centos 7离线安装harbor

蒲柳青 發表於 2020-6-13 18:09:00

Harbor介绍
harbor是一个docker私有镜像仓库，虽然docker官方提供了公共的镜像仓库（Docker Hub），但是从安全和效率等方面考虑，部署私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目。
docker官方提供了一个私有镜像仓库 docker Registry，安装部署容易，安装一个Registry容器就可以使用了。
但是Registry有以下缺点：
# 没有图形界面
# 没有项目管理
# 没有用户权限控制
# 看不到镜像操作记录  
Harbor的优势：
图形管理界面。
按项目管理镜像。
独立的用户管理，不同用户可以操作不同镜像，细粒度的权限控制，包含create、push 、pull、delete。
镜像管理。
标签管理。
操作日志管理。
【Harbor 安装步骤】：
第1步：安装harbor前期做准备
使用harbor要先安装docker及docker-compose， docker及docker-compose安装教程请参考【centos 7使用国内源安装docker及docker-compose】
docker与docker-compose安装教程地址：https://www.cnblogs.com/yyee/p/12905165.html
第2步：下载 Harbor离线安装包
从harbor官网下载离线安装包，下载地址：https://github.com/goharbor/harbor/releases
下载当前最新版本harbor 1.10.1，离线包大小为658M 。
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200613181709676-992186812.png">
  下载完离线包之后，将离线安装包【harbor-offline-installer-v1.10.1.tgz】上传到centos服务器。比如将文件上传到 centos的 /tools/harbor/harbor-offline-installer-v1.10.1.tgz 
第3步，创建https证书
<div class="cnblogs_code">
<pre># 创建证书目录，并赋予权限
mkdir -p /cert/harbor
chmod -R 777 /cert/harbor
cd /cert/harbor

# whereis openssl 检查是否有安装openssl，如果没有先安装openssl组件，如果有就不用安装了
whereis openssl
yum install openssl

# 创建服务器证书密钥文件harbor.key
openssl genrsa -des3 -out harbor.key 2048
# 输入密码，确认密码，自己随便定义，但是要记住，后面会用到。

# 创建服务器证书的申请文件harbor.csr
openssl req -new -key harbor.key -out harbor.csr
# 输入密钥文件的密码, 然后一路回车

# 备份一份服务器密钥文件
cp harbor.key harbor.key.org

# 去除文件口令
openssl rsa -in harbor.key.org -out harbor.key
# 输入密钥文件的密码

# 创建一个自当前日期起为期十年的证书 harbor.crt
openssl x509 -req -days 3650 -in harbor.csr -signkey harbor.key -out harbor.crt</pre>
</div>
  
第4步，解压软件包，修改配置文件
 先进入harbor离线包上传的目录，解压离线包到/usr/local/harbor下
<div class="cnblogs_code">
<pre>tar zxf /tools/harbor/harbor-offline-installer-v1.10.1.tgz-C /usr/local/
ls /usr/local/harbor</pre>
</div>
 解压软件包之后有这些文件及目录：
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200613182929413-495430712.png">
 配置harbor.yml 文件
<div class="cnblogs_code">
<pre>vi /usr/local/harbor/harbor.yml</pre>
</div>
 
主要修改以下地方：
<div class="cnblogs_code">
<pre># 将hostname改成本机IP或域名，不要用localhost，127.0.0.1或0.0.0.0，冒号后面都有一个空格
hostname: 192.168.0.101 ui_url_protoc0l: https 
# 将http端口改成10080，因为默认用的80端口已经被占用，http可以指定任意端口
http:
port: 10080
# 配置https的端口，只能使用443端口，更改证书路径，证书路径为刚刚生成的https证书的实际路径
https:
port: 443
certificate: /cert/harbor/harbor.crt
private_key: /cert/harbor/harbor.key
# 修改后台管理密码
harbor_admin_password: harbor12345
# harbor的内部数据库密码
database:
password: root123
# 修改harbor数据存储路径与日志存储路径,目录要先创建好并赋予777权限
data_volume: /data/harbor-data
# 修改日志存放路径，默认路径为/var/log/harbor
log:
local:
localtion: /data/harbor-log</pre>
</div>
 
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200614160906277-1435370607.png">
    
 第5步，安装harbor
执行harbor安装脚本
<div class="cnblogs_code">
<pre>cd /usr/local/harbor
./install.sh</pre>
</div>
 
安装的时候如果出现下面的异常，是因为关闭防火墙导致，需要重启docker
<div class="cnblogs_code">
<pre>ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule:(iptables failed: iptables --wait -t nat -I DOCKER -i br-61f0da3c6876 -j RETURN: iptables: No chain/target/match by that name.</pre>
</div>
出现上面这种错误，要重启docker，然后重新安装harbor
<div class="cnblogs_code">
<pre>systemctl daemon-reload
systemctl restart docker.service
cd /usr/local/harbor
./install.sh</pre>
</div>
 
安装成功后输出下面的信息：
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200614105646058-444089892.png">
 在浏览器地址输入：https://192.168.0.101:10443，打开harbor登录页面
用户名：admin，密码：harbor12345
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200614161409882-466424001.png">
 
 登录成功后进入后台主页：
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200614161441298-1883888445.png">
   
第6步，docker信任配置
 要让docker可以访问harbor，需要将harbor域名或IP设置为docker的受信任仓库，修改配置文件 /etc/docker/daemon.json ，增加docker受信任IP或域名。
<div class="cnblogs_code">
<pre>vi/etc/docker/daemon.json</pre>
</div>
 
追加内容：
<div class="cnblogs_code">
<pre>{
"insecure-registries": ["192.168.0.101:10080"]
}</pre>
</div>
 
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200614115121282-1991518042.png">
 
