三、Docker Compose 安装

官方指导说明:https://docs.docker.com/compose/install/

下载最新正式版安装包:https://github.com/docker/compose/releases

1、运行此命令下载 docker compose 的当前稳定版本:
[root@harbor ~]# curl -L https://github.com/docker/compose/releases/download/1.27.4/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose

如果没有网络可在有网的机器下载最新稳定版本,然后拷贝到目标主机的 /usr/local/bin 目录

2、对二进制文件应用可执行权限:
[root@harbor ~]# chmod +x /usr/local/bin/docker-compose
3、创建软连接方便全局使用docker-compose命令:
[root@harbor ~]# sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

四、Docker Harbor 安装

官方指导说明:https://github.com/goharbor/harbor/blob/master/docs/installation_guide.md

其他说明:https://www.cnrancher.com/docs/rancher/v2.x/cn/install-prepare/registry/single-node-installation/

1、下载和解压安装包

下载最新正式版离线安装包:https://github.com/goharbor/harbor/releases

手动下载上传到 /usr/local 目录或通过wget下载:

[root@harbor ~]# cd /usr/local/
#解压压缩包
[root@harbor local]# tar xvf harbor-offline-installer-<version>.tgz
2、修改配置文件

解压压缩包会得到harbor文件夹,harbor.yml配置文件位于文件夹根目录。在harbor.yml中有两类参数,必需参数和可选参数。

  • 必要参数:需要在配置文件中设置这些参数。如果用户更新harbor.cfg并运行install.sh脚本以重新安装Harbor,更改的参数将生效。

  • 可选参数:这些参数对于更新是可选的,即用户可以将它们保留为默认值,并在启动Harbour后在Web UI上更新它们。如果已经配置harbor.cfg,这些参数只会在首次启动Harbour时生效。harbor.cfg将忽略对这些参数的后续修改。

注意:
如果您选择通过UI设置这些参数,请务必在Harbour启动后立即执行此操作。特别是,您必须在Harbour中注册或创建新用户之前,设置所需的auth_mode。当系统中有用户时(除默认管理员用户外),无法更改auth_mode。

参数如下所述 - 请注意,至少需要更改hostname参数。

2.1、必需参数
  • hostname:目标主机的主机名,用于访问UI和Harbor服务。它应该是目标计算机的IP地址或域名(FQDN),例如,192.168.1.10或reg.yourdomain.com。不要使用localhost或127.0.0.1作为主机名,因为外部客户端需要访问Harbor服务!

  • ui_url_protocol :( http或https。默认为http)用于访问UI和令牌/通知服务的协议。如果启用了公证,则此参数必须为https。默认情况下,这是http。要设置https协议,请参阅使用HTTPS访问配置Harbor。

  • db_password:用于db_auth的MySQL数据库的root密码。生产环境请修改此密码

  • max_job_workers :(默认值为3)作业服务中的最大复制工作数。对于每个镜像复制作业,程序将存储库的所有标记同步到远程目标。增加此数量可以在系统中实现更多并发复制作业。但是,由于每个复制进程都消耗一定的网络/CPU/IO资源,请根据主机的硬件资源仔细选择该参数的值。

  • customize_crt:(on或off,默认为on),如果此属性on,准备脚本创建私钥和根证书,用于生成/验证registry的令牌。当外部源提供密钥和根证书时,将此属性设置为off。有关详细信息,请参阅自定义密钥和harbor令牌服务证书。

  • ssl_cert: SSL证书的路径,仅在协议设置为https时应用

  • ssl_cert_key: SSL密钥的路径,仅在协议设置为https时应用

  • secretkey_path:用于加密或解密复制策略中远程Harbor密码的密钥路径。

  • log_rotate_count:日志文件在被删除之前会被轮转log_rotate_count次。如果count为0,则删除旧版本而不是轮转。

  • log_rotate_size:仅当日志文件大于log_rotate_size字节时才会轮转日志文件。如果大小后跟k,则假定大小以千字节为单位。如果使用M,则大小以兆字节为单位,如果使用G,则大小为千兆字节。尺寸100,尺寸100k,尺寸100M和尺寸100G都是有效的。

2.2、可选参数

Email settings:Harbor 需要这些参数才能向用户发送“密码重置”电子邮件,并且仅在需要该功能时才做配置。另外,请注意,在默认情况下SSL连接没有启用,如果您的SMTP服务器需要SSL,那么您应该通过设置email_ssl = TRUE参数来启用SSL,但不支持STARTTLS。如果电子邮件服务器使用自签名证书或不受信任证书,则需要设置email_insecure = true。

- email_server = smtp.mydomain.com
- email_server_port = 25
- email_identity =
- email_username = [sample_admin@mydomain.com](mailto:sample_admin@mydomain.com)
- email_password = abc
- email_from = admin [sample_admin@mydomain.com(mailto:sample_admin@mydomain.com)
- email_ssl = false
- email_insecure = false
  • harbor_admin_password: 管理员的初始密码。此密码仅在Harbor首次启动时生效。之后将忽略此设置,并且应在UI中设置管理员密码。请注意:默认用户名/密码为admin/Harbor12345

  • auth_mode:使用的身份验证类型。默认情况下,它是db_auth,即凭据存储在数据库中。对于LDAP身份验证,请将其设置为ldap_auth。

    重要信息:从现有Harbor实例升级时,必须确保在启动新版本的Harbor之前,harbor.cfg配置文件中auth_mode相同。否则,用户可能无法在升级后登录。

