03: 使用docker搭建Harbor私有镜像仓库

1.1 harbor介绍

　　1、Harbor简介

　　　　　　1. Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器。

　　　　　　2. 镜像的存储harbor使用的是官方的docker registry(v2命名是distribution)服务去完成。

　　　　　　3. harbor在docker distribution的基础上增加了一些安全、访问控制、管理的功能以满足企业对于镜像仓库的需求。

　　　　　　4. harbor以docker-compose的规范形式组织各个组件，并通过docker-compose工具进行启停。

　　　　　　5. docker的registry是用本地存储或者s3都是可以的

　　　　　　6. Harbor的镜像拷贝功能是通过docker registry的API去拷贝，这种做法屏蔽了繁琐的底层文件操作

　　2、Harbor架构图

 　　　　　　

　　3、主要组件

　　　　　　

 1.2 Harbor安装

　　1、参考文档及安装步骤梳理

　　　　　　下载v1.4.0版本harbor：https://github.com/goharbor/harbor/releases?after=v1.5.0-rc5

　　　　　　安装参考文档：https://github.com/goharbor/harbor/blob/master/docs/installation_guide.md

　　　　　　配置证书：https://github.com/goharbor/harbor/blob/master/docs/configure_https.md

　　　　　　1、  下载离线安装包

　　　　　　2、  安装docker

　　　　　　3、  安装docker-compose

　　　　　　4、  自签TLS证书

　　　　　　5、  Harbor安装与配置

　　　　　　6、  Docker主机访问Harbor

　　2、安装docker和docker-compose（192.168.56.14）

# 1）安装依赖包
yum install -y yum-utils device-mapper-persistent-data lvm2

# 2）添加Docker软件包源(否则doker安装的不是新版本)
yum-config-manager 
--add-repo 
https://download.docker.com/linux/centos/docker-ce.repo

# 3）安装Docker CE
yum install -y docker-ce

# 4）启动Docker服务并设置开机启动
systemctl start docker
systemctl enable docker

# 5）安装docker compose
curl -L https://github.com/docker/compose/releases/download/1.24.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose --version  # 测试docker-compose是否安装好

 　　2、安装Harbor

'''安装Harbor镜像仓库'''
# 1、下载离线安装包
https://github.com/goharbor/harbor/releases

# 2、解压并配置访问地址'''
cd /home/work
tar zxvf harbor-offline-installer-v1.8.1.tgz
cd /home/work/harbor
vi harbor.yml
'''
hostname = 192.168.56.14
harbor_admin_password = 123456
'''

# 3、准备配置
./prepare

# 4、导入镜像并启动
./install.sh

# 5、查看容器状态
docker-compose ps

安装完成后可以登录Harbor：http://192.168.56.14

 1.3 为Harbor配置Https

　　1、简介　　　　　　

　　　　　　1. 配置ssl证书https://github.com/goharbor/harbor/blob/master/docs/configure_https.md

　　　　　　2. 由于Harbor没有附带任何证书，所以它默认使用HTTP来服务注册表请求,但是，强烈建议为任何生产环境启用安全性。

　　　　　　3. 在测试或开发环境中，您可以选择使用自签名证书，而不是来自受信任的第三方CA的证书。

　　2、获得CA证书颁发机构（CN为域名）

mkdir /home/work/harbor/ssl/  # 创建一个ssl目录用来存放要创建的证书
cd /home/work/harbor/ssl

# 获得CA证书颁发机构（CN为域名,最好为主机名）
openssl genrsa -out ca.key 4096
openssl req -x509 -new -nodes -sha512 -days 3650 
    -subj "/C=TW/ST=Taipei/L=Taipei/O=example/OU=Personal/CN=linux-node4.example.com" 
    -key ca.key 
    -out ca.crt

　　3、获取服务器证书

　　　　　　1. 假设注册表的主机名是linux-node4.example.com，其DNS记录指向运行Harbor的主机。

　　　　　　2. 在生产环境中，您首先应该从CA获得证书,在测试或开发环境中，您可以使用自己的CA。

　　　　　　3. 证书通常包含一个.crt文件和一个.key文件，例如linux-node4.example.com.crt和linux-node4.example.com.key。

