目录
- 一、Harbor 部署
- 1. 部署 Docker-Compose 服务
- 2. 部署 Harbor 服务
- (1)下载或上传 Harbor 安装程序
- (2)修改harbor安装的配置文件
- 3. 启动 Harbor
- 4. 查看 Harbor 启动镜像
- 5. 创建一个新项目
- 1、在虚拟上进行登录 Harbor
- 2、下载镜像进行测试
- 3、将镜像打标签
- 4、上传镜像到 Harbor
- 6. 在其他客户端上传镜像
- (1)在 Docker 客户端配置操作
- 二、维护管理Harbor
- 1. 通过 Harbor Web 创建项目
- 2. 创建 Harbor 用户
- (1)创建用户并分配权限
- (2)添加项目成员
- (3)在客户端上使用普通账户操作镜像
- 3. 查看日志
- 4. 修改 Harbor.cfg 配置文件
- 5. 移除 Harbor 服务容器同时保留镜像数据/数据库,并进行迁移
- 6. 如需重新部署,需要移除 Harbor 服务容器全部数据
Harbor服务器 192.168.102.10 docker-ce、docker-compose、harbor-offline-v1.2.2
client服务器 192.168.102.20 docker-ce
一、Harbor 部署
1. 部署 Docker-Compose 服务
下载或者上传 Docker-Compose
curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose -v
2. 部署 Harbor 服务
(1)下载或上传 Harbor 安装程序
Harbor的压缩包下载地址:https://github.com/goharbor/harbor/releases
wget http://harbor.orientsoft.cn/harbor-1.2.2/harbor-offline-installer-v1.2.2.tgz
tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/
(2)修改harbor安装的配置文件
vim /usr/local/harbor/harbor.yml
--5行--修改,设置为Harbor服务器的IP地址或者域名
hostname = 192.168.80.10
--27行--指定管理员的初始密码,默认的用户名/密码是admin/Harbor12345
harbor_admin_password = Harbor12345
3. 启动 Harbor
cd /usr/local/harbor/
在配置好了 harbor.cfg 之后,执行 ./prepare 命令,为 harbor 启动的容器生成一些必要的文件(环境)
再执行命令 ./install.sh 以 pull 镜像并启动容器
4. 查看 Harbor 启动镜像
cd /usr/local/harbor/
docker-compose ps
docker-compose up -d #启动
docker-compose stop #停止
docker-compose restart #重新启动
5. 创建一个新项目
(1)浏览器访问:http://192.168.80.10 登录 Harbor WEB UI 界面,默认的管理员用户名和密码是 admin/Harbor12345
(2)输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮
(3)填写项目名称为“myproject-kgc”,点击“确定”按钮,创建新项目
(4)此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下,Registry 服务器在端口 80 上侦听。
1、在虚拟上进行登录 Harbor
docker login -u admin -p Harbor12345 http://127.0.0.1
2、下载镜像进行测试
docker pull nginx
3、将镜像打标签
格式:docker tag 镜像:标签 仓库IP/项目名称/镜像名:标签
docker tag nginx:latest 127.0.0.1/myproject-dz/nginx:v1
4、上传镜像到 Harbor
docker push 127.0.0.1/myproject-dz/nginx:v1
(5)在 Harbor 界面 myproject-kgc 目录下可看见此镜像及相关信息
6. 在其他客户端上传镜像
以上操作都是在 Harbor 服务器本地操作。如果其他客户端登录到 Harbor,就会报如下错误。出现这问题的原因为Docker Registry 交互默认使用的是 HTTPS,但是搭建私有镜像默认使用的是 HTTP 服务,所以与私有镜像交互时出现以下错误。
docker login -u admin -p Harbor12345 http://192.168.102.10
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get https://192.168.102.10/v2/: dial tcp 192.168.102.10:443: connect: connection refused
(1)在 Docker 客户端配置操作
解决办法是:在 Docker server 启动的时候,增加启动参数,默认使用 HTTP 访问。
vim /usr/lib/systemd/system/docker.service
--13行--修改
ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.102.10 --containerd=/run/containerd/containerd.sock
