012.Docker倉庫管理

一 Docker倉庫介紹

docker 倉庫，即 registry，實現了鏡像的管理、分發，同時還包括用戶的認證。docker registry 倉庫是一個無狀態的、高可靠的服務器應用程序，用來存儲docker鏡像。docker.io 爲 docker 官方的倉庫，默認全部的pull均是從官方倉庫拉取鏡像。

倉庫又分爲公有倉庫（DockerHub、dockerpool）和私有倉庫。

二 Docker私有倉庫構建

2.1 私有倉庫構建形式

registry+registry-web：

registry容器用於提供私有倉庫的服務，本實驗採用docker-compose構建此容器。

部署準備：

節點	IP地址	備註
docker01	172.24.8.111	Docker倉庫
docker02	172.24.8.112	Docker客戶端，用於測試倉庫

Harbor：

Harbor是一個用於存儲和分發Docker鏡像的企業級Registry服務器，經過添加一些企業必需的功能特性，例如安全、標識和管理等，擴展了開源Docker Distribution。做爲一個企業級私有Registry服務器，Harbor提供了更好的性能和安全。提高用戶使用Registry構建和運行環境傳輸鏡像的效率。Harbor支持安裝在多個Registry節點的鏡像資源複製，鏡像所有保存在私有Registry中，確保數據和知識產權在公司內部網絡中管控。另外，Harbor也提供了高級的安全特性，諸如用戶管理，訪問控制和活動審計等。

Harbor官方網站：http://vmware.github.io/harbor/

Harbor源碼地址：https://github.com/vmware/harbor

部署準備：

節點	IP地址	備註
docker01	172.24.8.111	Docker倉庫，reg.itzgr.com
docker02	172.24.8.112	Docker客戶端，用於測試倉庫

三 registry構建：無認證部署

3.1 下載registry

  1 root@docker01:~# wget https://github.com/mkuchin/docker-registry-web/releases/download/v0.1.2/examples.tar.gz
  2 root@docker01:~# tar -zxvf examples.tar.gz
  3 root@docker01:~# mv examples compose_registry

 

3.2 docker-compose構建

  1 root@docker01:~# mkdir -p /registry/db
  2 root@docker01:~# mkdir -p /registry/images
  3 root@docker01:~# cd compose_registry/auth-disabled/
  4 root@docker01:~/compose_registry/auth-disabled# vi conf/registry/config.yml
  5 version: 0.1
  6 storage:
  7   filesystem:
  8     rootdirectory: /registry				#指定registry工做目錄
  9   delete:
 10     enabled: true					        #開啓刪除功能
 11 http:
 12   addr: 0.0.0.0:5000
 13 notifications:
 14   endpoints:
 15     - name: listener
 16       url: http://registry-web:8080/api/notification
 17       timeout: 500ms
 18       threshold: 5
 19       backoff: 1s
 20 root@docker01:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml
 21 registry:
 22    url: http://registry:5000/v2
 23    name: 172.24.8.111:5000
 24    readonly: false
 25    auth:
 26      enabled: false					        #關閉相關認證
 27 root@docker01:~/compose_registry/auth-disabled# vi docker-compose.yml
 28 version: '2'
 29 services:
 30   registry-web:
 31     image: hyper/docker-registry-web:latest
 32     ports:
 33       - 8080:8080
 34     volumes:
 35        - ./conf/registry-web:/conf:ro
 36        - /registry/db:/data				        #修改db保存目錄
 37     networks:
 38       - registry-net
 39     depends_on:
 40        - registry
 41   registry:
 42     image: registry:2.4.1
 43     ports:
 44       - 5000:5000
 45     volumes:
 46       - /registry/images:/registry			        #修改鏡像保存路徑
 47       - ./conf/registry:/etc/docker/registry:ro
 48     networks:
 49       - registry-net
 50 networks:
 51   registry-net:
 52 #    driver: default

 

3.3 docker-compose啓動容器

  1 root@docker01:~/compose_registry/auth-disabled# docker-compose up -d

3.4 客戶端測試

  1 root@docker02:~# vi /etc/docker/daemon.json
  2 {
  3    "insecure-registries": ["172.24.8.111:5000"]
  4 }
  5 root@docker02:~# docker pull hello-world		                                         #pull測試鏡像
  6 root@docker02:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy    #修改對應的tag
  7 root@docker02:~# docker push 172.24.8.111:5000/registry/hello-world

 

