Docker容器引擎私有仓库的搭建和管理

目录

一、私有仓库搭建和管理

(一)搭建本地私有仓库

1.拉取registry镜像

2.修改docker配置文件并重启

3.运行registry容器

4.给镜像打标签

5.上传到私有仓库

6.查看私有仓库的所有镜像

7.从私有仓库拉取镜像

(1)删除centos镜像

(2)从私有仓库拉取centos:v1镜像

二、Docker--harbor私有仓库部署与管理

(一)Harbor 简介 

1.什么是Harbor

2.Harbor的特性

(1)基于角色控制

(2)基于镜像的复制策略

(3)支持 LDAP/AD

(4)镜像删除和垃圾回收

(5)图形化用户界面

(6)审计管理

(7)支持 RESTful API

(8)Harbor和docker registry的关系

3.Harbor的构成

(1)Proxy

(2)Registry

(3)Core services

① UI(harbor-ui)

② WebHook

③ Token 服务

(4)Database(harbor-db)

(5)Job services

(6)Log collector(harbor-log)

(二)Harbor 部署

1.部署 Docker-Compose 服务

2.部署 Harbor 服务

(1)下载并解压安装harbor

(2)修改harbor安装的配置文件

(3)启动 Harbor

3.查看 Harbor 启动镜像

4.创建新项目

(1)浏览器访问

(2)新建项目

(3)填写项目名称

​编辑(4)登录和推送镜像

(5)在 Harbor 界面查看

5.在其他客户端上传镜像

(1)在Docker客户端配置操作

(2)重启并登录

(3)测试

(4)登录Harbor查看

(三)维护管理Harbor

1.通过HarborWeb创建项目

2.创建Harbor用户

(1)创建用户并分配权限

(2)添加项目成员

(3)在客户端上使用普通账户操作镜像

(4)访问web网页查看​编辑

3.可通过日志查看

4.修改 Harbor.cfg 配置文件

5.移除 Harbor 服务容器同时保留镜像数据/数据库,并进行迁移

(四)docker容器的重启策略

(五)docker的daemon.json 配置文件里面有哪些可以设置


一、私有仓库搭建和管理

(一)搭建本地私有仓库

1.拉取registry镜像

docker pull registry

2.修改docker配置文件并重启

vim /etc/docker/daemon.json
{"insecure-registries": ["172.16.72.80:5000"],						#添加,注意用逗号结尾"registry-mirrors": ["https://6ijb8ubo.mirror.aliyuncs.com"]
}systemctl restart docker

3.运行registry容器

docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest
docker ps -a
-----------------------------------------------------------------------------------------
-itd:在容器中打开一个伪终端进行交互操作,并在后台运行
-v:把宿主机的/data/registry目录绑定到容器/var/lib/registry目录(这个目录是registry容器中存放镜像文件的目录),来实现数据的持久化;
-p:映射端口;访问宿主机的5000端口就访问到registry容器的服务了
--restart=always:这是重启的策略,在容器退出时总是重启容器
--name registry:创建容器命名为registry
registry:latest:这个是刚才pull下来的镜像
-----------------------------------------------------------------------------------------

4.给镜像打标签

docker tag centos:7 172.16.72.80:5000/centos:v1

5.上传到私有仓库

docker push 172.16.72.80:5000/centos:v1

6.查看私有仓库的所有镜像

curl http://172.16.72.80:5000/v2/centos/tags/list或者浏览器访问
http://172.16.72.80:5000/v2/centos/tags/list

7.从私有仓库拉取镜像

(1)删除centos镜像
docker rmi -f eeb6ee3f44bd
docker images

(2)从私有仓库拉取centos:v1镜像
docker pull 172.16.72.80:5000/centos:v1
docker images

二、Docker--harbor私有仓库部署与管理

(一)Harbor 简介 

1.什么是Harbor

  • Harbor 是 VMware 公司开源的企业级 Docker Registry 项目,其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务。
  • Harbor以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。
  • Harbor 的每个组件都是以 Docker 容器的形式构建的,使用 docker-compose 来对它进行部署。用于部署 Harbor 的 docker-compose 模板位于 harbor/docker-compose.yml。

