Docker：Harbor私服搭建和使用

摘要：Docker，Harbor

Harbor简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，虽然Docker官方也提供了公共的镜像仓库，但是从安全和效率等方面考虑，部署企业内部的私有环境Registry是非常必要的，Harbor和docker中央仓库的关系，就类似于nexus和Maven中央仓库的关系，Harbor除了存储和分发镜像外还具有用户管理，项目管理，配置管理和日志查询，高可用部署等主要功能

---

Harbor搭建

在本地搭建一个Harbor服务，其他在同一局域网的机器可以使用Harbor进行镜像提交和拉取，搭建前需要本地安装docker服务和docker-compose，docker-compose可以直接使用pip安装

pip install docker-compose

下载Harbor离线安装包harbor-offline-installer-v2.1.0.tgz，在github官网https://github.com/goharbor/harbor/releases
或者其他资源链接下载，下载后解压

tar -zxvf harbor-offline-installer-v2.1.0.tgz

解压完成后在当前目录生成harbor目录，复制和修改harbor目录下的harbor.yml

cp harbor.yml.tmpl harbor.yml

注释掉https的配置内容，配置http相关的参数，主要是hostname，port，其他都可以不用动

# vim harbor.yml
hostname: 10.3.10.55

# http related config
http:
  # port for http, default is 80. If https enabled, this port will redirect to https port
  port: 8081

进行本地安装

bash prepare
bash install.sh

安装完成后在本地生成docker-compose.yml文件，此时可以启动harbor服务

docker-compose up -d

打开在harbor.yml中噢诶之的host和port，10.3.10.55:8081

初始的默认用户是admin，密码是Harbor12345，登录成功

下一步使用docker login到私服，需要将私服的http地址配置到docker的不安全register中

# vim /etc/docker/daemon.json
{
      "insecure-registries": ["10.3.10.55:8081"]
}

重启docker服务后可以正常login进docker私服

systemctl daemon-reload && systemctl restart docker

docker login 10.3.10.55:8081
user:admin
password:
Login Succeeded

---

Harbor Web客户端基础使用

左侧功能栏分为三大块，项目，日志和系统管理

（1）修改admin登录密码

修改admin登录密码，点击右上角用户名->修改密码

（2）新增用户

点击左侧系统管理->用户管理->创建用户

可以进一步设置为管理员

（3）新增项目和设置项目成员权限

镜像都需要根据项目名做分类索引进行存放，新建一个项目，点击项目->新建项目

将项目设置为公开，所有用户都可以读取，如果设置了私有项目，只有登陆了相关用户才可以操作，默认是私有项目

点击进行新建的项目，创建项目成员

添加用户xiaogp，角色是开发者，管理员对项目拥有所有操作权限，push/pull/delete/复制策略等操作，开发人员只能push/pull，访客只能pull

添加完成后项目拥有两个项目成员，分别是管理员admin和开发者xiaogp，可以点击其他操作修改成员的权限或者移除成员

---

Harbor上传和拉取镜像

上传镜像需要在docker主机进行操作，对于私有项目必须登录Harbor私服才能进行pull和push操作，push到Harbor的镜像的命名必须按照如下规则

{Harbor地址}:{端口}/{Harbor项目名}/{自定义镜像名}:{自定义tag}

由于harbor采用的是http服务，而docker仓库默认采用https，如果对私服采用docker login、pull、push等命令操作非https的docker regsitry的时就会报错，所以需要在docker的配置文件中将harbor私服地址配置到insecure-registry作为不安全的地址运行访问

# touch /etc/docker/daemon.json
# vim /etc/docker/daemon.json
{
    "insecure-registries": ["192.168.1.28:80"]
}

重启docker，查看docker info是否配置私服地址成功

systemctl daemon-reload && systemctl restart docker

# docker info
 Insecure Registries:
  192.168.1.28:80  # 已经配置成功
  127.0.0.0/8

下一步测试登录私服，登录成功

root@ubuntu:~# docker login 192.168.1.28:80 -u xiaogp
Password: 
WARNING! Your password will be stored unencrypted in /home/xiaogp/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

下一步将docker本机的镜像上传push到harbor，先使用docker tag创建一个新的镜像并且重命名为harbor指定的ip:host/项目名格式，然后直接push

root@ubuntu:~# docker tag xiaogp/my_image_test:v1 192.168.1.28:80/test_public/my_image_test:v1

root@ubuntu:~# docker push 192.168.1.28:80/test_public/my_image_test:v1
The push refers to repository [192.168.1.28:80/test_public/my_image_test]
bc6c5868a244: Pushed 
52cec1fdc1f3: Pushed 
6b24a3d04a66: Pushed 
d5f992479e0c: Pushed 
5adaa6cddd5f: Pushed 
9f5b4cdea532: Pushed 
cd702377e4e5: Pushed 
aa7af8a465c6: Pushed 
ef9a7b8862f4: Pushed 
a1f2f42922b1: Pushed 
4762552ad7d8: Pushed 
v1: digest: sha256:567000120e42943f598efe5084006ffa5f307f4ffbd8871003602351876aba1b size: 2640

