2. 程式人生 > >011.Docker倉庫管理

011.Docker倉庫管理

阿新 發佈:2018-11-30

一 Docker倉庫介紹

docker 倉庫,即 registry,實現了映象的管理、分發,同時還包括使用者的認證。docker registry 倉庫是一個無狀態的、高可靠的伺服器應用程式,用來儲存docker映象。docker.io 為 docker 官方的倉庫,預設所有的pull均是從官方倉庫拉取映象。 倉庫又分為公有倉庫(DockerHub、dockerpool)和私有倉庫。

二 Docker私有倉庫構建

2.1 私有倉庫構建形式

registry+registry-web: registry容器用於提供私有倉庫的服務,本實驗採用docker-compose構建此容器。
部署準備:
節點 IP地址 備註
docker01 172.24.8.111 Docker倉庫
docker02 172.24.8.112 Docker客戶端,用於測試倉庫
Harbor: Harbor是一個用於儲存和分發Docker映象的企業級Registry伺服器,通過新增一些企業必需的功能特性,例如安全、標識和管理等,擴充套件了開源Docker Distribution。作為一個企業級私有Registry伺服器,Harbor提供了更好的效能和安全。提升使用者使用Registry構建和執行環境傳輸映象的效率。Harbor支援安裝在多個Registry節點的映象資源複製,映象全部儲存在私有Registry中,確保資料和智慧財產權在公司內部網路中管控。另外,Harbor也提供了高階的安全特性,諸如使用者管理,訪問控制和活動審計等。
Harbor官方網站:http://vmware.github.io/harbor/ Harbor原始碼地址:https://github.com/vmware/harbor 部署準備:
節點 IP地址 備註
docker01 172.24.8.111 Docker倉庫,reg.itzgr.com
docker02 172.24.8.112 Docker客戶端,用於測試倉庫

三 registry構建:無認證部署

3.1 下載registry

  1 [email protected]:~# wget https://github.com/mkuchin/docker-registry-web/releases/download/v0.1.2/examples.tar.gz
  2 [email protected]:~# tar -zxvf examples.tar.gz
  3 [email protected]:~# mv examples compose_registry

3.2 docker-compose構建

  1 [email protected]:~# mkdir -p /registry/db
  2 [email protected]:~# mkdir -p /registry/images
  3 [email protected]:~# cd compose_registry/auth-disabled/
  4 [email protected]:~/compose_registry/auth-disabled# vi conf/registry/config.yml
  5 version: 0.1
  6 storage:
  7   filesystem:
  8     rootdirectory: /registry				#指定registry工作目錄
  9   delete:
 10     enabled: true					        #開啟刪除功能
 11 http:
 12   addr: 0.0.0.0:5000
 13 notifications:
 14   endpoints:
 15     - name: listener
 16       url: http://registry-web:8080/api/notification
 17       timeout: 500ms
 18       threshold: 5
 19       backoff: 1s
 20 [email protected]:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml
 21 registry:
 22    url: http://registry:5000/v2
 23    name: 172.24.8.111:5000
 24    readonly: false
 25    auth:
 26      enabled: false					        #關閉相關認證
 27 [email protected]:~/compose_registry/auth-disabled# vi docker-compose.yml
 28 version: '2'
 29 services:
 30   registry-web:
 31     image: hyper/docker-registry-web:latest
 32     ports:
 33       - 8080:8080
 34     volumes:
 35        - ./conf/registry-web:/conf:ro
 36        - /registry/db:/data				        #修改db儲存目錄
 37     networks:
 38       - registry-net
 39     depends_on:
 40        - registry
 41   registry:
 42     image: registry:2.4.1
 43     ports:
 44       - 5000:5000
 45     volumes:
 46       - /registry/images:/registry			        #修改映象儲存路徑
 47       - ./conf/registry:/etc/docker/registry:ro
 48     networks:
 49       - registry-net
 50 networks:
 51   registry-net:
 52 #    driver: default

3.3 docker-compose啟動容器

  1 [email protected]:~/compose_registry/auth-disabled# docker-compose up -d

3.4 客戶端測試

  1 [email protected]:~# vi /etc/docker/daemon.json
  2 {
  3    "insecure-registries": ["172.24.8.111:5000"]
  4 }
  5 [email protected]:~# docker pull hello-world		                                         #pull測試映象
  6 [email protected]:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy    #修改對應的tag
  7 [email protected]:~# docker push 172.24.8.111:5000/registry/hello-world
瀏覽器訪問http://172.24.8.111:8080/ 89