2.Harbor的特性

(1)基于角色控制

用户和仓库都是基于项目进行组织的,而用户在项目中可以拥有不同的权限。

(2)基于镜像的复制策略

镜像可以在多个Harbor实例之间进行复制(同步)。

(3)支持 LDAP/AD

Harbor 可以集成企业内部已有的 AD/LDAP(类似数据库的一张表),用于对已经存在的用户认证和管理。

(4)镜像删除和垃圾回收

镜像可以被删除,也可以回收镜像占用的空间。

(5)图形化用户界面

用户可以通过浏览器来浏览,搜索镜像仓库以及对项目进行管理。

(6)审计管理

所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。

(7)支持 RESTful API

RESTful API 提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易。

(8)Harbor和docker registry的关系

Harbor实质上是对docker registry做了封装,扩展了自己的业务模板。

3.Harbor的构成

Harbor 在架构上主要有 Proxy、Registry、Core services、Database(Harbor-db)、Log collector(Harbor-log)、Job services 六个组件。

(1)Proxy
  • 是一个 nginx 的前端代理,Harbor 的 Registry、UI、Token 服务等组件,都处在 nginx 反向代理后边。
  • 该代理将来自浏览器、docker clients 的请求转发到后端不同的服务上。
(2)Registry
  •  负责储存 Docker 镜像,并处理 Docker push/pull 命令。
  • 由于要对用户进行访问控制,即不同用户对 Docker 镜像 有不同的读写权限,Registry 会指向一个 Token 服务,强制用户的每次 Docker pull/push 请求都要携带一个合法的 Token, Registry 会通过公钥对 Token 进行解密验证。
(3)Core services

Harbor的核心功能,主要提供以下3个服务:

① UI(harbor-ui)

提供图形化界面,帮助用户管理 Registry 上的镜像(image), 并对用户进行授权。

② WebHook

为了及时获取Registry 上image 状态变化的情况,在Registry 上配置 Webhook,把状态变化传递给 UI 模块。

③ Token 服务
  • 负责根据用户权限给每个 Docker push/pull 命令签发 Token。
  • Docker 客户端向 Registry 服务发起的请求, 如果不包含 Token,会被重定向到 Token 服务,获得 Token 后再重新向 Registry 进行请求。
(4)Database(harbor-db)

为core services提供数据库服务,负责储存用户权限、审计日志、Docker 镜像分组信息等数据。

(5)Job services

主要用于镜像复制,本地镜像可以被同步到远程 Harbor 实例上。

(6)Log collector(harbor-log)

负责收集其他组件的日志到一个地方。

(二)Harbor 部署

1.部署 Docker-Compose 服务

find / -name docker-compose
cp /usr/libexec/docker/cli-plugins/docker-compose /usr/local/bin/
docker-compose -v

2.部署 Harbor 服务

(1)下载并解压安装harbor
tar -xf harbor-offline-installer-v1.10.18.tgz
mv harbor /usr/local/

(2)修改harbor安装的配置文件
cd /usr/local/harbor
vim /usr/local/harbor/harbor.yml
--5行--修改,设置为Harbor服务器的IP地址或者域名
hostname = 172.16.72.80
--27行--指定管理员的初始密码,默认的用户名/密码是admin/Harbor12345
harbor_admin_password = Harbor12345

(3)启动 Harbor
cd /usr/local/harbor/
在配置好了 harbor.cfg 之后,执行 ./prepare 命令,为 harbor 启动的容器生成一些必要的文件(环境)
再执行命令 ./install.sh 以 pull 镜像并启动容器

3.查看 Harbor 启动镜像

4.创建新项目

(1)浏览器访问

访问http://172.16.72.80 登录 Harbor WEB UI 界面,默认的管理员用户名和密码是 admin/Harbor12345

(2)新建项目

输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮

(3)填写项目名称

项目名称为“test”,点击“确定”按钮,创建新项目

(4)登录和推送镜像

此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下,Registry 服务器在端口 80 上侦听。

//登录 Harbor
docker login -u admin -p Harbor12345 http://127.0.0.1//下载镜像进行测试
docker pull nginx//将镜像打标签
格式:docker tag 镜像:标签  仓库IP/项目名称/镜像名:标签
docker tag nginx:latest 127.0.0.1/test/nginx:v1//上传镜像到 Harbor
docker push 127.0.0.1/test/nginx:v1