瀏覽器訪問http://172.24.8.111:8080/

四 registry構建：開啓認證部署

4.1 下載registry

參考3.1便可。

4.2 docker-compose構建

  1 root@docker01:~# mkdir -p /registry/db
  2 root@docker01:~# mkdir -p /registry/images
  3 root@docker01:~# cd compose_registry/auth-enabled/
  4 root@docker01:~/compose_registry/auth-enabled# vi conf/registry/config.yml
  5 version: 0.1
  6 storage:
  7   filesystem:
  8     rootdirectory: /registry
  9   delete:
 10     enabled: true					#開啓刪除功能
 11 http:
 12   addr: 0.0.0.0:5000
 13 auth:
 14   token:
 15     realm: http://172.24.8.111:8080/api/auth
 16     service: 172.24.8.111:5000
 17     issuer: test
 18     rootcertbundle: /etc/docker/registry/auth.cert	#配置cert路徑
 19 log:
 20   level: info
 21 
 22 notifications:
 23   endpoints:
 24     - name: listener
 25       url: http://registry-web:8080/api/notification
 26       timeout: 500ms
 27       threshold: 5
 28       backoff: 1s
 29 root@docker01:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml
 30 registry:
 31    url: http://registry:5000/v2
 32    name: 172.24.8.111:5000
 33    readonly: false
 34    auth:
 35      enabled: true
 36      key: /conf/auth.key				#指定key的路徑
 37      issuer: test
 38 root@docker01:~/compose_registry/auth-disabled# vi docker-compose.yml
 39 version: '2'
 40 services:
 41   registry-web:
 42     image: hyper/docker-registry-web:latest
 43     ports:
 44       - 8080:8080
 45     volumes:
 46        - ./conf/registry-web:/conf:ro
 47        - /registry/db:/data
 48     networks:
 49       - registry-net
 50     depends_on:
 51        - registry
 52   registry:
 53     image: registry:2.4.1
 54     ports:
 55       - 5000:5000
 56     volumes:
 57       - ./conf/registry:/etc/docker/registry:ro
 58       - /registry/images:/registry
 59     networks:
 60       - registry-net
 61 networks:
 62   registry-net:
 63 #    driver: default

 

4.3 生成自簽名證書

  1 root@docker01:~/compose_registry/nginx-auth-enabled# ./generate-keys.sh

提示：改腳本會自動生成自簽名的相關證書至相應目錄，同時docker-compose配置文件將證書配置所在路徑掛載至對應容器目錄。

4.4 docker-compose啓動容器

  1 root@docker01:~/compose_registry/nginx-auth-enabled# docker-compose up -d

4.5 客戶端測試

  1 root@docker02:~# vi /etc/docker/daemon.json
  2 {
  3    "insecure-registries": ["172.24.8.111:5000"]
  4 }
  5 root@docker02:~# docker pull hello-world		                                        #pull測試鏡像
  6 root@docker02:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy	#修改對應的tag

 

瀏覽器訪問http://172.24.8.111:8080/

提示：默認用戶admin無讀寫權限，可在web界面進行受權。

  1 root@docker02:~# docker login 172.24.8.111:5000		#輸入默認admin/admin登陸
  2 root@docker02:~# docker push 172.24.8.111:5000/registry/hello-world

 

提示：更多參考連接：

https://segmentfault.com/a/1190000012175537

https://github.com/mkuchin/docker-registry-web，相關docker-compose文件諮詢博主。

五 registry構建：http形式Harbor

5.1 Harbor介紹

harbor由6大模塊級成：

Proxy: Harbor的registry、UI、token services等組件，都處在一個反向代理後邊。該代理未來自瀏覽器、docker clients的請求轉發到後端服務上。

Registry: 負責存儲Docker鏡像，以及處理Docker push/pull請求。同時Harbor強制要求對鏡像的訪問作權限控制， 在每一次push/pull請求時，Registry會強制要求客戶端從token service那裏得到一個有效的token。

Core services: Harbor的核心功能，主要包括以下3個服務:

• UI: 做爲Registry Webhook, 以圖像用戶界面的方式輔助用戶管理鏡像。
• WebHook：是在registry中配置的一種機制，當registry中鏡像發生改變時，就能夠通知到Harbor的webhook endpoint。Harbor使用webhook來更新日誌、初始化同步job等。
• Token service：會根據該用戶在一個工程中的角色，爲每一次的push/pull請求分配對應的token。假如相應的請求並無包含token的話，registry會將該請求重定向到token service。

Database：用於存放工程元數據、用戶數據、角色數據、同步策略以及鏡像元數據。

Job services: 主要用於鏡像複製，本地鏡像能夠被同步到遠程Harbor實例上。

Log collector: 負責收集其餘模塊的日誌到一個地方。

5.2 容器組件介紹

harbor的每一個組件都是以Docker容器的形式構建的，可使用Docker Compose來進行部署，在使用了kubernetes的環境中，harbor也提供了kubernetes的配置文件。

harbor共有8個容器組成：

• ui：harbor的核心服務。
• log：運行着rsyslog的容器，進行日誌收集。
• mysql：由官方mysql鏡像構成的數據庫容器。
• nginx：使用Nginx作反向代理。
• registry：官方的Docker registry。
• adminserver：harbor的配置數據管理器。
• jobservice：Harbor的任務管理服務。
• redis：用於存儲session。

5.3 下載harbor安裝文件

  1 root@docker01:~# wget https://storage.googleapis.com/harbor-releases/harbor-offline-installer-v1.5.4.tgz
  2 root@docker01:~# tar xvf harbor-offline-installer-v1.5.4.tgz

 

5.4 編輯harbor.cfg

  1 root@docker01:~# mkdir /data		#harbor默認相關volume掛載目錄
  2 root@docker01:~# cd harbor/
  3 root@docker01:~/harbor# vi harbor.cfg
  4 hostname = reg.itzgr.com 		        # harbor的訪問地址

