Docker私有仓库Harbor

前面学习了Docker及Dockerfile构建镜像，那么构建的镜像放在哪里才能被Docker容器快速获取到呢？我们知道，可以把镜像放入Docker Hub镜像仓库，但是Docker Hub是国外网站，一方面镜像放在Docker Hub不安全，另一方面从Docker Hub下载镜像比较慢，尽管可以配置Docker Hub镜像加速器，但是速度最快只能到10m/s。因此，将镜像放入私有仓库是一种更好的做法。

Harbor概念及证书签发

Harbor是一个企业级的容器镜像仓库，它提供了镜像的存储、管理、分发、安全扫描等一系列功能。企业可以轻松管理和创建自己的私有仓库，可以自定义访问控制、镜像复制和同步等策略，使之安全高效。

Harbor作为优秀的私有镜像仓库，被很多企业和个人使用，Harbor提供了有好的UI界面，我们访问Harbor UI界面时可以通过HTTP和HTTPS的方式访问，一般为了安全性都是HTTPS访问，如何通过HTTPS访问？在实际应用中，我们可以通过购买CA证书，或通过自签发证书来实现HTTPS方式的访问。

自签发证书是相对简单的一种方式，我们通过OpenSSL生成自签发证书

• 创建存放证书的目录

mkdir /data/ssl -p
cd /data/ssl

• 生成CA证书

CA(Certificate Authority)是数字证书的签发机构，我们需要生成一个CA证书来签署服务器证书。

openssl genrsa -out ca.key 3072
openssl req -new -x509 -days 3650 -key ca.key -out ca.pem

这个命令会使用OpenSSL命令工具生成一个长度为3072位的RSA私钥文件ca.key和一个自签名的X.509证书ca.pem，有效期10年。生成过程中，需要按照提示输入证书的相关信息，如国家、省份、城市、单位名等，也可以直接回车默认。

生成服务器证书

该证书用于对客户端的HTTPS请求进行响应。生成服务器证书：

• 创建一个服务器证书的私钥文件server.key

openssl genrsa -out server.key 3072

• 创建一个证书签名请求，(Certificate Signing Request, CSR)文件，server.csr，该文件包含需要在证书中包含的信息：

openssl req -new -key server.key -out server.csr

生成CSR过程中，同样需要填写相关信息。

• 最后，使用之前生成的CA证书ca.pem对服务器证书进行签名，生成最终的服务器证书server.crt:

openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out server.crt

这个命令会使用OpenSSL工具生成一个自签名的X.509数字证书server.crt，有效期10年。生成证书过程中，需要输入CA证书的密码，按照提示输入即可。

完成上述步骤，就可以用HTTPS访问Harbor UI界面了。需要注意的是：在使用自签发证书的情况下，浏览器会显示证书不受信任，需要手动添加证书信任才能正常访问。

安装Harbor

准备harbor

• 创建安装目录

mkdir /data/install -p
cd /data/install

• Harbor离线包harbor-offline-installer-v2.3.0-rc3.tgz上传到/data/ssl目录

• 解压Harbor离线包

tar -zxvf harbor-offline-installer-v2.3.0-rc3.tgz

• 修改Harbor配置文件

cd harbor # 到harbor目录下
cp harbor.yml.tmpl harbor.yml # 拷贝一份文件更名为harbor.yml
vim harbor.yml  # 修改配置

hostname: harbor # 用于访问用户界面和harbor服务。它应该是目标机器的IP地址或域名不要使用localhost或127.0.0.1为主机名，这里和上面签发的服务器证书中的域名一致就行
certificate: /data/ssl/ca.pem # harbor的根证书，只有开启HTTPS才用到
private_key: /data/ssl/ca.key # harbor的私钥，开启HTTPS才用到

Harbor默认的账号和密码：admin/Harbor12345

安装Docker compose

Docker-compose是Docker官方的开源项目，负责实现对Docker容器集群的快速编排。安装Harbor是通过Docker-compose命令实现的，可以通过以下方法安装Docker-compose

docker-compose-Linux-x86_64.64离线文件上传到/data/install目录下，把文件复制到/usr/bin目录下，重命名为docker-compose

mv docker-compose-Linux-x86_64.64 /usr/bin/docker-compose

• 赋予docker-compose执行权限

chmod +x /usr/bin/docker-compose

docker-compose工程配置文件默认为docker-compose.yml文件，docker-compose运行目录下必须有docker-compose.yml文件。docker-compose可以管理多个docker的实例

安装Harbor

• 执行安装脚本

cd /data/install/harbor
./install.sh

会去拉取下载很多镜像，时间可能比较长，耐心等待…

这样就成功了。客户端若想通过域名访问自己的harbor可以在电脑的hosts文件中设置

xxx.xxx.xxx.xxx harbor

• 若要停止并删除由docker-compose命令启动的harbor服务

cd /data/install/harbor # 因为这个目录下有docker-compose.yml文件，所以在这个目录下面运行
docker-compose down

命令会：

• 停止容器
• 删除所有已经停止的容器
• 删除所有与服务相关的网络（除非是external指令定义的外部网络）
• 删除所有与服务关联的匿名和命名卷

需要注意的是：docker-compose down不会删除镜像或构建的缓存

• 启动harbor

cd /data/install/harbor
docker-compose up -d

Harbor界面使用

直接访问harbor私有库的ip地址即可，选择信任继续访问，输入账号密码

页面如下：

其中有一个library的镜像仓库，所有的基础镜像都在这个仓库里面，这是一个公开的镜像仓库。

我们创建一个自己的镜像仓库来使用，也选择公开，公开后其他人命令行访问这个仓库时是不需要进行身份认证的，请留意。

测试使用harbor私有库

要使用Harbor私有镜像仓库，需要docker login登录Harbor，默认是基于HTTPS的，若使用HTTPS，那么还需要配置客户端的证书，若不使用HTTPS而是使用HTTP，可以增加insecure-registries字段，若Docker客户端添加了insecure-registries配置，就不需要在Docker客户端配置对应的证书。

修改Docker配置

• vim编辑daemon.json文件

vim /etc/docker/daemon.json

• daemon.json默认是不存在的，需要自己创建，写入内容如下

{
    "insecure-registries": ["192.168.40.181","harbor"]
}

192.168.40.181:是Harbor机器的ip

harbor是192.168.40.181对应的主机名

• 设置hosts

vim /etc/hosts
# 内容如下
192.168.40.181  harbor

• 重启服务使生效

systemctl daemon-reload && systemctl restart docker

登录Harbor

docker login xxx.xxx.xxx.xx

输入账号密码，默认admin/Harbor12345，出现Login Succeeded，说明登录成功。

测试上传镜像到Harbor私有仓库

• 先去Docker Hub下载Tomcat镜像作为测试镜像。

docker pull tomcat

• 给镜像打标签

docker tag tomcat:latest ip地址或域名/test/tomcat:v1

相当于给镜像起名字，tomcat:latest表明给这个镜像打标签。

ip地址或域名表示指定仓库地址(不写默认是Docker Hub的地址)

/test/tomcat:是这个镜像在harbor中的命名空间和仓库名，v1是版本号。

• push推送到仓库

docker push xxx.xxx.xx.xxx/test/tomcat:v1

推送完毕后如图。

• 从私有库拉取镜像

docker pull xxx.xxx.xxx.xxx/test/tomcat:v1