docker私有仓库搭建

1、上传rpm文件，解压 yum文件： 链接：https://pan.baidu.com/s/1_tSwm2jqXqrV2mbMk0C80g 提取码：5gd7 [root@k8smaster01 zhaiky]# unzip yum.zip Archive: yum.zip creating: yum/ inflating: yum/docker-1.13.1-103.git7f2769b.el7.centos.x86_64.rpm inflating: yum/docker-client-1.13.1-103.git7f2769b.el7.centos.x86_64.rpm inflating: yum/docker-common-1.13.1-103.git7f2769b.el7.centos.x86_64.rpm inflating: yum/elinks-0.12-0.37.pre6.el7.0.1.x86_64.rpm inflating: yum/etcd-3.3.11-2.el7.centos.x86_64.rpm inflating: yum/flannel-0.7.1-4.el7.x86_64.rpm inflating: yum/gpm-libs-1.20.7-6.el7.x86_64.rpm inflating: yum/httpd-2.4.6-90.el7

容器技术是和我们的宿主机共享硬件资源及操作系统，可以实现资源的动态分配。容器包含应用和其所有的依赖包，但是与其他容器共享内核。容器在宿主机操作系统中，在用户空间以分离的进程运行。 通过使用容器，我们可以轻松打包应用程序的代码、配置和依赖关系，将其变成容易使用的构建块，从而实现环境一致性、运营效率、开发人员生产力和版本控制等诸多目标。容器可以帮助保证应用程序快速、可靠、一致地部署，其间不受部署环境的影响。容器还赋予我们对资源更多的精细化控制能力，让我们的基础设施效率更高。通过下面这幅图我们可以很直观的反映出这两者的区别所在。 Docker****的优势 Docker****相比于传统虚拟化方式具有更多的优势： · docker 启动快速属于秒级别。虚拟机通常需要几分钟去启动 · docker 需要的资源更少，docker在操作系统级别进行虚拟化， docker 容器和内核交互，几乎没有性能损耗，性能优于通过 Hypervisor 层与内核层的虚拟化 · docker 更轻量， docker 的架构可以共用一个内核与共享应用程序库，所占内存极小。同样的硬件环境， Docker 运行的镜像数远多于虚拟机数量，对系统的利用率非常高 · 与虚拟机相比， docker 隔离性更弱， docker 属于进程之间的隔离，虚拟机可实现系统级别隔离 · 安全性： docker 的安全性也更弱。

什么是nexus？ nexus是一个强大的私库管理平台。在没有私有仓库的时候，我们镜像提交只能提交公网，会造成公网带宽。 并且我们有一些私有的镜像和maven包不想放到公网。也不好处理。 我们使用一条命令快速搭建nexux docker run -d --net host --name nexus sonatype/nexus3 启动之后我们就可以通过http://localhost:8081 访问。 默认账号密码为admin/admin123 创建docker repository 按照下图找到create repository的地方，点击创建后选择docker(hosted)类型。 输入Name和http port地址后，点击创建后，就完成了repository的创建。 代理docker repository 因为安全原因，docker push/pull的时候必须使用https协议，使用nexus也可以配置https，但是比较麻烦。这里我选择使用ngin代理一下使用Nexus构建的docker repository。nginx配置如下：(ssl签名使用的自签名证书） docker login https://registry-nexus.qa.jr.ly.com:8443 因为是使用的自签名，所以dockerd服务并不认可，登录会包报错，解决方法如下: 处理自签名证书问题

Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口。 官网：https://www.docker.com/ 相关资料： 1、Docker入门教程 http://dockone.io/article/111 2、Docker_百度百科 http://baike.baidu.com/view/11854949.htm 3、史上最全Docker资料集粹 http://special.csdncms.csdn.net/BeDocker/ 4、Docker - 话题精华 - 知乎 http://www.zhihu.com/topic/19950993/top-answers 5、docker 简明教程 | 简果网 http://www.simapple.com/docker-tutorial 6、如何使用Dockerfile构建镜像 http://blog.csdn.net/qinyushuang/article/details/43342553 7、Dockerfile reference - Docker https://docs.docker.com/engine/reference/builder/ Docker与虚拟机比较

Harbor 一、Harbor简介 harbor是vmware开源的企业级registry，可以让你迅速的搭建自己的私有registry，harbor扩展的docker的registry，使harbor支持： 1，RBAC 基于角色的权限控制 2，基于策略的镜像复制 3，LDAP/AD支持 4，镜像删除和垃圾清理 5，Notary 镜像签名 6，用户界面 7，审计 8，RESTful api 二，Harbor 模块 harbor主要有6大模块，默认的每个harbor的组件都被封装成一个docker container，所以可以通过compose来部署harbor，总共分为8个容器运行，通过docker-compose ps来查看 harbor-adminserver：harbor系统管理接口，可以修改系统配置以及获取系统信息 harbor-db：存储项目的元数据、用户、规则、复制策略等信息 harbor-jobservice：harbor里面主要是为了镜像仓库之前同步使用的 harbor-log：收集其他harbor的日志信息。rsyslogd harbor-ui：一个用户界面模块，用来管理registry。主要是前端的页面和后端CURD的接口 nginx：harbor的一个反向代理组件，代理registry、ui、token等服务。这个代理会转发harbor web和docker