或
ExecStart=/usr/bin/dockerd --insecure-registry 192.168.102.10
重启 Docker,再次登录,发现可以登录成功
systemctl daemon-reload
systemctl restart docker
下载镜像进行测试
docker pull 192.168.102.10/myproject-dz/nginx:v1
上传镜像进行测试
docker pull cirros
docker tag cirros:latest 192.168.102.10/myproject-dz/cirros:v2
docker push 192.168.102.10/myproject-dz/cirros:v2
进入浏览器进行查看刷新
二、维护管理Harbor
1. 通过 Harbor Web 创建项目
在 Harbor 仓库中,任何镜像在被 push 到 regsitry 之前都必须有一个自己所属的项目。
单击“+项目”,填写项目名称,项目级别若设置为"私有",则不勾选。如果设置为公共仓库,则所有人对此项目下的镜像拥有读权限,命令行中不需要执行"Docker login"即可下载镜像,镜像操作与 Docker Hub 一致。
2. 创建 Harbor 用户
(1)创建用户并分配权限
在 Web 管理界面中单击系统管理 -> 用户管理 -> +用户,
填写用户名为“dz-zhangsan”,邮箱为“dz-zhangsan@dz.com”,全名为“zhangsan”,密码为“Abc123456”,注释为“管理员”(可省略)。
附:用户创建成功后,单击左侧“…”按钮可将上述创建的用户设置为管理员角色或进行删除操作,本例不作任何设置。
| 角色 | 权限说明 |
|---|---|
| 访客 | 对于指定项目拥有只读权限 |
| 开发人员 | 对于指定项目拥有读写权限,但没用删除权限 |
| 维护人员 | 对于指定项目拥有读写权限,也能对修改其它配置,比如创建 Webhooks |
| 项目管理员 | 除了读写权限,同时拥有用户管理/镜像扫描等管理权限 |
(2)添加项目成员
单击项目 -> myproject-kgc-> 成员 -> + 成员,填写上述创建的用户 kgc-zhangsan 并分配角色为“开发人员”。
附:此时单击左侧“…”按钮仍然可对成员角色进行变更或者删除操作
(3)在客户端上使用普通账户操作镜像
//删除上述打标签的本地镜像
docker rmi 192.168.80.10/myproject-dz/cirros:v2
//先退出当前用户,然后使用上述创建的账户dz-zhangsan 登录
docker logout 192.168.80.10
docker login 192.168.80.10
或
docker login -u dz-zhangsan -p Abc123456 http://192.168.80.10
//下载和上传镜像进行测试
docker pull 192.168.80.10/myproject-dz/cirros:v2
docker tag cirros:latest 192.168.80.10/myproject-dz/cirros:v3
docker push 192.168.80.10/myproject-dz/cirros:v3
3. 查看日志
Web 界面日志,操作日志按时间顺序记录用户相关操作
4. 修改 Harbor.cfg 配置文件
要更改 Harbor的配置文件中的可选参数时,请先停止现有的 Harbor实例并更新 Harbor.cfg;然后运行 prepare 脚本来填充配置; 最后重新创建并启动 Harbor 的实例。
使用 docker-compose 管理 Harbor 时,必须在与 docker-compose.yml 相同的目录中运行。
cd /usr/local/harbor
docker-compose down -v
vim harbor.cfg #只能修改可选参数
./prepare
docker-compose up -d
//如果有以下报错,需要开启防火墙 firewalld 服务解决
Creating network "harbor_harbor" with the default driver
ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t nat -I DOCKER -i br-b53c314f45e8 -j RETURN: iptables: No chain/target/match by that name.
(exit status 1))
systemctl restart firewalld.service
docker-compose up -d
5. 移除 Harbor 服务容器同时保留镜像数据/数据库,并进行迁移
//在Harbor服务器上操作
(1)移除 Harbor 服务容器
cd /usr/local/harbor
docker-compose down -v
(2)把项目中的镜像数据进行打包
//持久数据,如镜像,数据库等在宿主机的/data/目录下,日志在宿主机的/var/log/Harbor/目录下
ls /data/registry/docker/registry/v2/repositories/myproject-kgc
cd /data/registry/docker/registry/v2/repositories/myproject-kgc
tar zcvf kgc-registry.tar.gz ./*
6. 如需重新部署,需要移除 Harbor 服务容器全部数据
cd /usr/local/harbor
docker-compose down -v
rm -r /data/database
rm -r /data/registry