四 registry構建:開啟認證部署

4.1 下載registry

參考3.1即可。

4.2 docker-compose構建

  1 [email protected]:~# mkdir -p /registry/db
  2 [email protected]:~# mkdir -p /registry/images
  3 [email protected]:~# cd compose_registry/auth-enabled/
  4 [email protected]:~/compose_registry/auth-enabled# vi conf/registry/config.yml
  5 version: 0.1
  6 storage:
  7   filesystem:
  8     rootdirectory: /registry
  9   delete:
 10     enabled: true					#開啟刪除功能
 11 http:
 12   addr: 0.0.0.0:5000
 13 auth:
 14   token:
 15     realm: http://172.24.8.111:8080/api/auth
 16     service: 172.24.8.111:5000
 17     issuer: test
 18     rootcertbundle: /etc/docker/registry/auth.cert	#配置cert路徑
 19 log:
 20   level: info
 21 
 22 notifications:
 23   endpoints:
 24     - name: listener
 25       url: http://registry-web:8080/api/notification
 26       timeout: 500ms
 27       threshold: 5
 28       backoff: 1s
 29 [email protected]:~/compose_registry/auth-disabled# vi conf/registry-web/config.yml
 30 registry:
 31    url: http://registry:5000/v2
 32    name: 172.24.8.111:5000
 33    readonly: false
 34    auth:
 35      enabled: true
 36      key: /conf/auth.key				#指定key的路徑
 37      issuer: test
 38 [email protected]:~/compose_registry/auth-disabled# vi docker-compose.yml
 39 version: '2'
 40 services:
 41   registry-web:
 42     image: hyper/docker-registry-web:latest
 43     ports:
 44       - 8080:8080
 45     volumes:
 46        - ./conf/registry-web:/conf:ro
 47        - /registry/db:/data
 48     networks:
 49       - registry-net
 50     depends_on:
 51        - registry
 52   registry:
 53     image: registry:2.4.1
 54     ports:
 55       - 5000:5000
 56     volumes:
 57       - ./conf/registry:/etc/docker/registry:ro
 58       - /registry/images:/registry
 59     networks:
 60       - registry-net
 61 networks:
 62   registry-net:
 63 #    driver: default

4.3 生成自簽名證書

  1 [email protected]:~/compose_registry/nginx-auth-enabled# ./generate-keys.sh
提示:改指令碼會自動生成自簽名的相關證書至相應目錄,同時docker-compose配置檔案將證書配置所在路徑掛載至對應容器目錄。

4.4 docker-compose啟動容器

  1 r[email protected]:~/compose_registry/nginx-auth-enabled# docker-compose up -d

4.5 客戶端測試

  1 [email protected]:~# vi /etc/docker/daemon.json
  2 {
  3    "insecure-registries": ["172.24.8.111:5000"]
  4 }
  5 [email protected]:~# docker pull hello-world		                                        #pull測試映象
  6 [email protected]:~# docker tag hello-world:latest 172.24.8.111:5000/registry/hello-world:xhy	#修改對應的tag
瀏覽器訪問http://172.24.8.111:8080/ 90 提示:預設使用者admin無讀寫許可權,可在web介面進行授權。 91 
  1 [email protected]:~# docker login 172.24.8.111:5000		#輸入預設admin/admin登入
  2 [email protected]:~# docker push 172.24.8.111:5000/registry/hello-world
92 提示:更多參考連結: https://segmentfault.com/a/1190000012175537 https://github.com/mkuchin/docker-registry-web,相關docker-compose檔案諮詢博主。

五 registry構建:http形式Harbor

5.1 Harbor介紹

93 harbor由6大模組級成: Proxy: Harbor的registry、UI、token services等元件,都處在一個反向代理後邊。該代理將來自瀏覽器、docker clients的請求轉發到後端服務上。 Registry: 負責儲存Docker映象,以及處理Docker push/pull請求。同時Harbor強制要求對映象的訪問做許可權控制, 在每一次push/pull請求時,Registry會強制要求客戶端從token service那裡獲得一個有效的token。 Core services: Harbor的核心功能,主要包括如下3個服務:
  • UI: 作為Registry Webhook, 以影象使用者介面的方式輔助使用者管理映象。
  • WebHook:是在registry中配置的一種機制,當registry中映象發生改變時,就可以通知到Harbor的webhook endpoint。Harbor使用webhook來更新日誌、初始化同步job等。
  • Token service:會根據該使用者在一個工程中的角色,為每一次的push/pull請求分配對應的token。假如相應的請求並沒有包含token的話,registry會將該請求重定向到token service。
Database:用於存放工程元資料、使用者資料、角色資料、同步策略以及映象元資料。 Job services: 主要用於映象複製,本地映象可以被同步到遠端Harbor例項上。 Log collector: 負責收集其他模組的日誌到一個地方。

