目录
一、在docker的官方网站中直接创建
二、搭建自己本地的仓库
2.1、搭建自己的本地仓库
2.2、为本地镜像添加认证
2.2.1、添加证书加密功能
2.2.2、添加用户登录认证
三、部署Harbor仓库
总所周知,Docker的强大主要是依赖于其仓库中镜像的存在,公用仓库不用说,那如何创建一个私有的个人仓库呢,本片文章小编会从三个方面进行简单的阐述。
一、在docker的官方网站中直接创建
首先在官方网址(https://hub.docker.com/)中,创建属于自己的账户,在Repository中创建自己的仓库。
图 1 在官网中创建自己的仓库
根据所需仓库要求,根据上述选项创建在官网自己的镜像仓库。
远程登录自己的镜像仓库,并进行相应的操作(具体操作在本地搭建私有仓库时进行讲解)。
图 2 登录自己的doker官方仓库
二、搭建自己本地的仓库
2.1、搭建自己的本地仓库
在Docker的官方镜像中已经给我们提供了自己搭建仓库的镜像,我们只需要下载即可:
##获取官方镜像
[root@server1 ~]# docker pull registry
[root@server1 ~]# docker images registry
##以该镜像为基础,启动容器
[root@server1 ~]# docker run -d --name registry -p 5000:5000 -v /opt/registry:/var/lib/registry registry
##上传镜像(需要先更改镜像名称,以指定上传的仓库)
[root@server1 ~]# docker tag webserver:latest localhost:5000/webservr:latest
[root@server1 ~]# docker push localhost:5000/webservr ##上传
##查看挂载的地址
[root@server1 ~]# tree /opt/registry
##查看所挂载的镜像
[root@server1 ~]# curl localhost:5000/v2/_catalog
图 3 搭建本地仓库
图 4 给本地仓库上传镜像
上述过程就是我们简单的搭建了一个个人本地私有仓库,可以进行镜像的上传和获取!
[注] docker在镜像的上传和下载过程中默认的方式为:HTTPS。在上述测试过程中,我们可以临时将本地的仓库设为不安全的通信方式:
##设定registry为不安全的方式
[root@server1 docker]# /etc/docker/daemon.json
##文件内容
{
"insecure-registries" : ["myregistrydomain.com:5000"] ##myregistrydomain.com表明仓库的地址
}
图 5 使用不安全方式给本地仓库上传镜像
2.2、为本地镜像添加认证
2.2.1、添加证书加密功能
##官方文档:https://docs.docker.com/registry/insecure/
##创建自签名证书
[root@server1 ~]# mkdir -p certs
[root@server1 ~]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/westos.key -x509 -days 365 -out certs/westos.crt
##签名填写
##在填写签名是,需要注意域名的填写,需要和认证保持一致
##创建成功后,重新搭建容器registry(官方文档:https://docs.docker.com/registry/deploying/)
[root@server1 ~]# docker run -d --name registry -v "$(pwd)"/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.key -v /op/registry:/var/lib/registry -p 443:443 registry
##查看存在的镜像
[root@server1 ~]# curl -k https://localhost/v2/busybox/tags/list
##上传镜像
#把生成的证书传到docker的配置文件中
[root@server1 ~]# mkdir -p /etc/docker/certs/reg.westos.org/
[root@server1 ~]# cp ~/certs/wetsos.org.crt /etc/docker/certs/reg.westos.org/ca.crt
##本地传输
[root@server1 ~]# docker push localhost:443/webservr
[root@server1 ~]# docker push reg.westos.org/webservr
##远程传输
#复制证书文件
[root@server1 ~]# scp /root/certs/westos.org.crt server:/etc/docker/certs/reg.westos.org/ca.crt
#远程传输(需要提前更改好标签,做好地址解析)
[root@server2 ~]# docker push reg.westos.org/webserver:latest
图 6 生成CA认证证书
图 7 添加证书启动镜像
图 8 使用认证的方式进行上传镜像
2.2.2、添加用户登录认证
##官方文档:https://docs.docker.com/registry/deploying/
##安装htpasswd工具
[root@server1 ~]# yum install -y httpd-tools
##生成用户加密文件
[root@server1 ~]# mkdir auth
[root@server1 ~]# htpasswd -Bc auth/htpasswd admin ## B 表示强制认证