拷贝https证书文件harbor.crt到 /etc/docker/certs.d/serverIp 文件夹。每个docker都要拷贝证书文件。
<div class="cnblogs_code">
<pre>mkdir –p /etc/docker/certs.d/192.168.0.101
cp /cert/harbor/harbor.crt/etc/docker/certs.d/192.168.0.101/ca.crt
#注意，拷贝过去的证书文件名为 ca.crt 
</pre>
</div>
 
重启docker
<div class="cnblogs_code">
<pre>#重启docker
systemctl daemon-reload
systemctl restart docker.service</pre>
</div>
 
重启harbor
<div class="cnblogs_code">
<pre>cd /usr/local/harbor
./prepare
docker-compose down
docker-compose up -d</pre>
</div>
 
 第7步，将本地业务镜像push到harbor
首先在harbor中新建一个项目，项目名称为【eshop】
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200614165631396-2104926765.png">
 
  用docker登录harbor
<div class="cnblogs_code">
<pre>docker login 192.168.0.101:10080 -u 用户名 -p 密码</pre>
</div>
 
登录成功输出以下信息： 
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200614161619335-2107583057.png">
 
给本地镜像打上tag标记，打标记的时候要加上项目名称。
<div class="cnblogs_code">
<pre># docker tag 本地镜像名:版本号 ip:port/项目名称/远程镜像名:版本号，如果不加版本号表示最新版本
docker tag demo1.mvcone:v1.0.1 192.168.0.101:10080/eshop/demo1.mvcone:v1.0.1
# 上传镜像到harbor
docker push 192.168.0.101:10080/eshop/demo1.mvconev:v1.0.1</pre>
</div>
push成功输入以下信息：
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200616165851646-763691178.png">
   
在harbor后台管理中查看eshop项目下的镜像
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200614170134298-1333256703.png">
  
点击镜像名称，查看镜像版本号
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200616172108043-500349350.png">
   
【上传镜像遇到的坑：】
如果不在harbor中新建项目，或者创建tag的时候不加项目名称，在上传镜像时会发生错误：received unexpected HTTP status: 500 Internal Server Error ，所以docker tag 打标签的时候要一定要加上项目名称。
<div class="cnblogs_code">
<pre>#push不加项目名称的镜像出现错误，下面是错误方法：
# docker tag 本地镜像名:v1.0.1 ip:port/远程镜像名:v1.0.1
docker tag demo1.mvcone:v1.0.1 192.168.0.101:10080/demo1.mvcone:v1.0.1 </pre>
<pre>docker push 192.168.0.101:10080/demo1.mvcone:v1.0.1</pre>
<pre> #应该这样写 docker tag demo1.mvcone:v1.0.1 192.168.0.101:10080/eshop/demo1.mvcone:v1.0.1
# 上传镜像到harbor
docker push 192.168.0.101:10080/eshop/demo1.mvcone:v1.0.1</pre>
</div>
 
这样在push镜像时出现500 Internal Server Error错误： 
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200614170447892-4557530.png">
  
第8步，为刚才上传到harbor的镜像创建一个容器  
eshop/demo1.mvcone镜像已经上传到harbor，现在要用eshop/demo1.mvcone镜像创建一个容器，测试一下容器是否跑得起来。
步骤：
(1) 删除本地镜像 192.168.0.101:10080/eshop/demo1.mvcone 
<div class="cnblogs_code">
<pre>docker rmi 192.168.0.101:10080/eshop/demo1.mvcone:v1.0.1</pre>
</div>
 
(2)从harbor上拉取eshop/demo1.mvcone 镜像到本地
<div class="cnblogs_code">
<pre>docker pull 192.168.0.101:10080/eshop/demo1.mvcone:v1.0.1

#从harbor上拉取像镜要写全路径， IP地址:端口/项目名称/镜像名:版本号</pre>
</div>
 
(3) 创建 192.168.0.101:10080/eshop/demo1.mvcone 镜像的容器，以8001端口运行
<div class="cnblogs_code">
<pre>docker run -d --name my.eshop.demo1.mvcone -p 8001:50001 -v /appdata/mvcone 192.168.0.101:10080/eshop/demo1.mvcone:v1.0.1</pre>
</div>
--name 容器名 
-d 后台运行容器
-p 参数：8001是docker对外暴露的端口，可以任意指定，50001是Dockerfile文件配置的docker内部运行端口，不可以随意指定。
-v 参数，数据卷，容器的数据存放路径。
192.168.0.101:10080/eshop/demo1.mvcone:v1.0.1 是镜像名
 
(4) 查看docker中是否运行着刚刚创建的容器
<div class="cnblogs_code">
<pre>docker ps </pre>
</div>
 
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200616171728903-1529419968.png">
 
   从截图上可以看出 my.ehop.demo1.mvcone 容器已经创建并于处运行状态。
 
(5) 用浏览器验证容器运行项目的效果
<img src="https://img2020.cnblogs.com/blog/121965/202006/121965-20200616171537700-47750008.png">
     
 第9步，harbor停止/重启/御载
 重启harbor：
<div class="cnblogs_code">
<pre>cd /usr/local/harbor
docker-compose down
./prepare #配置文件有改动时需要执行
docker-compose up -d</pre>
</div>
 
关闭harbor
<div class="cnblogs_code">
<pre>cd /usr/local/harbor
docker-compose down -v # 或者 docker-compose stop</pre>
</div>
 
卸载Harbor
<div class="cnblogs_code">
<pre>cd /usr/local/harbor
docker-compose stop
rm -rf /usr/local/harbor</pre>
</div>
  
来源：https://www.cnblogs.com/yyee/p/13121272.html

頁: [1]

琼殿技术论坛's Archiver

centos 7离线安装harbor