  • ldap_url: LDAP连接URL(例如ldaps://ldap.mydomain.com)。 仅在auth_mode设置为ldap_auth时使用。

  • ldap_searchdn: 具有搜索LDAP/AD服务器权限的用户的DN(例如uid=admin,ou=people,dc=mydomain,dc=com)。

  • ldap_search_pwd: ldap_searchdn指定的用户密码。

  • ldap_basedn:查找用户的基本DN,例如ou=people,dc=mydomain,dc=com仅在**auth_mode**设置为ldap_auth时使用

  • ldap_filter:用于查找用户的搜索过滤器,例如(objectClass=person)。

  • ldap_uid:用于在LDAP搜索期间匹配用户的属性,它可以是uid,cn,email或其他属性。

  • ldap_scope:搜索用户的范围,0-LDAP_SCOPE_BASE,1-LDAP_SCOPE_ONELEVEL,2-LDAP_SCOPE_SUBTREE。默认值为2。

  • self_registration :( on或off。默认on)启用/禁用用户自助注册功能。禁用时,新用户只能由管理员用户创建,只有管理员可以在Harbor中创建新用户。 注意:当auth_mode设置为ldap_auth时,始终禁用自助注册功能,并忽略此设置。

  • token_expiration:令牌服务创建的令牌到期时间(以分钟为单位),默认为30分钟。

  • project_creation_restriction:用于控制用户有权创建项目的设置。默认情况下,每个人都可以创建一个项目,设置为“adminonly”,只有管理员才能创建项目。

修改/etc/docker/daemon.json配置文件,增加insecure-registries配置

vi /etc/docker/daemon.json
{
    "registry-mirrors": ["https://7bezldxe.mirror.aliyuncs.com","http://f1361db2.m.daocloud.io"],
    "insecure-registries": ["192.168.1.111"],
    "graph": "/data/docker",
    "max-concurrent-downloads": 3,
    "max-concurrent-uploads": 5,
    "storage-driver": "overlay2",
    "storage-opts": ["overlay2.override_kernel_check=true"],
    "log-driver": "json-file",
    "log-opts": {
        "max-size": "100m",
        "max-file": "3"
    }
}
2.3、配置存储后端(可选)

默认情况下,Harbor将镜像存储在本地文件系统中。在生产环境中,您可以考虑使用其他存储后端而不是本地文件系统,如S3,OpenStack Swift,Ceph等。您需要更新的是storage文件中的部分common/templates/registry/config.yml。例如,如果您使用Openstack Swift作为存储后端,则该部分可能如下所示:

storage:
  swift:
    username: admin
    password: ADMIN_PASS
    authurl: http://keystone_addr:35357/v3/auth
    tenant: admin
    domain: default
    region: regionOne
    container: docker_images

注意:有关注册表存储后端的详细信息,请参阅 registry配置参考

2.4、Harbor监听自定义端口

默认情况下,Harbor监听80(HTTP)和443(HTTPS,如果已配置),您可以使用自定义命令对其进行修

  • 对于HTTP协议

1、修改 docker-compose.yml

将第一个80修改为自定义端口,例如8888:80。

  proxy:
      image: library/nginx:1.11.5
      restart: always
      volumes:
        - ./config/nginx:/etc/nginx
      ports:
        - 8888:80
        - 443:443
      depends_on:
        - mysql
        - registry
        - ui
        - log
      logging:
        driver: "syslog"
        options:  
          syslog-address: "tcp://127.0.0.1:1514"
          tag: "proxy"

2、修改harbor.yml,将端口添加到参数“hostname”

hostname : 192.168.1.111

3、重新部署Harbour,参考上一节“管理harbor的生命周期”。

  • 对于HTTPS协议

方法同HTTP协议

3、Harbor 安装

在harbor文件夹中有install.sh脚本,一旦harbor.cfg和存储后端(可选)配置完成,就可以镜像Harbor安装。请注意,在线安装需要一些时间从Docker hub下载Harbor镜像,具体根据实际网络情况。

  • 默认安装(没有Notary/Clair)
[root@harbor local]# sudo ./install.sh

Harbor已与Notary和Clair集成(用于漏洞扫描)。但是,默认不安装Notary或Clair服务。

如果一切正常,您应该能够打开浏览器访问 http://reg.yourdomain.com/ 上的管理门户(reg.yourdomain.com为harbor.cfg配置的主机名,默认管理员用户名/密码为admin/Harbor12345)。

登录管理门户并创建一个新项目,例如: myproject。然后,您可以使用docker命令登录和推送镜像。默认情况下,Harbor的默认安装使用HTTP协议,而Docker默认信任https协议。所以,要想docker命令登录和推送镜像,需要添加–insecure-registry到docker 配置文件并重启docker服务。

[root@harbor local]# docker login reg.yourdomain.com
[root@harbor local]# docker push reg.yourdomain.com/myproject/myrepo:mytag
  • 使用Notary安装

要使用Notary服务安装Harbour,请在运行install.sh时添加参数:

[root@harbor local]# sudo ./install.sh --with-notary

注意:使用notary安装,参数ui_url_protocol必须设置为“https”。

  • 使用Clair安装

要使用Clair服务安装Harbour,请在运行install.sh时添加参数:

[root@harbor local]# sudo ./install.sh --with-clair
  • 同时安装Clair和Notary
[root@harbor local]# sudo ./install.sh --with-notary --with-clair
作者:Jeebiz  创建时间:2023-02-12 01:54
最后编辑:Jeebiz  更新时间:2024-11-27 12:52