[root@server1 ~]# htpasswd -B auth/htpasswd linux ## c 表示第一次创建
##重现启动容器(使用镜像重新生成)
[root@server1 ~]# docker rm -f registry
[root@server1 ~]# docker run -d --name registry -v /opt/registry:/var/lib/registry -p 443:443 -v "$(pwd)"/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.org.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.org.key -v "$(pwd)"/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd registry
##登录仓库,进行文件上传
[root@server1 ~]# docker login reg.westos.org
#远程登录:保证网络畅通即可(需要注意的是这里启动时我们采用的是加密的传输方式,所以需要先将证书复制到docker文件中(/etc/docker/certs.d/reg.westos.org/ca.crt))
[root@server2 ~]# docker login reg.westos.org
图 9 使用thpasswd创建登录用户
图 10 在CA认证的基础上添加用户认证
三、部署Harbor仓库
##资源下载:https://github.com/goharbor/harbor/releases
##解压安装包
[root@server1 app]# tar zxf harbor-offline-installer-v2.3.2.tgz
##安装docker-compose文件
[root@server1 harbor]# cat /usr/local/bin/docker-compose-linux-x86_64 >> /usr/local/bin/docker-compose
[root@server1 harbor]# chmod +x /usr/local/bin/docker-compose
[root@server1 harbor]# ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
##编辑配置文件
[root@server1 harbor]# vim harbor.yml.tmpl
##运行
[root@server1 harbor]# ./install/sh
[root@server1 harbor]# ./install.sh --with-notary --with-chartmuseum --with-trivy
【注】上述安装过程中可能会出现安装包的依赖性,此时需要安装docker-compose管理工具:
图 11初步安装harbor
图 12 修改harbor的初始配置文件
图 13 修改harbor的配置文件
如果注释证书,此时需要将--insecure-reghistry添加到客户端的Docker的守护进程中,默认文件夹位置为:/etc/docker/daemo.json
内容:
{ "registry-mirrors": ["https://reg.westos.org"], ####换成自己的镜像仓库地址,下载时也会首先从本地下载 "insecure-registries" : ["172.25.21.5:80", "0.0.0.0"]}
配置完成后需要重启服务:
systemctl restart dockerdocker-compose down -vdocker-compose up -d
启动成功后,自动产生docker-compose.yml的配置文件
图 14 成功启动后的harbor配置目录
启动后的容器:
图 15 harbor所启动的容器
在网页登录:
图 16 harbor的图形化登录界面
使用docker-compose命令查看启动的容器组 :
图 17 docer=compose的管理命令
##harbor的使用,通常情况下使用docker-compose进行管理
docker-compose down 关闭管理组中的的所有容器
docker-compose stop 临时停止容器组中的所有容器
docker-compose start 重现启动容器组中的所有容器
图 18 docer=compose的管理命令
图 19 docer=compose的管理命令
根据需求重新安装Harbor:
图 20 添加harbor的镜像扫描的额外功能,重新启动
必须设置标签(这里做签名),在获取镜像时需要写入全部名称(eg:docker pull reg.westos.org/westos/ubuntu)。其他操作和私有仓库相同,这里不再做赘述,只进行签名认证的阐述。
##镜像签名
##部署根证书
/etc/docker/certs.d/reg.westos.org/ca/crt
~/.docker/tls/reg.westos.org:4443/ca.crt
##启用docker内容信任
export DOCKER_CONTENT_TRUST=1
export DOCKER_CONTENT_TRUST_SERVER=https://reg.westos.org:4443
##长传镜像
docker push reg.westos.org/library/nginx:lattest
##过程会生成两个密钥,包括根root key和仓库key
##删除签名
export DOCKER_CONTENT_TRUST=0
docker trust reovke reg.westos.org/library/nginx:latest