第11章 镜像中心

Docker Hub 与阿里云都是 Docker 的公网镜像中心，用户可以将自己的镜像 push 到公网镜像中心中自己的镜像仓库，并可将仓库设置为私有库，使他人无法看到，更无法 pull，以保证镜像的安全性。不过，在实际生产中为了保障镜像的安全性，为了避免由于网络带宽或网速等问题而影响到镜像的拉取或推送，公司一般不会使用公网镜像中心，而是在公司内部搭建一个私有镜像中心。

注册发布暂不赘述，官网查看

11.7 harbor镜像中心

11.7.1 Harbor 简介

Harbor 是由 VMware 公司中国团队使用 Go 语言开发的一款 Registry server 开源项目，其是在 Docker Registry 的基础之上进行了二次封装。作为一个企业级私有 Registry 服务器，Harbor 提供了更好的性能与安全，同时也提供了一个非常方便、漂亮的 Web 管理界面。

Harbor 的官网为 https://goharbor.io/ 。Harbor 在 github 上的官网 。

11.7.2 Harbor 安装系统要求

Harbor 要安装的主机需要满足硬件与软件上的要求。

• 硬件要求

  硬件资源	最小要求	推荐要求
  CPU	2CPU	4CPU
  内存	4GB	8GB
  硬盘	40G	160G

• 软件要求

  软件资源	版本要求	作用
  Docker CE引擎	17.06.0 或更高版本	Harbor 是以容器形式在运行，需要Docker 引擎
  Docker Compose	1.18.0 或更高版本	Harbor 是 10 个容器在运行，通过 Docker ompose 编排
  OpenSSL	最新版	生成数字证书，以支持 HTTPS

11.7.3 安装 Harbor

• 下载安装包

  在官网复制 Latest 最新版的离线安装包的下载链接地址，在 Linux 系统中通过 wget 命令下载，将其下载到某目录中。

  wget https://github.com/goharbor/harbor/releases/download/v2.6.2/harbor-offline-installer-v2.6.2.tgz
  

  

• 解压安装包

  将下载好的包解压到某目录中。解压后其就是一个独立的目录 harbor

  tar -zxvf harbor-offline-installer-v2.6.2.tgz -C /opt/apps
  

  

• 修改 harbor.yml

  复制一份 harbor 解压包中的 harbor.yml.tmpl，并重命名为 harbor.yml。修改 harbor.yml 配置文件。共修改三处：

  • 将 hostname 指定为当前主机的 IP

  • 注释掉所有 https 相关配置

  • 记住（或修改）admin 用户的登录密码

    另外需要注意一点，harbor 默认的端口号为 80，修改为其他不易占用端口8005

  cp harbor.yml.tmpl harbor.yml
  

  

• 运行 install.sh

  运行 harbor 解压目录中的 install.sh 命令，其会自动完成五步的安装过程，并在最终启动很多的容器。这些容器本质上就是通过 docker-compose 进行编排管理的
  

11.7.4 windows 浏览器访问

在浏览器地址栏中输入 http://192.168.138.129:8005 即可看到如下页面，在其中输入用户名admin，密码为 harbor.yml 中设置的密码，即可登录。

11.7.5 Harbor 的启停

由于 Harbor 是由 10 个容器同时运行完成的，且是通过 docker-compose 完成的容器编排。Harbor 安装完成后会在 harbor 解压目录中生成 docker-compose.yml 文件，所以 Harbor的启停命令，都是由 docker-compose 完成的，且需要在 harbor 的解压目录中完成

• Harbor 停止

  docker-compose stop
  

• Harbor 启动

  docker-compose up -d
  

11.7.6 Docker 客户端操作

registry 私有镜像中心搭建成功了，Docker 客户端就可以对其进行操作了。

• 修改 daemon.json 文件

  默认情况下，为了保证安全，Docker 客户端都采用的是 https 提交各种请求，例如，登录请求、pull 请求、push 请求等。但私有镜像中心不接受 https 请求。所以需要告诉 Docker客户端该镜像中心地址是安全的，这样 Docker 客户端将会自动采用 http 请求方式。而对Docker 客户端的告知方式是，手工修改 Docker 客户端的/etc/docker/daemon.json 文件。在文件中添加如下内容：

  vim /etc/docker/daemon.json
  {"registry-mirrors": ["https://z583cmea.mirror.aliyuncs.com"],"insecure-registries": ["192.168.138.129:8005"]
  }# 重启docker服务
  systemctl restart docker
  

