docker中要使用镜像,一般会从本地、docker Hup公共仓库和其它第三方公共仓库中下载镜像,一般出于安全和外网(墙)资源下载速率的原因考虑企业级上不会轻易使用。那么有没有一种办法可以存储自己的镜像又有安全认证的仓库呢? ----> 企业级环境中基于Harbor搭建自己的安全认证仓库。
Harbor是VMware公司最近开源的企业级Docker Registry项目, 其目标是帮助用户迅速搭建一个企业级的Docker registry服务。
2. 选择的理由
* 提供了管理UI
* 基于角色的访问控制(Role Based Access Control)
* AD/LDAP集成
* 审计日志(Audit logging)
* 原生支持中文
Harbor在架构上主要由五个组件构成:
* Proxy:Harbor的registry, UI, token等服务,通过一个前置的反向代理统一接收浏览器、Docker客户端的请求,并将请求转发给后端不同的服务。
* Registry: 负责储存Docker镜像,并处理docker push/pull 命令。由于我们要对用户进行访问控制,即不同用户对Docker image有不同的读写权限,Registry会指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token 进行解密验证。
* Core services: 这是Harbor的核心功能,主要提供以下服务:
* UI:提供图形化界面,帮助用户管理registry上的镜像(image), 并对用户进行授权。
* webhook:为了及时获取registry 上image状态变化的情况, 在Registry上配置webhook,把状态变化传递给UI模块。
* token 服务:负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Registry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向Registry进行请求。
* Database:为core services提供数据库服务,负责储存用户权限、审计日志、Docker image分组信息等数据。
* Log collector:为了帮助监控Harbor运行,负责收集其他组件的log,供日后进行分析。
各个组件之间的关系如下图所示:
<a href="https://s3.51cto.com/wyfs02/M02/98/A1/wKioL1k_BwrwEOx4AAC9Iqc6Hic099.jpg" target="_blank"></a>
Harbor的每个组件都是以Docker容器的形式构建的,所以使用Docker Compose来对它进行部署。
用于部署Harbor的Docker Compose 模板位于 /Deployer/docker-compose.yml. 打开这个模板文件,会发现Harbor由5个容器组成:
* proxy: 由Nginx 服务器构成的反向代理。
* registry:由Docker官方的开源registry 镜像构成的容器实例。
* ui: 即架构中的core services, 构成此容器的代码是Harbor项目的主体。
* mysql: 由官方MySql镜像构成的数据库容器。
* log: 运行着rsyslogd的容器,通过log-driver的形式收集其他容器的日志。
这几个容器通过Docker link的形式连接在一起,这样,在容器之间可以通过容器名字互相访问。对终端用户而言,只需要暴露proxy (即Nginx)的服务端口。
Harbor的认证流程
<a href="https://s4.51cto.com/wyfs02/M00/98/BE/wKiom1k_5D7w8o09AABzvcHA_Lo116.png" target="_blank"></a>
A、首先,请求被代理容器监听拦截,并跳转到指定的认证服务器。
B、如果认证服务器配置了权限认证,则会返回401。通知dockerclient在特定的请求中需要带上一个合法的token。而认证的逻辑地址则指向架构图中的core services。
C、 当docker client接受到错误code。client就会发送认证请求(带有用户名和密码)到coreservices进行basic auth认证。
D、 当C的请求发送给ngnix以后,ngnix会根据配置的认证地址将带有用户名和密码的请求发送到core serivces。
E、 coreservices获取用户名和密码以后对用户信息进行认证(自己的数据库或者介入LDAP都可以)。成功以后,返回认证成功的信息。
Harbor的安装方式
* 在线online安装 --> 由于国内墙和网速率的原因,体验不理想
* 离线offline安装 --> 下载包较大 [ 包含了相关依赖镜像 ]
此次选择离线包安装
4. 环境
<code>[root@harbor ~]</code><code># cat /etc/redhat-release </code>
<code>CentOS Linux release 7.2.1511 (Core) </code>
<code>[root@harbor ~]</code><code># uname -r</code>
<code>3.10.0-327.36.3.el7.x86_64</code>
5. 服务器 IP 地址
192.168.60.150
6. 创建证书
* 创建证书存放目录
<code>[root@harbor ~]</code><code># mkdir -p /data/cert</code>
* 切换工作路径切证书存放目录
<code>[root@harbor ~]</code><code># cd /data/cert/</code>
* 创建 CA 根证书
<code>[root@harbor cert]</code><code># openssl req -newkey rsa:4096 \</code>
<code>-nodes -sha256 -keyout ca.key -x509 -days 365 \</code>
<code>-out ca.crt -subj </code><code>"/C=CN/L=wuhan/O=lisea/CN=harbor-registry"</code>
* 生成一个证书签名, 设置访问域名为 harbor.lisea.acn
<code>[root@harbor cert]</code><code># openssl req -newkey rsa:4096 \</code>
<code>-nodes -sha256 -keyout harbor.lisea.cn.key \</code>
<code>-out server.csr -subj </code><code>"/C=CN/L=wuhan/O=lisea/CN=harbor.lisea.cn"</code>
* 生成主机的证书
<code>[root@harbor cert]</code><code># openssl x509 -req -days 365 \</code>
<code>-</code><code>in</code> <code>server.csr -CA ca.crt -CAkey ca.key \</code>
<code>-CAcreateserial -out harbor.lisea.cn.crt</code>
7. harbor安装部署
* 安装 docker
<code>[root@harbor ~]</code><code># yum install docker -y</code>
* 设置 docker 服务开机启动
<code>[root@harbor ~]</code><code># systemctl enable docker.service</code>
* 启动 docker 服务
<code>[root@harbor ~]</code><code># systemctl start docker.service</code>
* 安装 docker-compose
<code>[root@harbor ~]</code><code># yum install python-pip -y</code>
<code>[root@harbor ~]</code><code># pip install --upgrade pip</code>
