推广

【Harbor学习笔记】-教你快速搭建Docker私有仓库

iseeyu2年前 (2024-02-22)推广206

image

Harbor依赖的外部组件

  • -> Nginx(即Proxy代理层): Nginx前端代理,主要用于分发前端页面ui访和镜像上传和下载流量; Harbor的registry,UI,token等服务,通过一个前置的反向代理统一接收浏览器、Docker客户端的请求,并将请求转发给后端不同的服务。

  • -> Registry v2: 镜像仓库,负责存储镜像文件; Docker官方镜像仓库, 负责储存Docker镜像,并处理docker push/pull命令。由于我们要对用户进行访问控制,即不同用户对Docker image有不同的读写权限,Registry会指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token进行解密验证。

  • -> Database(MySQL或Postgresql):为core services提供数据库服务,负责储存用户权限、审计日志、Docker image分组信息等数据。

Harbor自有组件

  • -> Core services(Admin Server): 这是Harbor的核心功能,主要提供以下服务:
    • -> UI:提供图形化界面,帮助用户管理registry上的镜像(image), 并对用户进行授权。
    • -> webhook:为了及时获取registry 上image状态变化的情况, 在Registry上配置webhook,把状态变化传递给UI模块。
    • -> Auth服务:负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向Registry进行请求。
    • -> API: 提供Harbor RESTful API
  • -> Replication Job Service:提供多个 Harbor 实例之间的镜像同步功能。
  • -> Log collector:为了帮助监控Harbor运行,负责收集其他组件的log,供日后进行分析。

核心组件

  • Proxy:一个nginx的前端代理,代理Harbor的registry,UI, token等服务。-通过深蓝色先标识

  • db:负责储存用户权限、审计日志、Dockerimage分组信息等数据。

  • UI:提供图形化界面,帮助用户管理registry上的镜像, 并对用户进行授权。

  • jobsevice:jobsevice是负责镜像复制工作的,他和registry通信,从一个registry pull镜像然后push到另一个registry,并记录job_log。通过紫色线标识

  • Adminserver:是系统的配置管理中心附带检查存储用量,ui和jobserver启动时候回需要加载adminserver的配置。通过灰色线标识;

  • Registry:镜像仓库,负责存储镜像文件。当镜像上传完毕后通过hook通知ui创建repository,上图通过红色线标识,当然registry的token认证也是通过ui组件完成。通过红色线标识

  • Log:为了帮助监控Harbor运行,负责收集其他组件的log,供日后进行分析。过docker的log-driver把日志汇总到一起,通过浅蓝色线条标识

    image

安装

1. 下载离线安装包

  • Harbor以容器的形式进行部署, 因此可以被部署到任何支持Docker的Linux发行版, 要使用Harbor,需要安装docker和docker-compose编排工具

  • 访问harbor release page,下载Harbor软件tgz压缩包

  • 或执行如下命令 wget https://storage.googleapis.com/harbor-releases/release-2.0.0/harbor-offline-installer-latest.tgz

  • 解压tgz压缩包

    tar xvf harbor-offline-installer-<version>.tgz

2. 配置 harbor.cfg (harbor.yml)

注: 新版本是.yaml文件,之前版本是.conf 或者 .cfg文件

  • 解压后文件在当前目录下的harbor/目录下

    cd harbor/
    vim harbor.cfg
    harbor_admin_password = Harbor12345
    

3. 启动 Harbor

  • 配置完后,执行安装脚本 ./install.sh

    #会拉取好几个镜像下来,及检查环境
    Note: docker version: 1.12.5
    Note: docker-compose version: 1.9.0
    
    [Step 0]: checking installation environment ...
    ....
    [Step 1]: loading Harbor images ...
    ....
    [Step 2]: preparing environment ...
    ....
    [Step 3]: checking existing instance of Harbor ...
    ....
    [Step 4]: starting Harbor ...
     ----Harbor has been installed and started successfully.----
    ...
    For more details, please visit https://github.com/vmware/harbor .
    

    安装完成后,会发现解压目录harbor下面多了一个docker-compose.yml文件,里面包含了harbor依赖的镜像和对应容器创建的信息

  • 执行 docker-compose ps (执行docker-compose需在包含docker-compose.yml的目录) , 确保 container 的状态都是up (healthy).

