使用harbor搭建docker私有镜像仓库

harbor为构建docker私有镜像仓库的开源方案，提供了Web UI管理界面，可进行用户权限管理、用户操作审计等功能。

harbor部署成功后的管理界面如下所示：

可以看到harbor提供的功能相当齐全。下面就把harbor部署过程做一记录。

本次部署是基于以下环境构建：

使用机器为Vmware Workstations创建虚拟机 

系统版本：centOS7.7

docker版本：19.03.10

下面进入hardor部署：

一、安装docker-compose：

服务器有网络安装方式：

docker-compose是docker用来管理容器的一个工具，harbor的运行基于docker-compose。

安装docker-compose:

curl -L https://github.com/docker/compose/releases/download/1.23.2/docker-compose-$(uname -s)-$(uname -m) -o /usr/local/bin/docker-compose

如果github安装太慢，可使用下面的高速地址安装：

curl -L https://get.daocloud.io/docker/compose/releases/download/1.23.2/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose

服务器无网络时安装方式：

先下载好（下载地址：https://github.com/docker/compose/releases/）后，上传至服务器centos的/usr/local/bin目录下

不管使用哪种方式下载，上传到指定目录后都需要对文件进行赋权：chmod +x /usr/local/bin/docker-compose

二、安装harbor

1.下载并解压

　下载安装包：官网地址：https://github.com/vmware/harbor/releases/

　下载速度慢可用这个地址：http://harbor.orientsoft.cn/

　上传后解压：

tar -xzvf harbor-offline-installer-v2.0.0.tgz

2.使用OpenSSL配置harbor所需认证。

    harbor推送拉去镜像默认是使用https。所以需要配置https认证。https认证一般有两种方式，一种是自签，另一种是向官方申请https证书。

    OpenSSL提供的CA（证书管理中心）可实现证书签发的整个流程。下面将记录设置https自签步骤。

（1）生成密钥和自签证书。

openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt

其中x509代表生成自签名证书，newkey表示自动生成秘钥。执行命令后如下：

其中的其他信息随意，Common Name信息填写的就是harbor管理页面的域名。

（2）证书签名请求

openssl req -newkey rsa:4096 -nodes -sha256 -keyout harbor.dockerregistry.com.key -out harbor.dockerregistry.com.csr

(3)生成服务器证书

openssl x509 -req -days 365 -in harbor.dockerregistry.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out harbor.dockerregistry.com.crt

执行完后在本目录分别生成以ca和harbor.dockerregistry.com为名的.crt   .key 和.srl文件。

将服务器证书即harbor.dockerregistry.com.crt和harbor.dockerregistry.com.key拷贝保存在/etc/harborcert目录下：

cp harbor.dockerregistry.com.crt harbor.dockerregistry.com.key /etc/harborcert/

3.修改harbor配置文件

 从模板harbor.yml.tmpl拷贝一份文件命名harbor.yml,修改配置harbor.yml文件如下：

4.运行install.sh文件安装harbor

5.安装完成后，hosts文件中追加一下行，将ip和域名对应：

  192.168.230.132    harbor.dockerregistry.com

6.浏览器输入harbor域名，进入登录页面：https://harbor.dockerregistry.com/

   默认用户名：admin   密码：Harbor12345

harbor基本部署完成。下面我们使用docker登录harbor，并推送镜像至harbor中。

7.客户端证书保存。在/etc/docker/certs.d/新建以harbor域名为命的文件夹。如下：

mkdir -p /etc/docker/certs.d/harbor.dockerregistry.com

　　拷贝客户端证书至该目录下：

cp ca.crt /etc/docker/certs.d/harbor.dockerregistry.com

在/etc/docker目录下编辑daemon.json文件,没有的话新建该文件： 

vi /etc/docker/daemon.json

内容如下：

{
"exec-opts": ["native.cgroupdriver=systemd"],
"log-driver": "json-file",
"log-opts": {
"max-size": "100m"
},"insecure-registries":[
    "harbor.dockerregistry.com"
  ]
}

其中"insecure-registries"字段对应的值就是harbor的域名。

8.使用docker登录harbor。docker login harbor.dockerregistry.com。输入用户名和密码。如下图：

 9.推送镜像到harbor上。

harbor搭建完成后会有一个默认的项目library。我们将镜像推送至该项目即可。

首先使用tag标记镜像，如下：

docker tag registry:latest harbor.dockerregistry.com/library/registry:latest

推送镜像到harbor：

docker push harbor.dockerregistry.com/library/registry:latest

上传成功。具体如下图所示：

10.检查推送镜像。

在harbor网页管理页面中查看项目library的镜像仓库可以看到刚刚推送的镜像。如下图：

harbor第一次启动是安装完成后自启动的，后面若因为一些原因导致服务停止，可使用docker-compose启动harbor，命令如下：

docker-compose up -d

至此harbor私有镜像仓库搭建完成。