  

• 登录私有镜像中心

  docker login 192.168.138.129
  Username: admin
  Password: 101022
  

  

• 新增test项目

  

  

• 复制并重命名镜像

  通过 docker tag 命令可以对原有镜像进行复制并重命名。

  这个重命名的镜像的<repository>中需要采用<domain-name>/<project-name><software-name>格式。

  当然，如果需要区分用户的话，也可以采用<domain-name>/<project-name>/<username>/<software-name>格式。

  • domain-name => 192.168.138.129:8005
  • project-name => test
  • username => admin
  • busy-box:1.0

  # 复制三个镜像
  docker tag busybox 192.168.138.129:8005/test/admin/busy-box:1.0
  docker tag busybox 192.168.138.129:8005/test/admin/busy-box:1.2
  docker tag busybox 192.168.138.129:8005/test/admin/busy-box:1.3
  

  

• 推送镜像

  docker push 192.168.138.129:8005/test/admin/busy-box:1.0
  docker push 192.168.138.129:8005/test/admin/busy-box:1.2
  docker push 192.168.138.129:8005/test/admin/busy-box:1.3
  

  

• 查看镜像中心

  

  

  

• 拉取镜像文件

  点击拉取命令复制图标即可

  

  docker pull 192.168.138.129:8005/test/admin/busy-box:1.3
  

  

• 登出私有镜像中心

  docker logout 192.168.139.129:8005
  

  

11.9 Harbor 架构与工作原理

11.9.1 Harbor 架构模块

Harbor 整体架构中的组件非常多，下面简单介绍几个非常重要的模块。

• Proxy

  反向代理服务器，由 Nginx 充当。负责接收并转发来自客户端的请求，无论请求是直接来自于浏览器的 HTTP 请求，还是来自于 Docker 客户端的命令。根据不同的请求，Proxy 会将其转发至 Core 或 Registry 模块

• Core

  Harbor 的核心模块，有两个非常重要的子服务模块：

  • Notification Manager：通过 webhook 实现的消息管理模块。当 registry 中镜像发生改变时，会立即通知到 web 页面，即会在 web 页面中显示更新。

  • API Server：Proxy 根据不同的路由规则将请求首先转发到 API Server 的不同接口。但无论哪个处理接口，都强制要求对请求进行权限控制，即都需要请求先根据不同身份从

  • API Server 中的 AUTH 模块中获取到一个有效的 token。AUTH 模块是通过 token service实现的用户认证。

• GC Collector

  负责整个系统中的 GC 管理。

• Chart Museum

  Helm 的仓库。

• Notary

  数据权限控制器。

• Log Collector

  负责 Harbor 中其他模块的日志汇总。

• Job Service

  负责镜像复制。在高可用 Harbor 集群中，通过 Job Service 可以将本地镜像同步到远程Harbor 实例上。

• Distribution

  镜像中心，由 registry 镜像充当，负责存储 Docker 镜像，及处理 docker push/pull 请求。

• k-v storage

  主要是为 Job Service 提供缓存服务的，将 Job 元数据临时性存放在其中。默认由 Redis充当。所以，Redis 在高可用 Harbor 集群中的作用很大

• Local/Remote Storage

  可以将工程元数据、用户数据、角色数据、同步策略以及镜像元数据等存放在本地或远程服务器中的内存块、文件或持久化对象中。不过，一般会使用 SQL Database。

• SQL Database

  用于存放工程元数据、用户数据、角色数据、同步策略以及镜像元数据等。默认采用PostgreSQL 数据库。

11.9.2 Harbor 架构图及工作原理

有关 Harbor 的系统架构描述，Harbor 在 GitHub 的官网中如下地址有直接的描述及架构图，架构图分解的非常细致。

11.9.3 Docker 命令执行流程

• 关于公钥与私钥

  Harbor 搭建完毕后，token service 中就会保存该 harbor 的私钥，registry 中保存该 harbor的公钥。使用私钥加密称为数字签名，使用公钥解密称为签名验证。使用公钥加密称为加密，使用私钥解密稀烂解密。

• docker login 命令

  

• docker push 命令