  • 如果安装一切顺利,通过之前在harbor.cfg配置的hostname即可以访问到前端了.

安装配置问题

Harbor安装 之后,需要用docker-compose ps 命令去查看状态,保证所有docker 容器都是 healthy, 否则 很可能login harbor 失败

image

如果那个service 启动不正常,就去查看/var/log/harbor/ 下对应的log

owen@swarm-node-107:/disk/harbor_v2.0.0$ ls /var/log/harbor/ -lht
总用量 22M
-rw-r--r-- 1 10000 10000 3.5M 12月 15 23:03 registryctl.log
-rw-r--r-- 1 10000 10000 5.4M 12月 15 23:02 core.log
-rw-r--r-- 1 10000 10000 4.4M 12月 15 23:02 portal.log
-rw-r--r-- 1 10000 10000 4.9M 12月 15 23:02 registry.log
-rw-r--r-- 1 10000 10000 1.2M 12月 15 23:02 proxy.log
-rw-r--r-- 1 10000 10000 392K 12月 15 23:00 redis.log
-rw-r--r-- 1 10000 10000 1.6M 12月 15 23:00 jobservice.log
-rw-r--r-- 1 10000 10000  53K 12月 14 21:42 postgresql.log
-rw-r--r-- 1 10000 10000  65K 7月   7 23:35 clair.log
-rw-r--r-- 1 10000 10000 1.2K 7月   5 11:43 clair-adapter.log
-rw-r--r-- 1 10000 10000 1.4K 7月   5 11:38 chartmuseum.log

修改harbor的运行配置,需要如下步骤:

# 停止 harbor
 docker-compose down -v
# 修改配置
 vim harbor.cfg
# 执行./prepare已更新配置到docker-compose.yml文件
 ./prepare
# 启动 harbor
 docker-compose up -d

问题-1 服务启动异常

ubuntu@172-20-16-51:/opt/harbor$ docker login 192.20.16.51
Username: admin
Password:
Error response from daemon: login attempt to http://192.20.16.51/v2/ failed with status: 502 Bad Gateway

Harbor-db service 不能正常启动,最后查看postgresql.log 发现下面 message.

 | initdb: directory "/var/lib/postgresql/data" exists but is not empty
 | If you want to create a new database system, either remove or empty
 | the directory "/var/lib/postgresql/data" or run initdb
 | with an argument other than "/var/lib/postgresql/data".

因为当时/data/datebase 目录下,确实不是empty, 手动改了docker-compose.yml ,然后 docker-compose up -d 重新启动容器,服务正常

  postgresql:
    image: goharbor/harbor-db:v2.0.0
    container_name: harbor-db
    restart: always
    cap_drop:
      - ALL
    cap_add:
      - CHOWN
      - DAC_OVERRIDE
      - SETGID
      - SETUID
    volumes:
      - /data/database:/var/lib/postgresql/data:z

问题-2- dial tcp xxx.xxx.xxx.xxx:443: connect: connection refused

# docker login 192.20.16.51:80
Username: admin
Password:
Error response from daemon: Get https://192.20.16.51:80/v2/: http: server gave HTTP response to HTTPS client
或者
Error response from daemon: Get https://192.168.31.107/v2/: dial tcp 192.168.31.107:443: connect: connection refused

docker1.3.2版本开始默认docker registry使用的是https,·Harbor默认安装使用的是HTTP协议·,所以当执行用docker login、pull、push等命令操作非https的docker regsitry的时就会报错。

临时解决办法:需要在每一台harbor客户端机器都要设置”insecure-registries” (彻底解决需要启动Harbor HTTPS证书)

  • 如果系统是MacOS,则可以点击“Preference”里面的“Advanced”在“Insecure Registry”里加上hostname (e.g. docker.bksx.com),重启Docker客户端就可以了。

  • 如果系统是Ubuntu,则修改配置文件/lib/systemd/system/docker.service,修改[Service]下ExecStart参数,增加–insecure-registry hostname (e.g. docker.bksx.com)

  • 如果系统是Centos,可以修改配置/etc/sysconfig/docker,将OPTIONS增加 –insecure-registry hostname (e.g. docker.bksx.com)