在harbot web客户端查看镜像，在test_public下已经可以查看到镜像

近一步点进去可以查看镜像的标签信息，点击操作可以对镜像进行添加标签，删除等操作，当前界面是以xiaogp用户（开发者）进行登录的，因此没有删除权限，也没有左侧的系统管理栏

在harbor的主机的/data/registry/docker/registry/v2/目录下可以查到到镜像的存储位置

root@ubuntu:/data/registry/docker/registry/v2/repositories# ll
total 12
drwxr-xr-x 3 10000 10000 4096 7月  17 17:25 ./
drwxr-xr-x 4 10000 10000 4096 7月  17 17:25 ../
drwxr-xr-x 3 10000 10000 4096 7月  17 17:25 test_public/

下一步在另一台docker机器从私服拉去镜像，确保这台机器和私服ip互通，并且将私服地址添加到docker的不安全仓库地址配置文件中，直接使用docker pull命令拉取私服镜像

root@cloudera01:~# docker pull 192.168.1.28:80/test_public/my_image_test:v1

对于公开项目不需要login就可以被能够访问到私服的用户拉取和上传，但是对于私有项目需要login才能进行操作，先创建一个私有仓库test_private

然后进行tag和push，报错未授权访问存储库

root@ubuntu:~# docker tag xiaogp/my_image_test:v1 192.168.1.28:80/test_private/my_image_test:v1
root@aubuntu:~# docker push 192.168.1.28:80/test_private/my_image_test:v1
The push refers to repository [192.168.1.28:80/test_private/my_image_test]
bc6c5868a244: Preparing 
52cec1fdc1f3: Preparing 
6b24a3d04a66: Preparing 
d5f992479e0c: Preparing 
5adaa6cddd5f: Preparing 
9f5b4cdea532: Waiting 
cd702377e4e5: Waiting 
aa7af8a465c6: Waiting 
ef9a7b8862f4: Waiting 
a1f2f42922b1: Waiting 
4762552ad7d8: Waiting 
unauthorized: unauthorized to access repository: test_private/my_image_test, action: push: unauthorized to access repository: test_private/my_image_test, action: push

测试使用admin项目管理员权限登录私服在上传，成功

root@ubuntu:~# docker login 192.168.1.28:80 -uadmin
Password: 
WARNING! Your password will be stored unencrypted in /home/xiaogp/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
root@ubuntu:~# docker push 192.168.1.28:80/test_private/my_image_test:v1
The push refers to repository [192.168.1.28:80/test_private/my_image_test]
bc6c5868a244: Pushed 
52cec1fdc1f3: Pushed 
6b24a3d04a66: Pushed 
d5f992479e0c: Pushed 
5adaa6cddd5f: Pushed 
9f5b4cdea532: Pushed 
cd702377e4e5: Pushed 
aa7af8a465c6: Pushed 
ef9a7b8862f4: Pushed 
a1f2f42922b1: Pushed 
4762552ad7d8: Pushed 
v1: digest: sha256:567000120e42943f598efe5084006ffa5f307f4ffbd8871003602351876aba1b size: 2640

如果以普通账号（xiaogo访客权限）登录，报错未授权访问存储库，访客权限不能push镜像

root@ubuntu:~# docker login 192.168.1.28:80 -uxiaogp
Password: 
WARNING! Your password will be stored unencrypted in /home/xiaogp/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
root@ubuntu:~# docker push 192.168.1.28:80/test_private/my_image_test:v1
The push refers to repository [192.168.1.28:80/test_private/my_image_test]
bc6c5868a244: Layer already exists 
52cec1fdc1f3: Layer already exists 
6b24a3d04a66: Layer already exists 
d5f992479e0c: Layer already exists 
5adaa6cddd5f: Layer already exists 
9f5b4cdea532: Layer already exists 
cd702377e4e5: Layer already exists 
aa7af8a465c6: Layer already exists 
ef9a7b8862f4: Layer already exists 
a1f2f42922b1: Layer already exists 
4762552ad7d8: Layer already exists 
unauthorized: unauthorized to access repository: test_private/my_image_test, action: push: unauthorized to access repository: test_private/my_image_test, action: push

对于已经在harbor上存在的镜像，如果修改了原镜像层，指定同样的tag再次上传，则会用新上传的镜像更新旧的到最新，以最新上传的镜像作为指定的tag，之前的镜像依旧存在但是tag置位空

可以在垃圾清理栏中勾选回收无tag的镜像进行清理删除

执行完毕后在test_private下已经没有旧的被更新的镜像，在删除日志中也可以查到删除的镜像名