docker-compose

docker-harbor私有仓库

docker 镜像  容器   仓库

仓库：保存镜像

私有，自定义用户的形式登陆仓库，拉取或者上传镜像。（内部管理的用户）

harbor：是VMware公司开发的，开源的企业级的 docker registry项目。

帮助用户快速的搭建一个企业级别的docker仓库的服务。

支持中文。

harbor的特性：

1、基于角色进行控制，用户和仓库都是基于项目进行的，用户在每个项目中可以拥有不同的权限

2、基于镜像，可以在不同的harbor实例之间进行复制。

3、harbor自带一个数据库，AD/LDAP（类似于数据库当中的表），对已经存在的用户进行认证和管理。

4、镜像的删除和垃圾回收，仓库当中的镜像可以被删除（基于权限控制的），也可以回收镜像占用的空间

5、有图形化界面，用户可以直接通过浏览器来对镜像仓库进行管理。

6、审计管理，所有对镜像仓库的操作，都可以被记录溯源。

7、支持API操作，

API的程序接口，端口：主机和主机之间的通信        API的应用和应用之间的接口。管理员可以基于API调用接口，和更多的其他的程序进行集成。

harbor的组件：

1、proxy：安装完了harbor之后，他会自动生成一个nginx的容器，自动对外映射，80端口，nginx前端代理，在harbor当中

registry，UI，TOKEN，都在nginx的反向代理后面。通过nginx的代理，可以把请求转发到后端不同的应用。

2、registry：负责存储镜像，docker pull/push的命令都由其负责处理。用户进行访问控制，不同的用户对docker的镜像有不同的读写权限。

Registry每次都会指向一个不同的Token，强制用户每次的pull/push，都必须带一个合法的token（公钥对），Registry会通过公钥对，进行解密验证，合法身份才能进行指定操作。

3、CORE SERVICES：Harbor的核心功能：提供3个服务

    1、UI：提供图形化界面。

    2、Webhook：仓库上所有镜像的变化（增删改），都会传输给webhook，以显示在UI界面上

    3、Token：签发每一次push和pull的公钥对，用来和仓库之间进行权限认证。

4、database：harbor-db，为核心core services提供数据库存储服务，用户权限，审计日志  docker镜像的分组和项目信息。

5、job service：主要用于镜像的复制，本地镜像可以同步到远程harbor上

6、log collector（harbor-log）统一日志收集工具。

harbor都是基于docker容器化部署的，由docker-compose一键编排，安装。

docker1：安装仓库        192.168.233.40        docker-ce  har-bor   docker-compose

docker2：客户端            192.168.233.50        docker-ce  har-bor   docker-compose

docker3：安装仓库---实现远程同步  192.168.233.60        docker-ce  har-bor  docker-compose

准备环境

修改主配置文件

vim harbor.yml

修改IP

harbor_admin_passworf:123456

设置管理员的密码

database的password：数据库的密码默认root123

data_volume：harbor默认保存镜像的路径（默认就是/data）

jobservice:（jobservice主要用于远程同步）
max_job_workers: 10

镜像作业的复制线程为10

./prepare #编译环境

ERROR:root:Error: The protocol is https but attribute ssl_cert is not set

报错原因

https：docker-harbor默认的通信协议是https

https：加密通信协议

解决方法：本地用的是http，需要修改配置文件

将https注释掉之后./install执行一下

docker-compose ps查看一下

浏览器访问

用户名admin

密码使用修改后的123456

本地主机上传镜像

先docker pull拉取镜像

docker images查看拉取的镜像

部署（本地）

docker tag  nginx:1.22.0 127.0.0.1/library/nginx:wx

docker tag 标签

library项目名称

上传公开镜像

发现报错

unauthorized: unauthorized to access repository: library/nginx, action: push: unauthorized to access repository: library/nginx, action: push

原因：要先登录，再上传

回到页面刷新一下，进入项目里面就可以看到nginx，再点击进去就可以看见镜像

创建私有仓库

访问级别不点公开就是私有的

配额限制-1表示不设上限

创建完成角色是项目管理员

创建其他用户

用刚创建完的用户来往私有仓库里面上传镜像

基于nginx镜像再创建一个标签

仓库名称变为私有仓库的名称

docker tag nginx:1.22.0 127.0.0.1/test/nginx:wwx1

docker images查看一下

docker push拉取镜像报错

unauthorized: unauthorized to access repository: test/nginx, action: push: unauthorized to access repository: test/nginx, action: push

错误原因：没有权限，他在项目当中没有没有添加任何信息，系统不知道他是谁，这个用户对项目没有任何操作权限

解决方法：在成员里面添加这个用户

创建用户用户的角色

角色:

访客：只能看，只有读权限

开发者：可以有读写权限，但是没有删除权限。

维护人员：读写权限，修改其他配置项的权限。

项目管理员：只对该项目拥有所有权限。

添加成功之后就可以上传了

查看一下镜像仓库

注：只有管理员账户才能进行多种操作，其他用户登陆则没办法进行多种操作

前面只是在本地进行操作，远程操作如下

docker login -u wwx -p Wxiang666 http:/20.0.0.181

WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get "https://http/v2/": dial tcp: lookup http on 218.2.135.1:53: read udp 20.0.0.181:57968->218.2.135.1:53: i/o timeout

报错原因：docker-harbor默认使用http端口，https端口不接受

解决方法：修改docker-server的配置文件

vim /usr/lib/systemd/system/docker.service

修改13行insecure-registry

再登陆即可

拉取完成之后，查看一下

修改一下标签，然后上传到仓库上

进入项目里面查看一下

远程主机上传镜像就完成了

需要注意：远程主机要修改/usr/lib/systemd/system/docker.service文件才行

否则会报错，因为默认使用443端口，http默认是80端口所以上传不上去，没有https

要先登录，登录改标签，改完标签之后上传

如何实现仓库之间进行同步

将docker1的镜像传到docker3里面

镜像在/data/registry/docker/registry/v2/repositories/test/logstash里面

把这个镜像如何传给docker3

首先准备环境

修改配置文件

vim harbor.yml

配置环境

安装

./install

注：如果后面改了配置文件，需要重新./install.sh一下

一样，登录一下

接下来在docker3里面把docker1的镜像拉取到docker3上

拉取要有源仓库，要选择目标

创建目标

测试连接

再回到复制管理，新建规则

不选，默认拉取库里面的所有镜像

开始复制

复制成功

查看一下