如果是新版本的docker在/etc/sysconfig/ 没有docker这个配置文件的情况下。

#在daemon.json中添加以下参数
[root@localhost harbor]# cat /etc/docker/daemon.json
{
  "insecure-registries": [
    "hostname"
  ]
}

注意:该文件必须符合 json 规范,否则 Docker 将不能启动。另外hostname 必须与harbor.cfg 里的hostname 一致。

添加完了后重新启动 docker:systemctl daemon-reload && systemctl enable docker && systemctl restart docker

登录后,账号信息都保存到本机的~/.docker/config.json

owen@swarm-manager-105:~/gitee/vnote_notebooks$ docker login 192.168.31.107
Username: admin
Password: 
WARNING! Your password will be stored unencrypted in /home/owen/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
owen@swarm-manager-105:~/gitee/vnote_notebooks$ cat ~/.docker/config.json 
{
    "auths": {
        "192.168.31.107": {
            "auth": "YWRtaW46SGFyYm9yMTIzNDU="
        }
    },
    "HttpHeaders": {
        "User-Agent": "Docker-Client/19.03.14 (linux)"
    }

问题-3 防止容器进程没有权限读取生成的配置

image

扫描二维码推送至手机访问。

版权声明:本文由西安泽虎代运营发布,如需转载请注明出处。

转载请注明出处https://www.0291.com.cn/post/56333.html

相关文章

实时提高关键词质量才能确保网站优化效果。

实时提高关键词质量才能确保网站优化效果。

国外搜索营销关于影响搜索引擎排名因素的报告指出,总排名因素的百分比分布是——域名权威和声誉的24%,页面上外部链的数量和质量的22%,外部链接锚文本的20%,15%的网页关键词使用率,7%的流量和点击率,6%的网络社交关系指标,5%的域名注册和主机数据。 事实上,影响关键词效果的因素...

百度搜索推广账户搭建思路

百度搜索推广账户搭建思路

百度账户搭建思路:第一、关键词的精准度第二、有效设置账户推广地域和时间段第三、关键词匹配模式第四、否定关键词第五、IP排除第六、撰写第七、创意链接着陆页百度账户搭建浅谈优化百度推广账户最主要的目标就是在高流量的基础之上提高访客精准度,在一定的程度上来减少甚至是避免无效点击,...

网络营销案例100例李宁(网络营销案例100例与分析)

网络营销案例100例李宁(网络营销案例100例与分析)

大家好,这里是集中营,今天给大家分享的是成功的案例哪里有消费和销售,哪里就有营销。如今,随着网络营销手段的不断丰富,许多企业都在努力通过优秀的宣传方式赢得消费者的关注和购买。长期以来,无论环境、沟通和营销形式如何变化,总有一种最好的营销策略可以为企业赚很多钱。从以往经典网络...

市场营销专业术语大全 有心得赶快学起来(富媒体广告)

市场营销专业术语大全 有心得赶快学起来(富媒体广告)

当今企业,得市场者得天下! 企业如何才能快速抢占市场占有,实现阶级式跨越?营销首当其冲! 市场营销是在适当的时间、适当的地方以适当的价格、适当的信息沟通和促销手段,向适当的消费者提供市场的产品和服务,其以满足人类各种需要和欲望为目的,通过市场变潜在交换为现实交换的活动。 如果你想做好...

快手账号冷启动技巧!

快手账号冷启动技巧!

想要在快手每天上传的1500万条内容中脱颖而出,并不是一件容易的事。为此,这次我们对话了几位资深快手账号运营者,并结合平台数据和观察,整理出一份快手账号冷启动技巧,供各位参考。 做账号前,你必须了解的快手规则 许多人知道快手,但不了解快手。关于快手,初级运营者必须要知道以下几点: 1...

如何帮助渠道提高团队建设能力

如何帮助渠道提高团队建设能力

(管理的个人浅见,非大家,仅供家居建材类产品销售新人参考。)经销商的团队建设目标简单概括就是招到想招的人,留住想留的人,从而保持一个人数相对稳定且结构合理的团队。我之前接触过的很多经销商都面临着招人难的问题,要么是发了招聘信息没人来面试,要么是面试之后没了音讯,再或者就是入...

现在,非常期待与您的又一次邂逅

我们努力让每一部企业宣传片和抖音短视频成为商业大片