Docker-Harbor私有仓库安装

1、Harbor

Harbor是VMware公司开源了企业级Registry项目, 其的目标是帮助用户迅速搭建一个企业级的Docker registry服务。它以Docker公司开源的registry为基础，额外提供了如下功能:

• Cloud native registry:支持容器镜像和Helm Charts，为云原生环境提供服务

• Role based access control：基于角色的访问控制

• Policy based image replication：基于策略的镜像复制

• Vulnerability Scanning：镜像的漏洞扫描

• LDAP/AD support：AD/LDAP集成

• Image deletion & garbage collection：镜像的删除和空间清理

• Notary：可以保证镜像的真实性

• Graphical user portal：友好的管理UI

• Auditing：日志审计

• RESTful API：提供RESTfull接口易于与外部系统集成

• Easy deployment：部署简单

以上功能是将官网的内容做了简单翻译，如果大家想深层次了解一下，可以查看Harbor官网内容。

2、部署

部署Harbor前，首先得有docker环境、docker-compose的环境，如果大家没有docker环境，可以参考我之前的一篇文章《CentOS7离线部署docker》搭建环境，对于安装docker-compose是很简单，只如下操作：

curl -L "https://github.com/docker/compose/releases/download/1.23.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

注意：如果运行环境不能直接联外网，则可以先下载二进制包，然后手动放置到相应目录，并授权即可。

有了docker环境、docker-compose的环境后，可以开始部署Harbor了，步骤如下：

（1）、到Github上下载目前Harbor的最新版本，它提供两种下载方式，一种是离线安装包和在线安装包，大家可以根据自己的情况下载，此处下载的是离线安装包

image

（2）、下载后，将该文件解压到/opt/harbor目录下，当然大家也可以根据自己的使用情况放到相应的目录即可

（3）、此处要开启https访问，所以得生成证书（注意：如果不以https访问，这一个步骤就是不需要的），操作如下：

mkdir /opt/harbor/certs
cd /opt/harbor/certs
openssl req \
  -new \
  -newkey rsa:4096 \
  -days 365 \
  -subj "/CN=192.168.208.147" \
  -nodes \
  -x509 \
  -keyout auth.key \
  -out auth.cert

注意：此处的ip地址192.168.208.147，是搭建Harbor服务所在的ip地址

（4）、修改harbor.cfg配置文件信息，分别修改以下配置信息：

# 主机名改成本服务器的ip
hostname = 192.168.208.147
# 访问的协议https
ui_url_protocol = https
# 由于前一步我们自己生成了证书，所以该值改为off
customize_crt = off
# ssl证书的路径
ssl_cert = /opt/harbor/certs/auth.cert
# ssl密钥的路径
ssl_cert_key = /opt/harbor/certs/auth.key
# 设置ui系统的admin账号的密码，默认为Harbor12345
harbor_admin_password = Adminjgyw

（5）、安装，执行：

./install.sh --with--clair

（6）、执行上面的安装脚本，实质是执行docker compose来部署应用的，所以可以通过docker compose命令查看服务信息：

docker-compose ps

结果为：

image

（7）、访问https://192.168.208.147，如果如下：

image

3、测试

部署完成之后，测试一下镜像的pull和push功能，首先将admin账号登录，并创建jgyw项目，即：

（1）、点击“新建项目”

image

（2）、填写项目信息，名称为jgyw，访问级别为公开，即所有人都可以pull镜像下来，即：

image

（3）、创建用户

image

（3）、为jgyw项目添加成员，同时角色为开发人员，这样可以将镜像push到该项目中，即：

image

（4）、push镜像

docker login 192.168.208.147
# 输入上面新建的jgyw用户名和密码即可登录

如果此处发生如下错误:

Error response from daemon: Get https://192.168.208.147/v1/users/: x509: cannot validate certificate for 192.168.208.147 because it doesn't contain any IP SANs

则需要将/usr/lib/systemd/system/docker.service或/etc/systemd/system/docker.service文件中ExecStart值修改为如下形式，即：

ExecStart=/usr/bin/dockerd --insecure-registry 192.168.208.147

测试openzipkin/zipkin:2.12.1镜像

将openzipkin/zipkin:2.12.1镜像打上标签，即：

docker tag openzipkin/zipkin:2.12.1 192.168.208.147/jgyw/zipkin:2.12.1

然后执行push命令：

docker push 192.168.208.147/jgyw/zipkin:2.12.1

执行完成后，可以查到jgyw项目中就有了该镜像，即：

image

（5）、pull镜像

首先将本机的192.168.208.147/jgyw/zipkin:2.12.1镜像删除掉，即：

docker rmi 192.168.208.147/jgyw/zipkin:2.12.1

然后执行pull命令，即：

docker pull 192.168.208.147/jgyw/zipkin:2.12.1

镜像就拉取下来了。