海同科技欢迎您!
就业
培训
资料
职坐标
IT知识库

系统运维

热门城市 全国站>
    其他省市
      搜索
      快速购买 快速购买  >
      icon 400-636-0069

      热门课程

      IT学院

      职坐标首页 IT知识库 系统运维 Linux
      选择在海同培训: 30 1488 名, 今日申请 67 IT培训咨询 >>
      Linux运维知识之Docker仓库管理
      沉沙 2019-01-08 来源 : 阅读 973 评论 0

      摘要:本篇教程探讨了Linux运维知识之Docker仓库管理,希望阅读本篇文章以后大家有所收获,帮助大家对相关内容的理解更加深入。

      本篇教程探讨了Linux运维知识之Docker仓库管理,希望阅读本篇文章以后大家有所收获,帮助大家对相关内容的理解更加深入。

      Linux运维知识之Docker仓库管理

      <

      一 Docker仓库介绍
      docker 仓库,即 registry,实现了镜像的管理、分发,同时还包括用户的认证。docker registry 仓库是一个无状态的、高可靠的服务器应用程序,用来存储docker镜像。docker.io 为 docker 官方的仓库,默认所有的pull均是从官方仓库拉取镜像。
      仓库又分为公有仓库(DockerHub、dockerpool)和私有仓库。
      二 Docker私有仓库构建
      2.1 私有仓库构建形式
      registry+registry-web:
      registry容器用于提供私有仓库的服务,本实验采用docker-compose构建此容器。
      部署准备:

      节点

       
      IP地址

       
      备注

      docker01

       
      172.24.8.111

       
      Docker仓库

      docker02

       
      172.24.8.112

       
      Docker客户端,用于测试仓库

      Harbor:
      Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中,确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。
      Harbor官方网站://vmware.github.io/harbor/
      Harbor源码地址:https://github.com/vmware/harbor
      部署准备:

      节点

       
      IP地址

       
      备注

      docker01

       
      172.24.8.111

       
      Docker仓库,reg.itzgr.com

      docker02

       
      172.24.8.112

       
      Docker客户端,用于测试仓库

      三 registry构建:无认证部署
      3.1 下载registry

        1 root@docker01:~# wget https://github.com/mkuchin/docker-registry-web/releases/download/v0.1.2/examples.tar.gz
        2 root@docker01:~# tar -zxvf examples.tar.gz
        3 root@docker01:~# mv examples compose_registry

       
      3.2 docker-compose构建

        1 root@docker01:~# mkdir -p /registry/db
        2 root@docker01:~# mkdir -p /registry/images
        3 root@docker01:~# cd compose_registry/auth-disabled/
        4 root@docker01:~/compose_registry/auth-disabled# vi conf/registry/config.yml
        5 version: 0.1
        6 storage:
        7   filesystem:
        8     rootdirectory: /registry    #指定registry工作目录
        9   delete:
       10     enabled: true             #开启删除功能
       11 http:
       12   addr: 0.0.0.0:5000
       13 notifications:
       14   endpoints:
       15     - name: listener
       16       url: //registry-web:8080/api/notification
       17       timeout: 500ms
       18       threshold: 5
       19       backoff: 1s
       20 root@docker01:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml
       21 registry:
       22    url: //registry:5000/v2
       23    name: 172.24.8.111:5000
       24    readonly: false
       25    auth:
       26      enabled: false             #关闭相关认证
       27 root@docker01:~/compose_registry/auth-disabled# vi docker-compose.yml
       28 version: '2'
       29 services:
       30   registry-web:
       31     image: hyper/docker-registry-web:latest
       32     ports:
       33       - 8080:8080
       34     volumes:
       35        - ./conf/registry-web:/conf:ro
       36        - /registry/db:/data            #修改db保存目录
       37     networks:
       38       - registry-net
       39     depends_on:
       40        - registry
       41   registry:
       42     image: registry:2.4.1
       43     ports:
       44       - 5000:5000
       45     volumes:
       46       - /registry/images:/registry           #修改镜像保存路径
       47       - ./conf/registry:/etc/docker/registry:ro
       48     networks:
       49       - registry-net
       50 networks:
       51   registry-net:
       52 #    driver: default

       
      3.3 docker-compose启动容器

        1 root@docker01:~/compose_registry/auth-disabled# docker-compose up -d

      3.4 客户端测试

        1 root@docker02:~# vi /etc/docker/daemon.json
        2 {
        3    "insecure-registries": ["172.24.8.111:5000"]
        4 }
        5 root@docker02:~# docker pull hello-world                                           #pull测试镜像
        6 root@docker02:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy    #修改对应的tag
        7 root@docker02:~# docker push 172.24.8.111:5000/registry/hello-world

