: 主要用于镜像复制,本地镜像可以被同步到远程Harbor实例上。
Log collector: 负责收集其他模块的日志到一个地方。
5.2 容器组件介绍
harbor的每个组件都是以Docker容器的形式构建的,可以使用Docker Compose来进行部署,在使用了kubernetes的环境中,harbor也提供了kubernetes的配置文件。
harbor共有8个容器组成:
- ui:harbor的核心服务。
- log:运行着rsyslog的容器,进行日志收集。
- mysql:由官方mysql镜像构成的数据库容器。
- nginx:使用Nginx做反向代理。
- registry:官方的Docker registry。
- adminserver:harbor的配置数据管理器。
- jobservice:Harbor的任务管理服务。
- redis:用于存储session。
5.3 下载harbor安装文件
1 root@docker01:~# wget https://storage.googleapis.com/harbor-releases/harbor-offline-installer-v1.5.4.tgz
2 root@docker01:~# tar xvf harbor-offline-installer-v1.5.4.tgz5.4 编辑harbor.cfg
1 root@docker01:~# mkdir /data #harbor默认相关volume挂载目录
2 root@docker01:~# cd harbor/
3 root@docker01:~/harbor# vi harbor.cfg
4 hostname = reg.itzgr.com # harbor的访问地址5.5 安装harbor
1 root@docker01:~/harbor# ./install.sh提示:配置相应的hostname,其他保持默认即可,具体更多harbor.cfg参数详见《附007.harbor.cfg配置文件详解》;
若出现以下报错:Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt
需要修改prepare文件,将第498行:
1 empty_subj = "/C=/ST=/L=/O=/CN=/"修改如下:
1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner"5.6 确认验证
1 root@docker01:~# cd harbor
2 root@docker01:~/harbor# docker-compose pshost文件中添加如下解析:
1 172.24.8.111 reg.itzgr.com浏览器访问:reg.itzgr.com,并使用默认用户名admin/Harbor12345
六 registry构建:https形式Harbor
6.1 下载harbor安装文件
参考5.3。
6.2 自建证书
1 root@docker01:~# localdomain=reg.itzgr.com
2 root@docker01:~# openssl req \
3 -newkey rsa:4096 -nodes -sha256 -keyout ca.key \
4 -x509 -days 365 -out ca.crt #创建CA证书
5 Country Name (2 letter code) [AU]:CN #国家
6 State or Province Name (full name) [Some-State]:ZheJiang #州或省
7 Locality Name (eg, city) []:WenZhou #城市
8 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor #机构
9 Organizational Unit Name (eg, section) []:harbor #组织
10 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com #访问域名
11 Email Address []:xhy@itzgr.com #邮箱
12
13 root@docker01:~# openssl req \
14 -newkey rsa:4096 -nodes -sha256 -keyout $localdomain.key \
15 -out $localdomain.csr #生成证书签名请求
16 Country Name (2 letter code) [AU]:CN
17 State or Province Name (full name) [Some-State]:ZheJiang
18 Locality Name (eg, city) []:WenZhou
19 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor
20 Organizational Unit Name (eg, section) []:harbor
21 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com
22 Email Address []:xhy@itzgr.com
23 A challenge password []:x7374521*
24 An optional company name []:reg.itzgr.com
25
26 root@docker01:~# openssl x509 -req -days 365 -in $localdomain.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out $localdomain.crt
27 root@docker01:~# mkdir /root/cert/
28 root@docker01:~# cp $localdomain.crt $localdomain.key /root/cert/6.2 编辑harbor.cfg
1 root@docker01:~# cd harbor/
2 root@docker01:~/harbor# vi harbor.cfg
3 hostname = reg.itzgr.com
4 ui_url_protocol = https
5 ssl_cert = /root/cert/reg.itzgr.com.crt
6 ssl_cert_key = /root/cert/reg.itzgr.com.key6.3 安装harbor
1 root@docker01:~/harbor# ./prepare
2 root@docker01:~/harbor# ./install.sh提示:配置相应的hostname,其他保持默认即可,具体更多harbor.cfg参数详见《附007.harbor.cfg配置文件详解》;
若出现以下报错:Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt
需要修改prepare文件,将第498行:
1 empty_subj = "/C=/ST=/L=/O=/CN=/"修改如下:
1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner"6.4 确认验证
1 root@docker01:~# cd harbor
2 root@docker01:~/harbor# docker-compose pshost文件中添加如下解析:
1 172.24.8.111 reg.itzgr.com浏览器访问:https://reg.itzgr.com,并使用默认用户名admin/Harbor12345
提示:由于在自建证书,非安全证书,因此浏览器访问可能出现无法访问或告警提示,忽略即可。
6.5 docker 客户端测试
1 root@docker02:~# vi /etc/hosts
2 172.24.8.111 reg.itzgr.com
3 root@docker02:~# mkdir -p /etc/docker/certs.d/reg.itzgr.com
4 root@docker01:~# scp ca.crt root@172.24.8.112:/etc/docker/certs.d/reg.itzgr.com/提示:服务端需要将自建证书的crt文件复制至客户端相应目录(若不存在则创建),也可通过以下方式实现:
1 root@docker02:~# vi /etc/docker/daemon.json
2 {
3 "insecure-registries": ["https://reg.itzgr.com"]
4 }若是信任CA机构颁发的证书,相应关闭daemon.json中的配置。
1 root@docker02:~# docker login reg.itzgr.com #登录registry
2 Username: admin
3 Password:提示:公开的registry可pull,但push也必须登录,私有的registry必须登录才可pull和push。
1 root@docker02:~# docker pull hello-world
2 root@docker02:~# docker tag hello-world:latest reg.itzgr.com/library/hello-world:xhy
3 root@docker02:~# docker push reg.itzgr.com/library/hello-world:xhy
提示:修改tag必须为已经存在的项目,并且具备相应的授权。