(5)在 Harbor 界面查看

在 Harbor 界面 myproject-kgc 目录下可看见此镜像及相关信息

5.在其他客户端上传镜像

       以上操作都是在 Harbor 服务器本地操作。如果其他客户端登录到 Harbor,就会报如下错误。出现这问题的原因为Docker Registry 交互默认使用的是 HTTPS,但是搭建私有镜像默认使用的是 HTTP 服务,所以与私有镜像交互时出现以下错误。

docker login -u admin -p Harbor12345 http://172.16.72.80
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get "https://172.16.72.80/v2/": dial tcp 172.16.72.80:443: connect: connection refused

(1)在Docker客户端配置操作
修改服务端配置文件
vim /etc/docker/daemon.json"insecure-registries": ["172.16.72.80"],   #添加此项或者
vim /usr/lib/systemd/system/docker.service
--insecure-registry 172.16.72.80           #在第13行添加Harbor服务器地址

(2)重启并登录
//重启 Docker,再次登录
systemctl daemon-reload
systemctl restart docker//再次登录 Harbor
docker login -u admin -p Harbor12345 http://172.16.72.80
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Login Succeeded
//将自动保存凭据到/root/.docker/config.json,下次登录时可直接使用凭据登录 Harbor

(3)测试
//下载镜像进行测试
docker pull 172.16.72.80/test/nginx:v1//上传镜像进行测试
docker pull cirros
docker tag cirros:latest 172.16.72.80/test/cirros:v2
docker push 172.16.72.80/test/cirros:v2

(4)登录Harbor查看

(三)维护管理Harbor

1.通过HarborWeb创建项目

在 Harbor 仓库中,任何镜像在被 push 到 regsitry 之前都必须有一个自己所属的项目。
单击“+项目”,填写项目名称,项目级别若设置为"私有",则不勾选。如果设置为公共仓库,则所有人对此项目下的镜像拥有读权限,命令行中不需要执行"Docker login"即可下载镜像,镜像操作与 Docker Hub 一致。

2.创建Harbor用户

(1)创建用户并分配权限
#创建用户并分配权限
在 Web 管理界面中单击系统管理 -> 用户管理 -> +用户,
填写用户名为“test”,邮箱为“test@test.com”,全名为“test”,密码为“Harbor123”,注释为“管理员”(可省略)。
附:用户创建成功后,单击左侧“...”按钮可将上述创建的用户设置为管理员角色或进行删除操作,本例不作任何设置。角色				权限说明
访客				对于指定项目拥有只读权限
开发人员			 对于指定项目拥有读写权限,但没用删除权限
维护人员			 对于指定项目拥有读写权限,也能对修改其它配置,比如创建 Webhooks
项目管理员		除了读写权限,同时拥有用户管理/镜像扫描等管理权限

(2)添加项目成员
#添加项目成员
单击项目 -> test> 成员 -> + 成员,填写上述创建的用户 test 并分配角色为“开发人员”。
附:此时单击左侧“...”按钮仍然可对成员角色进行变更或者删除操作

(3)在客户端上使用普通账户操作镜像
#在客户端上使用普通账户操作镜像
//删除上述打标签的本地镜像
docker rmi 172.16.72.80/test/cirros:v2//先退出当前用户,然后使用上述创建的账户 test登录
docker logout 172.16.72.80docker login 172.16.72.80
或
docker login -u test -p Harbor123 http://172.16.72.80//下载和上传镜像进行测试
docker pull 172.16.72.80/test/cirros:v2docker tag cirros:latest 172.16.72.80/test/cirros:v3
docker push 172.16.72.80/test/cirros:v3

(4)访问web网页查看

3.可通过日志查看

4.修改 Harbor.cfg 配置文件

要更改 Harbor的配置文件中的可选参数时,请先停止现有的 Harbor实例并更新 Harbor.cfg;然后运行 prepare 脚本来填充配置; 最后重新创建并启动 Harbor 的实例。使用 docker-compose 管理 Harbor 时,必须在与 docker-compose.yml 相同的目录中运行。
cd /usr/local/harbor
docker-compose down -vvim harbor.cfg			#只能修改可选参数./preparedocker-compose up -d
//如果有以下报错,需要开启防火墙 firewalld 服务解决
Creating network "harbor_harbor" with the default driver
ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule:  (iptables failed: iptables --wait -t nat -I DOCKER -i br-b53c314f45e8 -j RETURN: iptables: No chain/target/match by that name.(exit status 1))systemctl restart firewalld.service
docker-compose up -d