       
      浏览器访问//172.24.8.111:8080/
      89_thumb1
      四 registry构建:开启认证部署
      4.1 下载registry
      参考3.1即可。
      4.2 docker-compose构建

        1 root@docker01:~# mkdir -p /registry/db
        2 root@docker01:~# mkdir -p /registry/images
        3 root@docker01:~# cd compose_registry/auth-enabled/
        4 root@docker01:~/compose_registry/auth-enabled# vi conf/registry/config.yml
        5 version: 0.1
        6 storage:
        7   filesystem:
        8     rootdirectory: /registry
        9   delete:
       10     enabled: true     #开启删除功能
       11 http:
       12   addr: 0.0.0.0:5000
       13 auth:
       14   token:
       15     realm: //172.24.8.111:8080/api/auth
       16     service: 172.24.8.111:5000
       17     issuer: test
       18     rootcertbundle: /etc/docker/registry/auth.cert #配置cert路径
       19 log:
       20   level: info
       21 
       22 notifications:
       23   endpoints:
       24     - name: listener
       25       url: //registry-web:8080/api/notification
       26       timeout: 500ms
       27       threshold: 5
       28       backoff: 1s
       29 root@docker01:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml
       30 registry:
       31    url: //registry:5000/v2
       32    name: 172.24.8.111:5000
       33    readonly: false
       34    auth:
       35      enabled: true
       36      key: /conf/auth.key    #指定key的路径
       37      issuer: test
       38 root@docker01:~/compose_registry/auth-disabled# vi docker-compose.yml
       39 version: '2'
       40 services:
       41   registry-web:
       42     image: hyper/docker-registry-web:latest
       43     ports:
       44       - 8080:8080
       45     volumes:
       46        - ./conf/registry-web:/conf:ro
       47        - /registry/db:/data
       48     networks:
       49       - registry-net
       50     depends_on:
       51        - registry
       52   registry:
       53     image: registry:2.4.1
       54     ports:
       55       - 5000:5000
       56     volumes:
       57       - ./conf/registry:/etc/docker/registry:ro
       58       - /registry/images:/registry
       59     networks:
       60       - registry-net
       61 networks:
       62   registry-net:
       63 #    driver: default

       
      4.3 生成自签名证书

        1 root@docker01:~/compose_registry/nginx-auth-enabled# ./generate-keys.sh

      提示:改脚本会自动生成自签名的相关证书至相应目录,同时docker-compose配置文件将证书配置所在路径挂载至对应容器目录。
      4.4 docker-compose启动容器

        1 root@docker01:~/compose_registry/nginx-auth-enabled# docker-compose up -d

      4.5 客户端测试

        1 root@docker02:~# vi /etc/docker/daemon.json
        2 {
        3    "insecure-registries": ["172.24.8.111:5000"]
        4 }
        5 root@docker02:~# docker pull hello-world                                          #pull测试镜像
        6 root@docker02:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy #修改对应的tag

       
      浏览器访问//172.24.8.111:8080/
      90_thumb1
      提示:默认用户admin无读写权限,可在web界面进行授权。
      91_thumb1

        1 root@docker02:~# docker login 172.24.8.111:5000  #输入默认admin/admin登录
        2 root@docker02:~# docker push 172.24.8.111:5000/registry/hello-world

       
      92_thumb1
      提示:更多参考链接:
      https://segmentfault.com/a/1190000012175537
      https://github.com/mkuchin/docker-registry-web,相关docker-compose文件咨询博主。
      五 registry构建:http形式Harbor
      5.1 Harbor介绍
      93_thumb1
      harbor由6大模块级成:
      Proxy: Harbor的registry、UI、token services等组件,都处在一个反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端服务上。
      Registry: 负责存储Docker镜像,以及处理Docker push/pull请求。同时Harbor强制要求对镜像的访问做权限控制, 在每一次push/pull请求时,Registry会强制要求客户端从token service那里获得一个有效的token。
      Core services: Harbor的核心功能,主要包括如下3个服务:

          UI: 作为Registry Webhook, 以图像用户界面的方式辅助用户管理镜像。
          WebHook:是在registry中配置的一种机制,当registry中镜像发生改变时,就可以通知到Harbor的webhook endpoint。Harbor使用webhook来更新日志、初始化同步job等。
          Token service:会根据该用户在一个工程中的角色,为每一次的push/pull请求分配对应的token。假如相应的请求并没有包含token的话,registry会将该请求重定向到token service。

