k8s学习-安装harbor以及与docker对接使用

k8s学习-安装harbor以及与docker对接使用

Harbor简介

虽然Docker官方提供了公共的镜像仓库，但是从安全和效率等方面考虑，部署我们私有环境内的Registry也是非常必要的。

Harbor是由VMware公司开源的企业级的Docker Registry管理项目，相比docker官方拥有更丰富的权限权利和完善的架构设计，适用大规模docker集群部署提供仓库服务。

它主要提供 Dcoker Registry 管理界面UI，可基于角色访问控制,镜像复制， AD/LDAP 集成，日志审核等功能，完全的支持中文。

主要功能

基于角色的访问控制

用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。

基于镜像的复制策略

镜像可以在多个Registry实例中复制（可以将仓库中的镜像同步到远程的Harbor，类似于MySQL主从同步功能），尤其适合于负载均衡，高可用，混合云和多云的场景。

图形化用户界面

用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。

支持 AD/LDAP

Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。

镜像删除和垃圾回收

Harbor支持在Web删除镜像，回收无用的镜像，释放磁盘空间。image可以被删除并且回收image占用的空间。

审计管理

所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

RESTful API

RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

部署简单

提供在线和离线两种安装工具， 也可以安装到vSphere平台(OVA方式)虚拟设备。

Harbor 的所有组件都在 Docker 中部署，所以 Harbor 可使用 Docker Compose 快速部署。注意： 由于 Harbor 是基于 Docker Registry V2 版本，所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0

架构组件

1、Proxy：反向代理工具

2、Registry：负责存储docker镜像，处理上传/下载命令。对用户进行访问控制，它指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token，registry会通过公钥对token进行解密验证。

3、Core service：Harbor的核心功能：

UI：图形界面Webhook：及时获取registry上image状态变化情况，在registry上配置 webhook，把状态变化传递给UI模块。Token服务：复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求，如果不包含token，会被重定向到这里，获得token后再重新向registry进行请求。

4、Database：提供数据库服务，存储用户权限，审计日志，docker image分组信息等数据

5、Log collector：为了帮助监控harbor运行，复责收集其他组件的log，供日后进行分析

安装配置

这里采用最新的Harbor 2.5版本进行安装。部署在单台服务上，由于是实验部署，不考虑配置docs | Download the Harbor Installer (goharbor.io)​​

安装docker-compose和harbor

#首先需要安装docker-composeyum install docker-compose -y#采用在线安装脚本安装wget -xvf harbor-online-installer-v2.5.3.tgz

目录结构如下所示：

安装之前，首先要复制harbor.yml.tmpl为harbor.yml,此文件就是harbor的配置文件

mv harbor.yml.tmpl mv harbor.ymlvim harbor.yml

1 修改主机名，由于是实验环境，直接配置为IP地址

2 修改HTTP的port，默认是80

3 注释掉|配置海港 YML 文件 (goharbor.io)​​

修改完成后，运行脚本

sh install.sh

在安装的过程中，首先会调用docker-compose拉取所需的镜像，大概需要十几分钟。

出现以下结果，代表安装成功

检查dokcer-compose中harbor是否已经启动

登录，​​down -v#查看状态docker ps a 或者docker-compose ps#再次开启docker-compose up -d

harbor公有仓库配置

在harbor上默认仓库是叫library，默认公开

测试创建一个test的仓库，配置如下：

测试使用docker推送/拉取镜像

使用dokcer命令，推送到harbor,默认情况是80,实验改成了8090,由于docker默认配置采用/etc/docker/daemon.jsonecho '{"insecure-registries":["> /etc/docker/daemon.jsonsystemctl restart docker#首先进行登录docker login -u admin -p Harbor12345 hub上pull拉取pull tag 192.168.85.3:8090/test/push 192.168.85.3:8090/test/的CRI接口包括两个gRPC服务：运行服务 （RuntimeService）和镜像服务（ImageManagerService），其中，镜像服务 负责拉取镜像，每个容器运行时都需要实现在镜像服务中定义的接口。目 前Kubernetes的CRI容器运行时有CRI-O和containerd等，kubelet与镜像仓库 的交互关系如下所述

在k8s中使用Secret资源保存镜像仓库的凭证，在pod中使用imagePullSecrets属性，指定secert的名称，就能访问镜像仓库服务。

首先在k8s中配置类型为docker-registry的secret.

kubectl create secret docker-registry myregistrykey \--docker-server=--docker-username=k8s \--docker-password=Aa123456@ --namespace default

由于没有采用/etc/docker/daemon.jsonecho '{"insecure-registries":["> /etc/docker/daemon.jsonsystemctl restart docker

然后，尝试使用该secret创建一个pod,从harbor拉取镜像。yaml文件如下：

apiVersion: v1kind: Podmetadata: name: harborpod namespace: defaultspec: containers: - name: harborpod image: test/ #仓库名加镜像标签 imagePullPolicy: Always imagePullSecrets: - name: myregistrykey

创建pod，查看pod信息

确认拉取成功，pod创建成功

特别注意

在k8s 1.20以后的版本中，默认使用containerd来代替docker作为runtime,所以针对私有仓库，/etc/containerd/config.toml

[plugins."io.containerd.grpc.v1.cri".registry.mirrors."core.harbor.service.com:80"] endpoint = [" [plugins."io.containerd.grpc.v1.cri".registry.configs] [plugins."io.containerd.grpc.v1.cri".registry.configs."core.harbor.service.com".tls] insecure_skip_verify = true

[plugins."io.containerd.grpc.v1.cri".registry.mirrors."core.harbor.service.com"] endpoint = [" [plugins."io.containerd.grpc.v1.cri".registry.configs] [plugins."io.containerd.grpc.v1.cri".registry.configs."core.harbor.service.com".tls] insecure_skip_verify = true

配置完成后重启containerd服务

systemctl restart containerd

本次配置示例如下：

以后大家要适应，忘掉docker,使用containerd吧

相关参考文档：

​​cri/registry.md at master · containerd/cri · GitHub​​

​​kubernetes1.20.x通过自签名- 知乎 (zhihu.com)​​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。