5.2 容器元件介紹

harbor的每個元件都是以Docker容器的形式構建的,可以使用Docker Compose來進行部署,在使用了kubernetes的環境中,harbor也提供了kubernetes的配置檔案。 harbor共有8個容器組成:
  • ui:harbor的核心服務。
  • log:執行著rsyslog的容器,進行日誌收集。
  • mysql:由官方mysql映象構成的資料庫容器。
  • nginx:使用Nginx做反向代理。
  • registry:官方的Docker registry。
  • adminserver:harbor的配置資料管理器。
  • jobservice:Harbor的任務管理服務。
  • redis:用於儲存session。

5.3 下載harbor安裝檔案

  1 [email protected]:~# wget https://storage.googleapis.com/harbor-releases/harbor-offline-installer-v1.5.4.tgz
  2 [email protected]:~# tar xvf harbor-offline-installer-v1.5.4.tgz

5.4 編輯harbor.cfg

  1 [email protected]:~# mkdir /data		#harbor預設相關volume掛載目錄
  2 [email protected]:~# cd harbor/
  3 [email protected]:~/harbor# vi harbor.cfg
  4 hostname = reg.itzgr.com 		        # harbor的訪問地址

5.5 安裝harbor

  1 [email protected]:~/harbor# ./install.sh
提示:配置相應的hostname,其他保持預設即可,具體更多harbor.cfg引數詳見《附007.harbor.cfg配置檔案詳解》; 若出現以下報錯:Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt 需要修改prepare檔案,將第498行: 
  1 empty_subj = "/C=/ST=/L=/O=/CN=/"
修改如下: 
  1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner"

5.6 確認驗證

  1 [email protected]:~# cd harbor
  2 [email protected]:~/harbor# docker-compose ps
host檔案中新增如下解析: 
  1 172.24.8.111 reg.itzgr.com
瀏覽器訪問:reg.itzgr.com,並使用預設使用者名稱admin/Harbor12345 94

六 registry構建:https形式Harbor

6.1 下載harbor安裝檔案

參考5.3。

6.2 自建證書

  1 [email protected]:~# localdomain=reg.itzgr.com
  2 [email protected]:~# openssl req \
  3     -newkey rsa:4096 -nodes -sha256 -keyout ca.key \
  4     -x509 -days 365 -out ca.crt					#建立CA證書
  5 Country Name (2 letter code) [AU]:CN				#國家
  6 State or Province Name (full name) [Some-State]:ZheJiang	        #州或省
  7 Locality Name (eg, city) []:WenZhou				        #城市
  8 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor	#機構
  9 Organizational Unit Name (eg, section) []:harbor			#組織
 10 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com	#訪問域名
 11 Email Address []:[email protected]					#郵箱
 12 
 13 [email protected]:~# openssl req \
 14     -newkey rsa:4096 -nodes -sha256 -keyout $localdomain.key \
 15     -out $localdomain.csr 						#生成證書籤名請求
 16 Country Name (2 letter code) [AU]:CN
 17 State or Province Name (full name) [Some-State]:ZheJiang
 18 Locality Name (eg, city) []:WenZhou
 19 Organization Name (eg, company) [Internet Widgits Pty Ltd]:harbor
 20 Organizational Unit Name (eg, section) []:harbor
 21 Common Name (e.g. server FQDN or YOUR name) []:reg.itzgr.com
 22 Email Address []:[email protected]
 23 A challenge password []:x7374521*
 24 An optional company name []:reg.itzgr.com
 25 
 26 [email protected]:~# openssl x509 -req -days 365 -in $localdomain.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out $localdomain.crt
 27 [email protected]:~# mkdir /root/cert/
 28 [email protected]:~# cp $localdomain.crt $localdomain.key /root/cert/

6.2 編輯harbor.cfg

  1 [email protected]:~# cd harbor/
  2 [email protected]:~/harbor# vi harbor.cfg
  3 hostname = reg.itzgr.com
  4 ui_url_protocol = https
  5 ssl_cert = /root/cert/reg.itzgr.com.crt
  6 ssl_cert_key = /root/cert/reg.itzgr.com.key