      Database:用于存放工程元数据、用户数据、角色数据、同步策略以及镜像元数据。
      Job services: 主要用于镜像复制,本地镜像可以被同步到远程Harbor实例上。
      Log collector: 负责收集其他模块的日志到一个地方。
      5.2 容器组件介绍
      harbor的每个组件都是以Docker容器的形式构建的,可以使用Docker Compose来进行部署,在使用了kubernetes的环境中,harbor也提供了kubernetes的配置文件。
      harbor共有8个容器组成:

          ui:harbor的核心服务。
          log:运行着rsyslog的容器,进行日志收集。
          mysql:由官方mysql镜像构成的数据库容器。
          nginx:使用Nginx做反向代理。
          registry:官方的Docker registry。
          adminserver:harbor的配置数据管理器。
          jobservice:Harbor的任务管理服务。
          redis:用于存储session。

      5.3 下载harbor安装文件

        1 root@docker01:~# wget https://storage.googleapis.com/harbor-releases/harbor-offline-installer-v1.5.4.tgz
        2 root@docker01:~# tar xvf harbor-offline-installer-v1.5.4.tgz

       
      5.4 编辑harbor.cfg

        1 root@docker01:~# mkdir /data  #harbor默认相关volume挂载目录
        2 root@docker01:~# cd harbor/
        3 root@docker01:~/harbor# vi harbor.cfg
        4 hostname = reg.itzgr.com           # harbor的访问地址

       
      5.5 安装harbor

        1 root@docker01:~/harbor# ./install.sh

      提示:配置相应的hostname,其他保持默认即可,具体更多harbor.cfg参数详见《附007.harbor.cfg配置文件详解》;
      若出现以下报错:Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt
      需要修改prepare文件,将第498行:

        1 empty_subj = "/C=/ST=/L=/O=/CN=/"

      修改如下:

        1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner"

      5.6 确认验证

        1 root@docker01:~# cd harbor
        2 root@docker01:~/harbor# docker-compose ps

       
      host文件中添加如下解析:

        1 172.24.8.111 reg.itzgr.com

      浏览器访问:reg.itzgr.com,并使用默认用户名admin/Harbor12345
      94_thumb1
      六 registry构建:https形式Harbor
      6.1 下载harbor安装文件
      参考5.3。
      6.2 自建证书

        1 root@docker01:~# localdomain=reg.itzgr.com
        2 root@docker01:~# openssl req \
        3     -newkey rsa:4096 -nodes -sha256 -keyout ca.key \
        4     -x509 -days 365 -out ca.crt     #创建CA证书
        5 Country Name (2 letter code) [AU]:CN    #国家
        6 State or Province Name (full name) [Some-State]:ZheJiang         #州或省
        7 Locality Name (eg, city) []:WenZhou            #城市
        8 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor #机构
        9 Organizational Unit Name (eg, section) []:harbor   #组织
       10 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com #访问域名
       11 Email Address []:xhy@itzgr.com     #邮箱
       12 
       13 root@docker01:~# openssl req \
       14     -newkey rsa:4096 -nodes -sha256 -keyout $localdomain.key \
       15     -out $localdomain.csr       #生成证书签名请求
       16 Country Name (2 letter code) [AU]:CN
       17 State or Province Name (full name) [Some-State]:ZheJiang
       18 Locality Name (eg, city) []:WenZhou
       19 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor
       20 Organizational Unit Name (eg, section) []:harbor
       21 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com
       22 Email Address []:xhy@itzgr.com
       23 A challenge password []:x7374521*
       24 An optional company name []:reg.itzgr.com
       25 
       26 root@docker01:~# openssl x509 -req -days 365 -in $localdomain.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out $localdomain.crt
       27 root@docker01:~# mkdir /root/cert/
       28 root@docker01:~# cp $localdomain.crt $localdomain.key /root/cert/

       
      6.2 编辑harbor.cfg

        1 root@docker01:~# cd harbor/
        2 root@docker01:~/harbor# vi harbor.cfg
        3 hostname = reg.itzgr.com
        4 ui_url_protocol = https
        5 ssl_cert = /root/cert/reg.itzgr.com.crt
        6 ssl_cert_key = /root/cert/reg.itzgr.com.key

       
      6.3 安装harbor

        1 root@docker01:~/harbor# ./prepare
        2 root@docker01:~/harbor# ./install.sh

       
      提示:配置相应的hostname,其他保持默认即可,具体更多harbor.cfg参数详见《附007.harbor.cfg配置文件详解》;
      若出现以下报错:Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt
      需要修改prepare文件,将第498行:

        1 empty_subj = "/C=/ST=/L=/O=/CN=/"

      修改如下:

        1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner"

      6.4 确认验证

        1 root@docker01:~# cd harbor
        2 root@docker01:~/harbor# docker-compose ps

       
      host文件中添加如下解析:

        1 172.24.8.111 reg.itzgr.com

      浏览器访问:https://reg.itzgr.com,并使用默认用户名admin/Harbor12345
      95_thumb1
      提示:由于在自建证书,非安全证书,因此浏览器访问可能出现无法访问或告警提示,忽略即可。
      6.5 docker 客户端测试

        1 root@docker02:~# vi /etc/hosts
        2 172.24.8.111 reg.itzgr.com
        3 root@docker02:~# mkdir -p /etc/docker/certs.d/reg.itzgr.com
        4 root@docker01:~# scp ca.crt root@172.24.8.112:/etc/docker/certs.d/reg.itzgr.com/

       
      提示:服务端需要将自建证书的crt文件复制至客户端相应目录(若不存在则创建),也可通过以下方式实现:

        1 root@docker02:~# vi /etc/docker/daemon.json
        2 {
        3    "insecure-registries": ["https://reg.itzgr.com"]
        4 }

       
      若是信任CA机构颁发的证书,相应关闭daemon.json中的配置。

        1 root@docker02:~# docker login reg.itzgr.com  #登录registry
        2 Username: admin
        3 Password:

       
      提示:公开的registry可pull,但push也必须登录,私有的registry必须登录才可pull和push。

        1 root@docker02:~# docker pull hello-world
        2 root@docker02:~# docker tag hello-world:latest reg.itzgr.com/library/hello-world:xhy
        3 root@docker02:~# docker push reg.itzgr.com/library/hello-world:xhy

         

      本文由职坐标整理发布,学习更多的相关知识,请关注职坐标IT知识库!

      自动运维工具 系统运维方案 运维审计系统
      本文由 @沉沙 发布于职坐标。未经许可,禁止转载。
      喜欢 | 0 不喜欢 | 0
      看完这篇文章有何感觉?已经有0人表态,0%的人喜欢 快给朋友分享吧~
      评论(0)
      后参与评论
      加入IT交流圈
      JAVA工程师交流群 +加入
      大数据架构师交流群 +加入
      人工智能Python交流群 +加入
      WEB/H5前端交流群 +加入
      职坐标公众号
      系统运维 直通车
      • 索取资料 索取资料 索取资料
      • 答疑解惑 答疑解惑 答疑解惑
      • 技术交流 技术交流 技术交流
      • 职业测评 职业测评 职业测评
      • 面试技巧 面试技巧 面试技巧
      • 高薪秘笈 高薪秘笈 高薪秘笈
      海同师资推荐 更多>>
      黄骈
      黄骈 联系TA
      认证System Analyst,System Architect
      程光淼
      程光淼 联系TA
      精通C、C++等语言、智能芯片开发
      热门就业培训班 更多>>
      【零基础】人工智能+Python全栈开发课程
      【零基础】人工智能+Python全栈开发课程
      人工智能+Python技术风口浪潮
      【零基础】JavaEE高级开发工程师课程
      【零基础】JavaEE高级开发工程师课程
      0基础入学Java课程
      【零基础】大数据与分布式架构师课程
      【零基础】大数据与分布式架构师课程
      培训大数据分布式架构
      Linux30天热搜词 更多>>
      linux系统运维教程 linux系统运维是什么 linux系统 linux系统运维面试题 linux入门到精通pdf linux系统运维pdf openstack运维指南 linux运维基础知识 linux系统运维实战 linux运维管理平台 linux就该这么学pdf linux运维 linux运维工程师简历 linux运维常用工具 linux系统运维招聘 软件开发与linux运维 linux运维命令 linux运维工程师待遇 linux网络运维 linux系统运维手册

      您输入的评论内容中包含违禁敏感词

      我知道了

      助您圆梦职场 匹配合适岗位
      验证码手机号,获得海同独家IT培训资料
      选择就业方向:
      人工智能物联网
      大数据开发/分析
      人工智能Python
      Java全栈开发
      WEB前端+H5

      请输入正确的手机号码

      请输入正确的验证码

      获取验证码

      您今天的短信下发次数太多了,明天再试试吧!

      提交

      我们会在第一时间安排职业规划师联系您!

      您也可以联系我们的职业规划师咨询:

      小职老师的微信号:z_zhizuobiao
      小职老师的微信号:z_zhizuobiao

      版权所有 职坐标-一站式IT培训就业服务领导者 沪ICP备13042190号-4
      上海海同信息科技有限公司 Copyright ©2015 www.zhizuobiao.com,All Rights Reserved.
       沪公网安备 31011502005948号    

      关于我们 │ 法律声明 │ 联系我们

      ©2015 www.zhizuobiao.com All Rights Reserved

      208小时内训课程
      在线客服