 

5.5 安裝harbor

  1 root@docker01:~/harbor# ./install.sh

提示：配置相應的hostname，其餘保持默認便可，具體更多harbor.cfg參數詳見《附007.harbor.cfg配置文件詳解》；

若出現如下報錯：Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt

須要修改prepare文件，將第498行：

  1 empty_subj = "/C=/ST=/L=/O=/CN=/"

修改以下：

  1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner"

5.6 確認驗證

  1 root@docker01:~# cd harbor
  2 root@docker01:~/harbor# docker-compose ps

 

host文件中添加以下解析：

  1 172.24.8.111 reg.itzgr.com

瀏覽器訪問：reg.itzgr.com，並使用默認用戶名admin/Harbor12345

六 registry構建：https形式Harbor

6.1 下載harbor安裝文件

參考5.3。

6.2 自建證書

  1 root@docker01:~# localdomain=reg.itzgr.com
  2 root@docker01:~# openssl req \
  3     -newkey rsa:4096 -nodes -sha256 -keyout ca.key \
  4     -x509 -days 365 -out ca.crt					#建立CA證書
  5 Country Name (2 letter code) [AU]:CN				#國家
  6 State or Province Name (full name) [Some-State]:ZheJiang	        #州或省
  7 Locality Name (eg, city) []:WenZhou				        #城市
  8 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor	#機構
  9 Organizational Unit Name (eg, section) []:harbor			#組織
 10 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com	#訪問域名
 11 Email Address []:xhy@itzgr.com					#郵箱
 12 
 13 root@docker01:~# openssl req \
 14     -newkey rsa:4096 -nodes -sha256 -keyout $localdomain.key \
 15     -out $localdomain.csr 						#生成證書籤名請求
 16 Country Name (2 letter code) [AU]:CN
 17 State or Province Name (full name) [Some-State]:ZheJiang
 18 Locality Name (eg, city) []:WenZhou
 19 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor
 20 Organizational Unit Name (eg, section) []:harbor
 21 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com
 22 Email Address []:xhy@itzgr.com
 23 A challenge password []:x7374521*
 24 An optional company name []:reg.itzgr.com
 25 
 26 root@docker01:~# openssl x509 -req -days 365 -in $localdomain.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out $localdomain.crt
 27 root@docker01:~# mkdir /root/cert/
 28 root@docker01:~# cp $localdomain.crt $localdomain.key /root/cert/

 

6.2 編輯harbor.cfg

  1 root@docker01:~# cd harbor/
  2 root@docker01:~/harbor# vi harbor.cfg
  3 hostname = reg.itzgr.com
  4 ui_url_protocol = https
  5 ssl_cert = /root/cert/reg.itzgr.com.crt
  6 ssl_cert_key = /root/cert/reg.itzgr.com.key

 

6.3 安裝harbor

  1 root@docker01:~/harbor# ./prepare
  2 root@docker01:~/harbor# ./install.sh

 

提示：配置相應的hostname，其餘保持默認便可，具體更多harbor.cfg參數詳見《附007.harbor.cfg配置文件詳解》；

若出現如下報錯：Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt

須要修改prepare文件，將第498行：

  1 empty_subj = "/C=/ST=/L=/O=/CN=/"

修改以下：

  1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner"

6.4 確認驗證

  1 root@docker01:~# cd harbor
  2 root@docker01:~/harbor# docker-compose ps

 

host文件中添加以下解析：

  1 172.24.8.111 reg.itzgr.com

瀏覽器訪問：https://reg.itzgr.com，並使用默認用戶名admin/Harbor12345

提示：因爲在自建證書，非安全證書，所以瀏覽器訪問可能出現沒法訪問或告警提示，忽略便可。

6.5 docker 客戶端測試

  1 root@docker02:~# vi /etc/hosts
  2 172.24.8.111 reg.itzgr.com
  3 root@docker02:~# mkdir -p /etc/docker/certs.d/reg.itzgr.com
  4 root@docker01:~# scp ca.crt root@172.24.8.112:/etc/docker/certs.d/reg.itzgr.com/

 

提示：服務端須要將自建證書的crt文件複製至客戶端相應目錄（若不存在則建立），也可經過如下方式實現：

  1 root@docker02:~# vi /etc/docker/daemon.json
  2 {
  3    "insecure-registries": ["https://reg.itzgr.com"]
  4 }

 

如果信任CA機構頒發的證書，相應關閉daemon.json中的配置。

  1 root@docker02:~# docker login reg.itzgr.com		#登陸registry
  2 Username: admin
  3 Password:

 

提示：公開的registry可pull，但push也必須登陸，私有的registry必須登陸纔可pull和push。

  1 root@docker02:~# docker pull hello-world
  2 root@docker02:~# docker tag hello-world:latest reg.itzgr.com/library/hello-world:xhy
  3 root@docker02:~# docker push reg.itzgr.com/library/hello-world:xhy

 

提示：修改tag必須爲已經存在的項目，而且具有相應的受權。