6.3 安裝harbor

  1 [email protected]:~/harbor# ./prepare
  2 [email protected]:~/harbor# ./install.sh
提示:配置相應的hostname,其他保持預設即可,具體更多harbor.cfg引數詳見《附007.harbor.cfg配置檔案詳解》; 若出現以下報錯:Fail to generate key file: ./common/config/ui/private_key.pem, cert file: ./common/config/registry/root.crt 需要修改prepare檔案,將第498行: 
  1 empty_subj = "/C=/ST=/L=/O=/CN=/"
修改如下: 
  1 empty_subj = "/C=US/ST=California/L=Palo Alto/O=VMware, Inc./OU=Harbor/CN=notarysigner"
6.4 確認驗證 
  1 [email protected]:~# cd harbor
  2 [email protected]:~/harbor# docker-compose ps
host檔案中新增如下解析: 
  1 172.24.8.111 reg.itzgr.com
瀏覽器訪問:https://reg.itzgr.com,並使用預設使用者名稱admin/Harbor12345 95 提示:由於在自建證書,非安全證書,因此瀏覽器訪問可能出現無法訪問或告警提示,忽略即可。

6.5 docker 客戶端測試

  1 [email protected]:~# vi /etc/hosts
  2 172.24.8.111 reg.itzgr.com
  3 [email protected]:~# mkdir -p /etc/docker/certs.d/reg.itzgr.com
  4 [email protected]:~# scp ca.crt [email protected]:/etc/docker/certs.d/reg.itzgr.com/
提示:服務端需要將自建證書的crt檔案複製至客戶端相應目錄(若不存在則建立),也可通過以下方式實現: 
  1 [email protected]:~# vi /etc/docker/daemon.json
  2 {
  3    "insecure-registries": ["https://reg.itzgr.com"]
  4 }
若是信任CA機構頒發的證書,相應關閉daemon.json中的配置。 
  1 [email protected]:~# docker login reg.itzgr.com		#登入registry
  2 Username: admin
  3 Password:
提示:公開的registry可pull,但push也必須登入,私有的registry必須登入才可pull和push。 
  1 [email protected]:~# docker pull hello-world
  2 [email protected]:~# docker tag hello-world:latest reg.itzgr.com/library/hello-world:xhy
  3 [email protected]:~# docker push reg.itzgr.com/library/hello-world:xhy
96 提示:修改tag必須為已經存在的專案,並且具備相應的授權。

相關推薦

011.Docker倉庫管理

一 Docker倉庫介紹 docker 倉庫,即 registry,實現了映象的管理、分發,同時還包括使用者的認證。docker registry 倉庫是一個無狀態的、高可靠的伺服器應用程式,用來儲存docker映象。docker.io 為 docker 官方的倉庫,預設所有的pull均是從官方倉庫拉

Docker】第四篇 Docker倉庫管理

使用 註冊服務 一個 ear 2.0 lis ont www. serve 一、倉庫概述 倉庫(Repository):倉庫是集中存放鏡像文件的場所,倉庫分為公共倉庫和私有倉庫。 註冊服務器(Registry)和倉庫區別:註冊服務器上往往存放著多個倉庫,每個倉庫中又

Docker實戰系列——第二話--docker倉庫管理(一)--工具的選型

眾所周知的docker倉庫 首先,我們來定義下大型docker登錄檔(倉庫)管理機構,因此我很清楚我正在比較眾所周知的倉庫管理機構。 目前,最流行的登錄檔(docker映象倉庫)是Docker Hub。 Docker Hub是已知登錄檔Universe的中心。

docker倉庫管理

docker pull registry //下載registry 映象,registy為docker官方提供的一個映象,我們可以用它來建立本地的docker私有倉庫。 以registry映象啟動容器,-p會把容器的埠對映到宿主機上,:左邊為宿主機監聽埠,

docker倉庫管理

倉庫認識 docker 倉庫,即所謂registry,實現了映象的管理、分發,同時還包括使用者的認證。dockerregistry倉庫是一個無狀態的、高可靠的伺服器應用程式,用來儲存docker映象。docker.io為docker官方的倉庫,預設所有的pull

docker映象管理倉庫搭建加密認證及負載均衡倉庫的搭建

1.映象管理: Docker 倉庫: Docker 官方已經把倉庫封裝為映象,直接通過啟動容器就可以部署完成倉庫: # docker run -d --name registry -p 5000:5000 -v /opt/registry:/var/l