# 创建自己的私钥
openssl genrsa -out linux-node4.example.com.key 4096
# 生成部署请求认证
# 如果使用像linux-node4.example.com这样的FQDN连接注册表主机，则必须使用linux-node4.example.com作为CN(通用名称)。
openssl req -sha512 -new 
  -subj "/C=TW/ST=Taipei/L=Taipei/O=example/OU=Personal/CN=linux-node4.example.com" 
  -key linux-node4.example.com.key 
  -out linux-node4.example.com.csr

　　4、为注册的主机生成证书

　　　　　　1. 无论您使用的是像linux-node4.example.com这样的FQDN还是IP来连接注册表主机

　　　　　　2. 都可以运行这个命令来生成符合Subject Alternative Name (SAN)和x509 v3扩展要求的注册表主机证书

# 生成v3.ext文件
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth 
subjectAltName = @alt_names

[alt_names]
DNS.1=linux-node4.example.com
DNS.2=linux-node4.example
DNS.3=example
EOF

# 生成证书
openssl x509 -req -sha512 -days 3650 
-extfile v3.ext 
-CA ca.crt -CAkey ca.key -CAcreateserial 
-in linux-node4.example.com.csr 
-out linux-node4.example.com.crt

　　5、为Harbor配置服务器证书和密钥

# 在获得linux-node4.example.com.crt和linux-node4.example.com.key文件之后，可以将它们放入/data/cert/这样的目录中
mkdir -p /data/cert
cp linux-node4.example.com.crt /data/cert/
cp linux-node4.example.com.key /data/cert/

　　6、为Docker配置服务器证书、密钥和CA

# Docker守护进程将.crt文件解释为CA证书，将.cert文件解释为客户机证书
# 将服务器linux-node4.example.com.crt转换为linux-node4.example.com.cert
openssl x509 -inform PEM -in linux-node4.example.com.crt -out linux-node4.example.com.cert

# 为docker部署 linux-node4.example.com.cert、linux-node4.example.com.key和ca.crt
mkdir -p /etc/docker/certs.d/linux-node4.example.com/
cp linux-node4.example.com.cert /etc/docker/certs.d/linux-node4.example.com/
cp linux-node4.example.com.key /etc/docker/certs.d/linux-node4.example.com/
cp ca.crt /etc/docker/certs.d/linux-node4.example.com/

　　7、配置Harbor

# 编辑文件端口，更新主机名并取消对https块的注释，更新属性证书和private_key
#set hostname
hostname: linux-node4.example.com
harbor_admin_password: 123456

http:
  port: 80

https:
  # https port for harbor, default is 443
  port: 443
  # The path of cert and key files for nginx
  certificate: /data/cert/example.com.crt
  private_key: /data/cert/example.com.key

　　8、为Harbor重新生成配置文件

#1、为Harbor重新生成配置文件
./prepare

#2、如果Harbor已经运行，则停止并删除现有实例，镜像数据仍然保存在文件系统中
docker-compose down -v

#3、重启harbor
docker-compose up -d

#4、此时可以通过浏览器访问https: https://192.168.56.14/harbor/projects

#5、可以在linux-node4.example.com本机上测试docker登录
docker login linux-node4.example.com

　　9、在其他docker机器中配置登录harbor（192.168.56.13）

mkdir -p /etc/docker/certs.d/linux-node4.example.com/
scp -r root@192.168.56.14:/home/work/harbor/ssl/linux-node4.example.com.cert /etc/docker/certs.d/linux-node4.example.com/
scp -r root@192.168.56.14:/home/work/harbor/ssl/linux-node4.example.com.key /etc/docker/certs.d/linux-node4.example.com/
scp -r root@192.168.56.14:/home/work/harbor/ssl/ca.crt /etc/docker/certs.d/linux-node4.example.com/

vi /usr/lib/systemd/system/docker.service  # 添加--insecure-registry 192.168.56.14
'''
ExecStart=/usr/bin/dockerd --insecure-registry 192.168.56.14
'''

 systemctl restart docker.service  # 重启docker

 111111

 

1111111111111111