微服务架构 – 基于Harbor构建本地镜像仓库

Java基础

浏览数:203

2019-7-8

AD:资源代下载服务

之前写过《搭建docker本地镜像仓库并提供权限校验及UI界面》文章,然后有同仁评论道这样做太复杂了,如果Harbor来搭建会更简单同时功能也更强大。于是抽时间研究了基于Harbor构建本地镜像仓库,感觉Harbor的确更简单同时功能更强大,再此感谢各位同仁的建议。下面将基于Harbor构建本地镜像仓库的步骤分享出来,再次欢迎各位同仁点评。

1、Harbor

Harbor是VMware公司开源了企业级Registry项目, 其的目标是帮助用户迅速搭建一个企业级的Docker registry服务。它以Docker公司开源的registry为基础,额外提供了如下功能:

  • Cloud native registry:支持容器镜像和Helm Charts,为云原生环境提供服务
  • Role based access control:基于角色的访问控制
  • Policy based image replication:基于策略的镜像复制
  • Vulnerability Scanning:镜像的漏洞扫描
  • LDAP/AD support:AD/LDAP集成
  • Image deletion & garbage collection:镜像的删除和空间清理
  • Notary:可以保证镜像的真实性
  • Graphical user portal:友好的管理UI
  • Auditing:日志审计
  • RESTful API:提供RESTfull接口易于与外部系统集成
  • Easy deployment:部署简单

以上功能是将官网的内容做了简单翻译,如果大家想深层次了解一下,可以查看Harbor官网内容。

2、部署

部署Harbor前,首先得有docker环境、docker-compose的环境,如果大家没有docker环境,可以参考我之前的一篇文章《CentOS7离线部署docker》搭建环境,对于安装docker-compose是很简单,只如下操作:

curl -L "https://github.com/docker/compose/releases/download/1.23.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

注意:如果运行环境不能直接联外网,则可以先下载二进制包,然后手动放置到相应目录,并授权即可。

有了docker环境、docker-compose的环境后,可以开始部署Harbor了,步骤如下:

(1)、到Github上下载目前Harbor的最新版本,它提供两种下载方式,一种是离线安装包和在线安装包,大家可以根据自己的情况下载,此处下载的是离线安装包

(2)、下载后,将该文件解压到/opt/harbor目录下,当然大家也可以根据自己的使用情况放到相应的目录即可

(3)、此处要开启https访问,所以得生成证书(注意:如果不以https访问,这一个步骤就是不需要的),操作如下:

mkdir /opt/harbor/certs
cd /opt/harbor/certs
openssl req \
    -new \
    -newkey rsa:4096 \
    -days 365 \
    -subj "/CN=192.168.208.147" \
    -nodes \
    -x509 \
    -keyout auth.key \
    -out auth.cert

注意:此处的ip地址192.168.208.147,是搭建Harbor服务所在的ip地址

(4)、修改harbor.cfg配置文件信息,分别修改以下配置信息:

# 主机名改成本服务器的ip
hostname = 192.168.208.147
# 访问的协议https
ui_url_protocol = https
# 由于前一步我们自己生成了证书,所以该值改为off
customize_crt = off
# ssl证书的路径
ssl_cert = /opt/harbor/certs/auth.cert
# ssl密钥的路径
ssl_cert_key = /opt/harbor/certs/auth.key
# 设置ui系统的admin账号的密码,默认为Harbor12345
harbor_admin_password = Adminjgyw

(5)、安装,执行:

./install.sh

(6)、执行上面的安装脚本,实质是执行docker compose来部署应用的,所以可以通过docker compose命令查看服务信息:

docker-compose ps

结果为:

(7)、访问https://192.168.208.147,如果如下:

3、测试

部署完成之后,测试一下镜像的pull和push功能,首先将admin账号登录,并创建jgyw项目,即:

(1)、点击“新建项目”

(2)、填写项目信息,名称为jgyw,访问级别为公开,即所有人都可以pull镜像下来,即:

(3)、创建用户

(3)、为jgyw项目添加成员,同时角色为开发人员,这样可以将镜像push到该项目中,即:

(4)、push镜像

docker login 192.168.208.147
# 输入上面新建的jgyw用户名和密码即可登录

如果此处发生如下错误:

Error response from daemon: Get https://192.168.208.147/v1/users/: x509: cannot validate certificate for 192.168.208.147 because it doesn't contain any IP SANs

则需要将/usr/lib/systemd/system/docker.service文件中ExecStart值修改为如下形式,即:

ExecStart=/usr/bin/dockerd --insecure-registry 192.168.208.147

测试openzipkin/zipkin:2.12.1镜像

将openzipkin/zipkin:2.12.1镜像打上标签,即:

docker tag openzipkin/zipkin:2.12.1 192.168.208.147/jgyw/zipkin:2.12.1

然后执行push命令:

docker push 192.168.208.147/jgyw/zipkin:2.12.1

执行完成后,可以查到jgyw项目中就有了该镜像,即:

(5)、pull镜像

首先将本机的192.168.208.147/jgyw/zipkin:2.12.1镜像删除掉,即:

docker rmi 192.168.208.147/jgyw/zipkin:2.12.1

然后执行pull命令,即:

docker pull 192.168.208.147/jgyw/zipkin:2.12.1

镜像就拉取下来了。

关注我

以你最方便的方式关注我:
微信公众号:

作者:架构与我