Docker私有倉庫管理

前一篇文章說了怎樣搭建私有倉庫,但是在倉庫搭建好了之後發現維護倉庫裡的映象還是不太方便,docker 官方也沒有很好命令列介面來使用,只是提供了API,可以通過呼叫這些API來檢視和刪除映象,但是這些API實在是不好用,所以找了一下發現有個開源的python工具

Docker私有倉庫管理,刪除本地倉庫中的映象

一:Docker私有倉庫安裝 1、 下載映象是有映象倉庫: [[email protected] ~]# systemctl start docker #如果已經有映象了,強制刪除原來的映象的方式如下: [[email pro

Docker私有倉庫管理之Harbor搭建

環境說明: Centos 7.2 主機IP: 192.168.20.17 一、安裝相關依賴 1、安裝docker yum -y install docker 啟動docker systemctl restart dock

.NETCore Docker實現容器化與私有映象倉庫管理

一、Docker介紹 Docker是用Go語言編寫基於Linux作業系統的一些特性開發的,其提供了作業系統級別的抽象,是一種容器管理技術,它隔離了應用程式對基礎架構(作業系統等)的依賴。相較於虛擬機器而言,Docker共享的是宿主機的硬體資源,使用容器來提供獨立的執行環境來執行應用。虛擬機器則是基於Su

docker入門——管理容器

ons 網絡配置 aps address deb gif ror 鏡像 tail命令 除了交互式的容器(interactive container),我們也可以創建長期運行的容器。守護式容器(daemonized container)沒有交互式會話,非常適合運行應用程序和服

docker 倉庫

dockerdocker pull centosdocker run -it -d --name mycentosnginx centosbash docker.sh mycentosnginx進入容器 yum -y install nginx修改nginx配置文件daemon of

docke鏡像上傳到dockerhub倉庫和阿裏雲docker倉庫的方法

dock tab top topbar 點擊 cell 版本 用戶名 title 操作指南 1. 登錄阿裏雲docker registry: $ sudo docker login --username=linjiaxin897591495 registr

docker-compose管理daocker

web ron xmx 錯誤 需要 volume ports cal 名稱 Docker-compose管理docker服務 1、安裝docker-compose @首先確保服務器上已經安裝docker環境,如果沒有安裝使用如下命令進行安裝: # yum -y inst

nexus分倉庫管理以及權限控制

nexus 分倉庫 管理 隨著項目的不斷增多,需要對maven倉庫進行分庫管理,以及添加權限配置,一下是一些具體操作步驟:首先需要取消任何人登錄的權限1.創建releases倉庫根據需要是否創建snapshots倉庫,這裏需要強調一下snapshots倉庫只能存放快照文件,release只能存放r

docker倉庫

上傳 支持 分享 arc data 自動創建 新版 指定 bitbucket 倉庫和註冊服務器 private-docker.com/ubuntu private-docker.com是註冊服務器地址,ubuntu是倉庫名 Dockerhub 註冊登陸後在用戶

Docker容器管理

發送 停止 一段時間 一個 con doc 實現 ons style 創建容器:   docker create -it [NAME]:[TAG] 啟動容器:   docker start ID 創建並啟動容器:   docker run -it [NAME]:[TAG]

PDA移動開單設備|PDA掃描設備|手持開單設備|移動終端 |PDA盤點機倉庫管理系統

PDA移動開單設備|PDA掃描設備|手持開單設備|移動終端 移動開單PDA條碼采集倉儲管理|PDA手持終端|PDA數據采集器|PDA盤點機倉庫管理系統庫存不準確,主要原因如下: 1、在系統使用上執行的力度不夠 倉庫管理系統畢竟是一項管理工具,最終需要人去執行,如果管理缺失或執行不到位,再好的系統也無法達成

如何用數據倉庫管理海量數據?直接訪問數據倉庫數據時的4個限制

數據倉庫有時候數據倉庫中需要進行管理的大量數據是一個重要問題。建立簡要記錄是大量數據管理的一種有效技術。在把操作型環境中的詳細記錄轉入數據倉庫中簡要記錄的過程中,數據量的降低是顯著的。一般通過建立簡要記錄可以使數據量降低2~3個數量級。由於這種可能性,創建簡要記錄是每一個數據體系結構設計人員手中很強有力的一種

docker倉庫harbor搭建隨筆

映射 try admin pos 下載源 重要 compose 指南 docker倉庫 docker除了自己的registry倉庫工具外,還有vmware出品的harbor,harbor集成了ui界面,用戶級別認證,重要的是對鏡像管理比較全面,可以刪除鏡像,下面是 簡單的部