<code>[root@harbor ~]</code><code># pip install docker-compose</code>
<code>[root@harbor ~]</code><code># pip install --upgrade backports.ssl_match_hostname</code>
* 下载 harbor 离线包 [ https://github.com/vmware/harbor ]
<code>[root@harbor ~]</code><code># wget https://github.com/vmware/harbor/releases/download/v1.1.2/harbor-offline-installer-v1.1.2.tgz</code>
* 解压下载的harbor包 [ harbor-offline-installer-v1.1.2.tgz ]
<code>[root@harbor ~]</code><code># tar zxf harbor-offline-installer-v1.1.2.tgz</code>
* 切换进harbor包目录
<code>[root@harbor ~]</code><code># cd harbor</code>
* 修改habor配置文件 [ harbor.cfg ]
<code>hostname</code> <code>= harbor.lisea.cn </code><code># 指定私有仓库的主机名,可以是IP地址,也可以是域名 </code>
<code>ui_url_protocol = https </code><code># 用户访问私仓时使用的协议,默认时http,配置成https</code>
<code>db_password = root123 </code><code># 指定mysql数据库管理员密码</code>
<code>harbor_admin_password:Harbor12345 </code><code># harbor的管理员账户密码</code>
<code>ssl_cert = </code><code>/data/cert/harbor</code><code>.lisea.cn.crt </code><code># 设置证书文件路径</code>
<code>ssl_cert_key = </code><code>/data/cert/harbor</code><code>.lisea.cn.key </code><code># 设置证书密钥文件路径</code>
* 通过自带脚本一键安装
<code>[root@harbor harbor]</code><code># ./install.sh</code>
* 通过浏览器访问管理 [ 提前设置本地 hosts文件本地重定向至harbor服务器IP ]
用户默认为admin
密码默认为Harbor12345 [可通过安装前 harbor.cfg 配置文件修改 harbor_admin_password 指定 ]
<a href="https://s5.51cto.com/wyfs02/M02/98/DC/wKiom1lBLDKhIU5tAAFJrk9gC84601.png" target="_blank"></a>
8. 客户端使用测试 [ docker 机 ]
* 通过 admin 账户登陆创建 test 用户
* 退出 admin 账户登陆 test 用户
* 创建 test 项目, 访问级别选择公开
<a href="https://s5.51cto.com/wyfs02/M01/98/DD/wKiom1lBLNrCuj3kAACQDFMoVfw370.jpg" target="_blank"></a>
* 创建仓库证书存放目录
<code>[root@harbor client]</code><code># mkdir /etc/docker/certs.d/harbor.lisea.cn</code>
* 从harbor服务器获取证书至仓库证书目录
<code>[root@harbor client]</code><code># scp [email protected]:/data/cert/ca.crt /etc/docker/certs.d/harbor.lisea.cn/ca.crt</code>
* 用户登陆 [ 本地需要做hosts harbor.lisea.cn 域名重定向至harbor服务器IP ]
<code>[root@harbor client]</code><code># docker login -u test -p Test123456 harbor.lisea.cn</code>
<code>Login Succeeded</code>
* 编写dockerfile文件
<code># Url https://lisea.cn</code>
<code># Base imgae</code>
<code>FROM centos</code>
<code># Maintainer</code>
<code>MAINTAINER lisea [email protected]</code>
<code># Commands</code>
<code>RUN rpm -ivh http:</code><code>//mirrors</code><code>.aliyun.com</code><code>/epel/epel-release-latest-7</code><code>.noarch.rpm</code>
<code>RUN yum </code><code>install</code> <code>nginx -y</code>
<code>RUN </code><code>echo</code> <code>"daemon off;"</code> <code>>> </code><code>/etc/nginx/nginx</code><code>.conf</code>
<code>RUN </code><code>echo</code> <code>"this is test nginx image"</code> <code>> </code><code>/usr/share/nginx/html/index</code><code>.html</code>
<code>EXPOSE 80</code>
<code>CMD [</code><code>"nginx"</code><code>]</code>
* 通过Dockerfile构建一个新镜像, 直接指明registry和标签
<code>[root@harbor client]</code><code># docker build -t harbor.lisea.cn/test/nginx:v1.0.1 .</code>
* 上传镜像至 harbor registry
<code>[root@harbor client]</code><code># docker push harbor.lisea.cn/test/nginx:v1.0.1</code>
* web中查看镜像是否上传成功 [ 成功上传nginx ]
<a href="https://s4.51cto.com/wyfs02/M00/98/DD/wKiom1lBMMrAuIZYAACBZsT81m8433.jpg" target="_blank"></a>
* 删除本地镜像
<code>[root@harbor client]</code><code># docker rmi harbor.lisea.cn/test/nginx:v1.0.1</code>
* 从harbor中下载镜像
<code>[root@harbor client]</code><code># docker pull harbor.lisea.cn/test/nginx:v1.0.1</code>
9. 总结
以需求驱动技术,技术本身没有优略之分,只有业务之分。
本文转自asd1123509133 51CTO博客,原文链接:http://blog.51cto.com/lisea/1936839,如需转载请自行联系原作者
![【MySQL数据库】数据库索引事务1.索引2.事务[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)