5.移除 Harbor 服务容器同时保留镜像数据/数据库,并进行迁移

//在Harbor服务器上操作
(1)移除 Harbor 服务容器
cd /usr/local/harbor
docker-compose down -v(2)把项目中的镜像数据进行打包
//持久数据,如镜像,数据库等在宿主机的/data/目录下,日志在宿主机的/var/log/Harbor/目录下
ls /data/registry/docker/registry/v2/repositories/myproject-kgc
cd /data/registry/docker/registry/v2/repositories/myproject-kgc
tar zcvf kgc-registry.tar.gz ./*重新部署
cd /usr/local/harbor
docker-compose down -v
rm -r /data/database
rm -r /data/registry

(四)docker容器的重启策略

docker run --restart no|always|on-failure|unless-stopped  .....no:不管容器是正常退出还是异常退出,总是不重启容器。默认策略
always:不管容器是正常退出还是异常退出,总是重启容器。
on-failure:只在容器异常退出时重启容器。on-failure:N 表示容器异常退出时重启容器最多N次
unless-stopped:总是重启容器,但不考虑docker服务端进程启动时就已经处于退出状态的容器

(五)docker的daemon.json 配置文件里面有哪些可以设置

配置项中可以配置
{"graph": "/data/docker",     #数据目录,此行可不加"storage-driver": "overlay2",     #存储引擎,此行可不加"insecure-registries": ["registry.access.redhat.com","quary.io"],  #私有仓库"registry-mirrors": ["https://q"],      #镜像加速,必加项"bip": "172.7.5.1/24",     #docker网络,必加项,当然可以把子网掩码可以改小一点,这么有更多的可分配的主机"exec-opts": ["native.cgroupdriver=systemd"],     #启动时候的额外参数(驱动),结合K8S使用"live-restore": true      #当docker容器引擎挂掉的时候,使用docker跑起来的容器还能运行(分离)	,必加项
}
以上是建议的配置项

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/661489.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

网络协议 UDP协议

网络协议 UDP协议 在之前的文章中有对UDP协议套接字的使用进行讲解,本文主要对UDP协议进行一些理论补充。 文章目录 网络协议 UDP协议1. 概念2. UDP协议格式2.1 数据报长度2.2 校验和/检验和2.2.1 CRC校验2.2.2 MD5算法 1. 概念 UDP,即User Datagram P…

gitlab操作手册

git操作篇 1. 项目克隆 git clone gitgitlab.test.cn:pro/project1.git2. 项目的提交 注:如果要查看文件的状态可以用git status命令: 如上图所示,文件已经修改了。 3. 项目的推送 git push origin feature/test01注:如果要查…

nodejs+vue+ElementUi宠物领养救助网站0w6wc

宠物领养救助平台采用B/S架构,数据库是MySQL。网站的搭建与开发采用了先进的nodejs进行编写,使用了vue框架。该系统从两个对象:由管理员和用户来对系统进行设计构建。主要功能包括:个人信息修改,对用户、宠物类别、宠物…

深信服技术认证“SCSA-S”划重点:安全事件管理处置

为帮助大家更加系统化地学习网络安全知识,以及更高效地通过深信服安全服务认证工程师考核,深信服特别推出“SCSA-S认证备考秘笈”共十期内容,“考试重点”内容框架,帮助大家快速get重点知识~ 划重点来啦 *点击图片放大展示 深信…

MySQL-运维-主从复制

一、概述 二、原理 三、搭建 1、服务器准备 2、主库配置 (1)、修改配置文件/etc/my.cnf (2)、重启MySQL服务器 (3)、登录mysql,创建远程链接的账号,并授予主从复制权限 &#xff0…

shell脚本-免交互

一、Here Document免交互: 1.交互概述: 交互:当计算机播放某多媒体程序的时候,编程人员可以发出指令控制该程序的运行,而不是程序单方面执行下去,程序在接受到编程人员相应的指令后而相应地做出反应。 对于…

铁轨语义分割(Unet结合resnet系列)

数据介绍 一类是图片,一类是图像标签。 引入库,处理数据 import torch.nn as nn import torch import torch.nn.functional as F import os from PIL import Image import torch from torch.utils.data import Dataset import torchvision.transfor…

Unity SRP 管线【第七讲:URP LOD实现以及Reflections反射探针】

目录 一、URP LOD 组件1、LOD Group的使用2、LOD切换原理Cross Fade(淡入淡出)模式Animated Cross-Fading如果未设置Clip,并且Fade Transition Width不为0LOD物体烘培 SpeedTree 模式 二、反射探针1. 获取反射探针数据2. 环境光照明 IBL3. 反射探针(Refl…