一、Harbor Harbor 是 VMware 公司开源的企业级 Docker Registry 项目： （1）Harbor 的优势： 基于角色控制； 基于镜像的复制策略； 支持 LDAP / AD； 图像删除和垃圾收集； 图形 UI； 审计； RESTful API； （2）Harbor 架构组成： 1、Proxy：通过一个前置的反向代理统一接受浏览器，Docker客户端的请求，并将请求转发给后端不同的服务。 2、Registry：负责存储 Docker 镜像，并处理 docker push/pull 命令。 3、Core services：Harbor的核心功能，包括 UI、webhook、token 服务。 4、Database：为 core services 提供数据库服务。 5、Log collector：负责收集其他组件的 log，供日后进行分析。 二、私有仓库的优点： 其实，私有库的镜像最原始来源还是从公库中下载的，但是企业公司中为什么不都直接使用公库下载需要的镜像呢，允许使用 registry 搭建本地私有仓库，具备这些公库不具备的优点： 1、节省网络带宽，针对于每个镜像不用每个人都去中央仓库上面去下载，只需要从私有仓库中下载即可； 2、提供镜像资源利用，针对于公司内部使用的镜像，推送到本地的私有仓库中，以供公司内部相关人员使用。 接下来，具备来搭建一下

Harbor介绍 部署Harbor所依赖的Docker Compose服务 部署Harbor服务 Harbor日常操作管理 Harbor管理生命周期 Harbor是VMware公司开源的企业级Docker Registry项目 Harbor的优势 基于角色控制 基于镜像的复制策略 支持LDAP/AD 图像删除和垃圾收集 图形UI 审计 RESTful API Proxy 通过一个前置的反向代理统一接受浏览器，Docker客户端的请求，并将请求转发给后端不同的服务 Registry 负责储存Docker镜像，并处理docker push/pull 命令 Core services Harbor的核心功能，包括UI,webhook,token 服务 Database 为core service提供数据库服务 Log collector 负责收集其他组件的log，供日后进行分析 Docker私有仓库架构拓扑 用户请求通过Proxy反向代理访问Core services，UI提供web界面，token令牌，你第一次登录之后服务器会给你一串序列号，下次直接登录就行，你需要下载的镜像信息，属性，都存放在后面的database,再通过webhook回调去registry私有仓库调取镜像。这一系列的操作都存放在日志中。 ------------------------------

简介 What? Docker是基于Go语言实现的开源容器项目,诞生于2013年年初,由dotCloud公司发起,此公司后改名为Docker Inc.Docker项目已加入Linux基金会,并遵循Apache2.0协议,代码托管在Github: Docker源码地址 各大操作系统现都支持Docker,并且最新的Linux发行版RedHat、CentOS、Ubuntu中均已默认带有Docker软件包. Docker的构想是要实现“Build,Ship and Run Any App, Anywhere”,即通过对应用的封 装( Packaging)、分发( Distribution)、部署( Deployment)、运行( Runtime)生命周期进行管 理，达到应用组件级别的“ 一次封装 ，到处运行” 。 这里的应用组件， 既可以 是一个 Web 应 用、一个编译环境，也可以是一套数据库平台服务，甚至是一个操作系统或集群。 基于 Linux 平 台上的多项开源技术， Docker 提供了高效、敏捷和轻量级的容器方案，并 支持部署到本地环境和多种主流云平台 。 可以说 ， Docker首次为应用 的开发 、运行和部署提 供了“一站式”的实用解决方案。 早期Docker代码实现是基于LXC(Linux Containers,即Linux容器),自0.9版本开始

1、实战目的 搭建企业私有的镜像仓库，满足从开发环境推送和拉取镜像 。当我们使用k8s来编排和调度容器时，操作的基本单位是镜像，所以需要从仓库去拉取镜像到当前的工作节点。本来使用公共的docker hub完全可以满足我们的需求，也非常方便，但是上传的镜像任何人都可以访问，其次docker hub的私有仓库又是收费的，所以从安全和商业两方面考虑，企业必须搭建自己的私有镜像仓库。 2、搭建私有仓库 2.1、生产证书 为了保证镜像传输安全，从开发环境向私有仓库推送和拉取镜像时，一般使用https的方式（备注：对于普通的http方式请大家参考官方文档： https://docs.docker.com/registry/insecure/#deploy-a-plain-http-registry 自己下去实战。），所以我们需要提供一个可信任的、知名的SSL/TLS证书，可以向知名的第三方证书颁发机构购买证书，也可以使用 Let’s Encrypt 生产免费的证书，还可以自己生产一个自签名证书。 由于没有购买真实的域名，无法和第三方证书颁发机构进行交互性验证，所以决定自己生产一个自签名证书，添加到私有仓库，然后让docker客户端信任此证书。 创建一个用于存储证书和私钥的目录certs $ mkdir -p certs 生产证书和私钥 $ openssl req \ -newkey rsa

将本地镜像发布到阿里云 有时候需要共享镜像或者习惯使用自己定义的镜像，可以注册私有仓库，国内推荐使用阿里云 步骤： 1.登录阿里云容器镜像服务：https://cr.console.aliyun.com/cn-hangzhou/instances/repositories 2.将镜像推送到阿里云 # 登录阿里云的docker仓库 $ sudo docker login --username = [ 用户名 ] registry.cn-hangzhou.aliyuncs.com # 创建指定镜像的tag，归入某个仓库 $ sudo docker tag [ ImageId ] registry.cn-hangzhou.aliyuncs.com/wugao/tomcat: [ 镜像版本号 ] # 讲镜像推送到仓库 $ sudo docker push registry.cn-hangzhou.aliyuncs.com/wugao/tomcat: [ 镜像版本号 ] 3.拉取镜像 sudo docker pull registry.cn-hangzhou.aliyuncs.com/wugao/tomcat: [ 镜像版本号 ] Docker 网络 Docker允许通过外部访问容器或容器互联的方式来提供网络服务。 安装Docker时，会自动安装一块Docker网卡称为docker0