實戰(zhàn)案例-Docker倉庫的使用與維護

第7章容器云技術(shù)7.4實戰(zhàn)案例——Docker倉庫的使用與維護目錄2案例目標(biāo)案例分析案例實施010203301引言學(xué)習(xí)目標(biāo)了解主流的Docker倉庫掌握Harbor私有倉庫的搭建與使用掌握Harbor私有倉庫的主從同步401

案例目標(biāo)了解主流的Docker倉庫。掌握Harbor私有倉庫的搭建與使用。掌握Harbor私有倉庫的主從同步。502Docker簡介學(xué)習(xí)目標(biāo)節(jié)點規(guī)劃基礎(chǔ)準(zhǔn)備602

案例分析1.

規(guī)劃節(jié)點擴容計算節(jié)點的節(jié)點規(guī)劃。2.

基礎(chǔ)準(zhǔn)備所有節(jié)點已安裝好docker-ce，并執(zhí)行腳本image.sh。有外網(wǎng)的情況下可配置加速器，無外網(wǎng)則跳過此步驟。703案例實施學(xué)習(xí)目標(biāo)基礎(chǔ)環(huán)境配置部署Harbor鏡像管理與安全Docker客戶端Harbor主從復(fù)制81.

配置鏡像加速器（1）配置加速器修改守護進程/etc/docker/daemon.json文件并添加上registry-mirrors鍵值，默認通過此修改下載鏡像。03

案例實施[root@master

~]#

vi

/etc/docker/daemon.json{"registry-mirrors":

[""]}9在daemon.json配置文件中添加加速器地址,可以添加多個，每個地址用逗號隔開。03

案例實施[root@master

~]#

vi

/etc/docker/daemon.json{"registry-mirrors":

["",""]}（2）配置加速器[root@master~]#systemctlrestart

docker102.

部署Harbor（1）生成CA證書03

案例實施[root@master~]#mkdir-p/data/ssl

[root@master~]#

cd/data/ssl/[root@master

ssl]#

openssl

req

-newkeyrsa:4096

-nodes

-sha256

-keyout

ca.key

-x509

-days

2.235

-outca.crtCountryName

(2

letter

code)[XX]:CN#

國家StateorProvince

Name

(full

name)

[]:Chongqing#

城市Locality

Name

(eg,

city)

[Default

City]:ChongqingOrganization

Name

(eg,

company)

[Default

Company

Ltd]:yidaoyun#

公司名稱OrganizationalUnitName

(eg,

section)

[]:yidaoyunCommon

Name

(eg,

your

name

oryour

server's

hostname)

[]:

#

域名EmailAddress

[]:1103

案例實施[root@master

ssl]#

openssl

req

-newkey

rsa:4096

-nodes

-sha256

-keyout

.key

-out

.csrCountryName

(2

lettercode)

[XX]:CNStateorProvince

Name

(full

name)

[]:Chongqing

Locality

Name

(eg,

city)

[Default

City]:ChongqingOrganization

Name

(eg,

company)

[Default

Company

Ltd]:yidaoyun

OrganizationalUnitName

(eg,

section)

[]:yidaoyunCommon

Name

(eg,

your

name

or

your

server's

hostname)

[]:

EmailAddress

[]:Pleaseenterthefollowing'extra'attributes

to

besentwithyourcertificaterequestA

challengepassword[]:An

optional

company

name

[]:1203

案例實施[root@master

ssl]#

openssl

x509

-req

-days

2.235

-in

.csr

-CAca.crt-CAkey

ca.key

-CAcreateserial-out.crt

[root@masterssl]#ls/data/ssl/ca.crt

ca.key

ca.srl

.crt

.csr

.key生成注冊表主機的證書。13（2）分發(fā)證書03

案例實施[root@masterssl]#cp-rvf ./.crt /etc/pki/ca-trust/source/anchors/[root@master

ssl]#

update-ca-trust

enable

[root@master

ssl]#

update-ca-trust

extract（3）安裝docker-compose下載docker-compose的最新版本：[root@master~]#

curl-L

/docker/compose/releases/download/1.25.0-rc2/docker-

compose-`uname

-s`-`uname

-m`

-o

/usr/local/bin/docker-compose1403

案例實施為docker-compose添加可執(zhí)行權(quán)限：[root@master

~]#

chmod

+x

/usr/local/bin/docker-compose驗證查看docker-compose版本：[root@master

~]#

docker-compose

--version

docker-compose

version

1.25.0-rc2,

build661ac20e[root@master

~]#

wget

/harbor-

releases/harbor-offline-installer-v1.5.3.tgz（4）下載Harbor安裝包Harbor支持在線和離線安裝方式，此處使用離線方式安裝，先下載Harbor安裝包。1503