部署前后端分离项目详细教程

部署前后端分离项目详细教程 1、准备工作 首先你需要一台服务器,然后在服务器上安装好你所需要的环境,我这里用的宝塔界面来安装环境。 如果有人不知道怎么安装宝塔界面,可参考这篇文章,如果不知道怎么买服务器,可以参…

菜鸡后端的前端学习记录-2

前言 记录一下看视频学习前端的的一些笔记,以前对Html、Js、CSS有一定的基础(都认得,没用过),现在不想从头再来了,学学Vue框架,不定时更新,指不定什么时候就鸽了。。。。 忘了记一下…

前端工程化基础(四):Git代码版本控制工具详解

Git版本控制工具详解 认识版本控制(版本控制) 是维护 工程蓝图的标准做法,能追踪工程蓝图从诞生一直到定案的过程版本控制也是 一种软件工程技巧,借此能在软件开发的过程中,确保不同的人所编辑的同一程序都能得到同步…

tcp/ip模型中,帧是第几层的数据单元?

在网络通信的世界中,TCP/IP模型以其高效和可靠性而著称。这个模型是现代互联网通信的基石,它定义了数据在网络中如何被传输和接收。其中,一个核心的概念是数据单元的层级,特别是“帧”在这个模型中的位置。今天,我们就…

有趣的css - 简约的动态关注按钮

页面效果 此效果主要使用 css 伪选择器配合 css content 属性,以及 transition(过渡)属性来实现一个简约的动态按钮效果。 此效果可适用于关注按钮、详情按钮等,增强用户交互体验。 核心代码部分,简要说明了写法思路,看 css 部分的…

一文详解docker swarm

文章目录 1、简介1.1、涉及到哪些概念?1.2、需要注意什么? 2、集群管理2.1、创建集群2.2、将节点加入集群2.3、查看集群状态。2.4、将节点从集群中移除2.5、更新集群2.6、锁定/解锁集群 3、节点管理4、服务部署4.1、准备4.2、服务管理4.2.1、常用命令4.2…

[C++]继承(续)

一、基类和派生类对象赋值转换 在public继承时,父类和子类是一个“is - a”的关系。 子类对象赋值给父类对象/父类指针/父类引用,我们认为是天然的,中间不产生临时对象,也叫作父子类赋值兼容规则(切割/切片&#xff…

idea查看日志的辅助插件 --- Grep Console (高亮、取消高亮)

🚀 分享一款很有用的插件:Grep Console 🚀 我们在查看日志的时候可能会有遗漏,使用这款插件可以让特定的关键词高亮,可以达到不遗漏的效果! 如果你是一个开发者或者对日志文件分析感兴趣,不要…

记录一次使用ant design 中 ConfigProvider来修改样式导致样式改变的问题(Tabs嵌套Tabs)

一 说明 继之前的一篇文章:antd5 Tabs 标签头的文本颜色和背景颜色修改 后,发现在被修改后的Tab中继续嵌套Tabs组件,这个新的Tabs组件样式跟外层Tabs样式也是一致的,如下图所示: 二 原因 在修改外层tabs样式时&…

又涨又跌 近期现货黄金价格波动怎么看?

踏入2024年一月的下旬,现货黄金价格可以说没了之前火热的状态,盘面上是又涨又跌。面对这样的行情,很多投资者不知道如何看了。下面我们就来讨论一下怎么把握近期的行情。 先区分走势类型。在现货黄金市场中有两种主要的走势类型,一…

【SpringCloud】使用OpenFeign进行微服务化改造

目录 一、需求与背景二、OpenFeign 远程调用技术原理三、项目代码演示3.1 引入依赖3.2 实现OpenFeign注解修饰接口3.3 指定 OpenFeign 远程调用接口的扫描路径 四、OpenFeign 在日志中打印Request和Response五、OpenFeign 客户端超时配置六、使用 OpenFeign 实现服务降级6.1 实…

《区块链简易速速上手小册》第10章:区块链的未来与趋势(2024 最新版)

文章目录 10.1 区块链的未来展望10.1.1 基础知识10.1.2 主要案例:区块链在金融领域的发展10.1.3 拓展案例 1:区块链在供应链管理中的应用10.1.4 拓展案例 2:区块链在身份管理和隐私保护中的应用 10.2 新兴技术与区块链的融合10.2.1 基础知识1…