搭建私有鏡像倉(cāng)庫(kù)和利于團(tuán)隊(duì)開發(fā)和運(yùn)維释簿，搭建方式有兩種阅签。

準(zhǔn)備工作

安裝docker

• 設(shè)置倉(cāng)庫(kù)

sudo yum install -y yum-utils
device-mapper-persistent-data
lvm2

• 配置鏡像源

sudo yum-config-manager
--add-repo
http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

• 安裝docker

sudo yum install docker-ce docker-ce-cli containerd.io

• 啟動(dòng)docker

sudo systemctl start docker

• 設(shè)置開機(jī)啟動(dòng)

sudo systemctl enable docker

安裝docker-compose

• 安裝docker-compose

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-(uname -m)" -o /usr/local/bin/docker-compose
或 將下載好docker-compose文件上傳到Centos7 mv docker-compose /usr/local/bin/docker-compose

• 修改comose執(zhí)行權(quán)限

sudo chmod +x /usr/local/bin/docker-compose

• 創(chuàng)建快捷方式

sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

• 檢查安裝是否成功

docker-compose --version

• 詳細(xì)說(shuō)明 Docker Compose | 菜鳥教程 (runoob.com)

安裝python3.9

• 下載python
  Index of /ftp/python/

一、利用docker提供registry鏡像文件實(shí)現(xiàn)

配置環(huán)境

• 下載registry鏡像

docker pull registry

• 啟動(dòng)私有倉(cāng)庫(kù)容器(要檢查目錄是否存在嫌蚤，權(quán)限是否開放)

docker run -d -p 8899:5000 --name=publicregistry --restart=always --privileged=true -v /usr/local/docker_registry:/var/lib/registry docker.io/registry

• 修改deamon.json（這一步可以省略）

* 配置鏡像訪問地址
>vi /etc/docker/daemon.json
添加以下內(nèi)容，保存退出。
{"insecure-registries":["ip:端口"]} 
此步用于讓 docker信任私有倉(cāng)庫(kù)地址

• 重啟docker

systemctl restart docker

• 啟動(dòng)registry倉(cāng)庫(kù)鏡像

docker start publicregistry

上傳鏡像到私有倉(cāng)庫(kù)

• 標(biāo)記鏡像

docker tag 鏡像名[:tag] [REGISTRYHOST/][USERNAME/]NAME[:TAG]
docker tag nginx localhost:8899/nginx

• 上傳鏡像

docker push 鏡像名[:tag]
docker push localhost:8899/nginx
再?gòu)臑g覽器訪問http://localhost/v2/[ _catalog ]
發(fā)現(xiàn)能看到剛剛上傳的鏡像

• 刪除鏡像

docker rmi 111.*******:5000/nginx
docker rmi nginx

• 拉取鏡像祝辣，docker默認(rèn)從本地拉取，也可手動(dòng)指定從本地拉取

docker pull localhost:8899/nginx

二切油、利用Harbor搭建私有鏡像倉(cāng)庫(kù)

• 默認(rèn)情況下只需要配置 harbor.yml的hostname參數(shù)就可以了
• 詳查Harbor私有鏡像倉(cāng)庫(kù)無(wú)坑搭建 (juejin.cn)

安全配置

Harbor docs | Configure HTTPS Access to Harbor (goharbor.io)

• 生成公匙

openssl genrsa -out ca.key 4096

• 生成公匙對(duì)

openssl req -x509 -new -nodes -sha512 -days 3650
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor"
-key ca.key
-out ca.crt

• 生成私匙

openssl genrsa -out harbor.key 4096

• 生成私匙對(duì)

openssl req -sha512 -new
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor"
-key harbor.key
-out harbor.csr

• 創(chuàng)建V3文件

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=192.168.179.1
DNS.2=harbor
EOF

• 應(yīng)用私匙

openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in harbor.csr \
    -out harbor.crt

• 將服務(wù)器證書和密鑰復(fù)制到您的harbor主機(jī)上的認(rèn)證文件夾中蝙斜。

cp harbor.crt /data/harbor/cert/
cp harbor.key /data/harbor/cert/

• 轉(zhuǎn)換為，Docker使用澎胡。（注意要切換目錄）

openssl x509 -inform PEM -in harbor.crt -out harbor.cert

• 將服務(wù)器證書孕荠、密鑰和 CA 文件復(fù)制到harbor主機(jī)上的 Docker 證書文件夾中。您必須首先創(chuàng)建相應(yīng)的文件夾攻谁。

cp harbor.cert /etc/docker/certs.d/harbor/
cp harbor.key /etc/docker/certs.d/harbor/
cp ca.crt /etc/docker/certs.d/harbor/

• 如果將默認(rèn)端口 443 映射到其他端口稚伍，則創(chuàng)建文件夾或。

nginx/etc/docker/certs.d/harbor:port/etc/docker/certs.d/harbor_IP:port

• 重啟docker

systemctl restart docker

安裝和參數(shù)配置

Harbor docs | Configure the Harbor YML File (goharbor.io)
默認(rèn)配置文件harbor.yml需要修改3個(gè)參數(shù)

• 主機(jī)名

hostname: harbor

• 生成的密匙文件

certificate: /data/harbor/cert/harbor.cert
private_key: /data/harbor/cert/harbor.key

image.png

測(cè)試訪問

• 默認(rèn)用戶名 admin 密碼 可在配置文件內(nèi)找到（harbor_admin_password）
• 在web頁(yè)面創(chuàng)建用戶名和密碼
• 創(chuàng)建項(xiàng)目