案例實施解壓離線安裝包。[root@master

~]#

tar

-zxvf

harbor-offline-installer-v1.5.3.tgz

-C

/opt/

[root@master~]#cd/opt/[root@masteropt]#ls

containerd harbor[root@masteropt]#cdharbor/（5）配置Harbor進入到harbor目錄。編輯配置文件。[root@masterharbor]#vi

harbor.cfg1603

案例實施[root@masterharbor]#viharbor.cfg

[root@masterharbor]#lscommon docker-compose.notary.yml ha harbor.v1.5.3.tar.gz LICENSEopen_source_licensedocker-compose.clair.yml docker-compose.yml harbor.cfg install.shNOTICE prepare修改以下內(nèi)容。hostname= #修改harbor的啟動IP，這里需要依據(jù)系統(tǒng)IP設(shè)置ui_url_protocol=

https #啟用加密傳輸協(xié)議httpsssl_cert

=

/data/ssl/.crt

#證書的位置

ssl_cert_key

=

/data/ssl/.key

#證書密鑰位置harbor_admin_password=000000 #修改harbor的admin用戶的密碼1703

案例實施（6）安裝Harbor[root@masterharbor]#

./prepare[root@master

harbor]#

./install.sh

--with-notary

--with-clair……Creating

nginx ...done

Creating

harbor-jobservice ...

done?

----Harbor

has

been

installed

and

started

successfully.----1803

案例實施（7）訪問Harbor在瀏覽器中，輸入https://即可訪問Harbor1903

案例實施（8）登錄Harbor以admin用戶，密碼為000000登錄系統(tǒng)2003

案例實施選擇“配置管理”菜單命令，項目創(chuàng)建選擇“僅管理員”，取消勾選“允許自注冊”，復(fù)選框，然后單擊“保存”按鈕213.

鏡像管理與安全（1）配置Docker03

案例實施[root@master

harbor]#

vi

/etc/docker/daemon.json{"registry-mirrors":

["",""],

"insecure-registries":[""]}必須重啟Docker才能生效。[root@masterharbor]#

systemctlrestart

docker2203

案例實施[root@masterharbor]#

./prepare（2）重新啟動Harbor私有鏡像倉庫讓Harbor修改過的配置立刻生效。清理所有Harbor容器進程。[root@master

harbor]#

docker-compose

down

Removing

harbor-log ...doneRemoving

network

harbor_harbor后臺啟動所有Harbor容器進程。[root@masterharbor]#

docker-compose

up-d……Creating

harbor-jobservice ...

done23（3）上傳鏡像03

案例實施[root@masterharbor]#docker

pullcentos[root@master

harbor]#

docker

tag

centos:latest

/library/centos:latest登錄驗證Harbor倉庫。[root@master

harbor]#

docker

login

Username:adminPassword:000000……Login

Succeeded2403

案例實施[root@master

harbor]#

docker

push

/library/centos:latestThe

push

refers

to

repository

[/library/centos] 9e607bb861a7:Pushed

latest:digest:

sha256:6ab380c5a5acf71c1b6660d645d2cd79cc8ce91b38e0352cbf9561e050427baf

size:529上傳鏡像到Harbor倉庫。重新啟用漏洞掃描。[root@master

harbor]#

./install.sh

--with-notary

--with-clair25（4）查看上傳結(jié)果登錄瀏覽器，選擇“項目”→“鏡像倉庫”菜單命令，查看鏡像上傳結(jié)果03

案例實施2603

案例實施選中鏡像，單擊“掃描”按鈕即可對鏡像進行漏洞掃描，掃描結(jié)果。2703

案例實施鏡像漏洞掃描結(jié)果。28（4）設(shè)置鏡像倉庫安全等級選擇“項目”→“配置管理”菜單命令，取消勾選“阻止?jié)撛诼┒寸R像”復(fù)選框，然后單擊“保存”按鈕03

案例實施294.

Docker客戶端（1）為Docker客戶端下發(fā)域名證書03

案例實施[root@master

~]#

cd

/data/ssl/[root@masterssl]#

scp

-r.crt

0:/etc/pki/ca-

trust/source/anchors/在Docker客戶端上執(zhí)行操作，讓證書立刻生效。[root@client~]#update-ca-trustenable

[root@client

~]#

update-ca-trust

extract下發(fā)證書后必須重啟動client節(jié)點的Docker服務(wù)。[root@client

~]#systemctl

restart

docker30（2）配置倉庫03

案例實施[root@client

~]#

vi

/etc/docker/daemon.json{"registry-mirrors":["",""],

"insecure-registries":[""]}[root@client~]#

systemctl

daemon-reload

[root@client~]#systemctlrestartdocker[root@client~]#

dockerpull

nginx3103

案例實施[root@client~]#cd

/etc/pki/ca-trust/source/anchors/

[root@clientanchors]#docker

login……Login

Succeeded（3）登錄倉庫docker-client登陸Harbor倉庫進行登陸驗證。[root@clientanchors]#dockertagnginx:latest/library/nginx:latest

[root@clientanchors]#dockerpush

/library/nginx:latest（4）上傳鏡像修改鏡像的名字并上傳Harbor私有倉庫。3203

案例實施瀏覽器登陸Harbor進行查看鏡像列表。選擇“項目”→“鏡像倉庫”→“鏡像”菜單命令，勾選鏡像（latest標(biāo)簽），單擊“掃描”按鈕即可對鏡像進行漏洞掃描。335.

Harbor主從復(fù)制（1）安裝Harbor在slave節(jié)點安裝一個Harbor私有倉庫作為Harbor的從庫，步驟參考之前master節(jié)點的安裝步驟，配置環(huán)境時域名設(shè)置為。在瀏覽器輸入“https://從庫IP”登錄Harbor03

案例實施3403