- 1Unity shader Reflect 取反问题_shader取相反
- 2vue脚手架在vue.config.js文件中配置scss全局变量_vue.config.js scss
- 3狂神说Docker进阶版_k8s 狂神
- 4ScheduledThreadPoolExecutor源码解读(二)——ScheduledFutureTask时间调度执行任务(延迟执行、周期性执行)_delayedexecute
- 5linux terminal 命令--chown&chgrp&chmod_terminal chmod
- 6后端开发实践:Spring Boot项目模板_springboot项目模板
- 7解读大模型的微调
- 8素数距离问题--以为存储素数表会更快,结果sqrt更快
- 9【Linux从入门到精通】Linux常用基础指令(上)
- 10为 Ubuntu22.04 系统添加中文输入法_ubuntu22.04中文输入法
Docker Compose 容器编排 + Docker--harbor私有仓库部署与管理_docker harbor docker-compose
赞
踩
目录
1、Docker Compose 的YAML 文件格式及编写注意事项
前言:
一个大型的Docker组成的微服务应用中,容器的数量是非常庞大的,如果依赖传统的人工配置方式进行维护,对于开发和运维来说简直就是噩梦。Compose的出现正是为了解决这个问题。
一、Docker Compose简介
Docker Compose的前身是Fig,Fig被Docker收购之后正式更名为Compose,Compose向下兼容Fig
Docker Compose是一个用于定义和运行多容器Docker应用的工具,只需要一个Compose的配置文件和一个简单的命令就可以创建并运行应用所需的所有容器,而不再需要使用shell脚本来启动容器
Docker Compose 非常适合组合使用多个容器进行开发的场景
1、Docker Compose 的YAML 文件格式及编写注意事项
vim docker-compose.yml
YAML 是一种标记语言很直观的数据序列化格式。 文件格式及编写注意事项如下所示:
① 不支持制表符Tab 建缩进,需要使用空格缩进
② 通常开头缩进2个空格
③ 字符后缩进1个空格,如:冒号,逗号,横杆
④ 用井号注释
⑤ 如果包含特殊字符用单引号引起来
⑥ 布尔值必须用单引号括起来
2、Docker compose 使用的三个步骤
① 使用Dokcerfile 定义应用程序的环境
② 使用docker-compose.yml 定义构成应用程序的服务,这样它们就可以再隔离环境中一起运行
③ 最后执行 docker-compose up 命令来启动并运行整个应用程序
3、 Docker Compose配置常用字段
| 字段 | 描述 |
|---|---|
| build | 指定Dockerfile文件名(要指定的Dockerfile文件需要在build标签的子级标签中用dockerfile标签指定) |
| dockerfile | 构建镜像上下文路径 |
| context | 可以是dockerfile路径,或者是执行git 仓库的url地址 |
| image | 指定镜像(已存在) |
| command | 执行命令,会覆盖容器启动后默认执行的命令(会覆盖Dockerfile的CMD指令) |
| container_name | 指定容器名称,由于容器名称是唯一的,如果指定自定义名称,则无法scale指定容器数量 |
| deploy | 指定部署和运行服务相关配置,只能在Swarm模式使用 |
| environment | 添加环境变量 |
| networks | 加入网络,引用顶级networks下条目 |
| network-mode | 设置容器的网络模式 |
| ports | 暴露容器端口,与-p 相同,但是端口不能低于60 |
| volumes | 挂载一个宿主机目录或命令卷到容器,命名卷要在顶级volumes 定义卷名称 |
| volumes_from | 从另一个服务或容器挂载卷,可选参数 :ro 和 :rw,(仅版本‘2’支持) |
| hostname | hostname |
| hostname | 在容器内设置内核参数 |
| links | 连接到另一个容器,- 服务名称[ : ] |
| privileged | 用来给容器root权限,注意是不安全的,truerestart 重启策略,定义是否重启容器;1.no,默认策略,在容器退出时不重启容器。 2.on-failure,在容器非正常退出时(退出状态非0),才会重启容器。 3.on-failure:3,在容器非正常退出时重启容器,最多重启3次。 4.always,在容器退出时总是重启容器。 5.unless-stopped,在容器退出时总是重启容器,但是不考虑在Docker守护进程启动时就已经停止了的容器。 |
| depends_on | 此标签用于解决容器的依赖,启动先后问题。如启动应用容器,需要先启动数据库容器php:depends_on:- apache- mysql |
4、 Docker Compose 常用命令
| 字段 | 描述 |
|---|---|
| build | 重新构建服务 |
| ps | 列出容器 |
| up | 创建和启动容器 |
| exec | 在容器里面执行命令 |
| scale | 指定一个服务容器启动数量 |
| top | 显示正在运行的容器进程 |
| logs | 查看服务容器的输出 |
| down | 删除容器、网络、数据卷和镜像 |
| stop/start/restart | 停止/启动/重启服务 |
5、 Docker Compose 文件结构
- 对象: 键值对的字典
- animal: pets
-
- 数组: 一组按次序排列的列表
- - cat
- - dog
- - goldfish
-
- 布尔值
- debug: "true"
- debug: "false"
-
-
- #Yaml示例
- languages: #序列的映射
- - Java
- - Golang
- - Python
- websites: #映射的映射
- Baidu: www.baidu.com
- Wangyi: www.163.com
- Souhu: www.souhu.com
-
-
- #或者
- languages: ["Java","Golong","Python"]
- websites:
- Baidu:
- www.baidu.com
- Wangyi:
- www.163.com
- Souhu:
- www.souhu.com
-
-
-
- #Json格式
- {
- languages: [
- 'Java',
- 'Golong',
- 'Python',
- ],
- websites: [
- Baidu: 'www.baidu.com',
- Wangyi: 'www.163.com',
- Souhu: 'www.souhu.com',
- ]
- }
二: Docker Compose 安装
1、Docker Compose 环境安装
- Docker Compose 是 Docker 的独立产品,因此需要安装 Docker 之后在单独安装 Docker Compose
-
- #下载
- curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
- #安装
- chmod +x /usr/local/bin/docker-compose
- #查看版本
- docker-compose --version
2、Docker Compose 文件结构
- yum install -y tree
- tree /opt/compose_nginx
- /opt/compose_nginx/
- ├── docker-compose.yml #创建模板脚本
- ├── nginx
- │?? ├── Dockerfile #创建容器脚本
- │?? ├── nginx-1.12.0.tar.gz #复制源码包
- │?? └── run.sh #启动服务脚本
- └── wwwroot
- └── index.html #站点网页
(1)准备依赖文件
- mkdir -p /opt/compose_nginx/nginx /opt/compose_nginx/wwwroot
- cd /opt/compose_nginx/nginx
- cp nginx-1.12.0.tar.gz ./
-
- vim run.sh
- #!/bin/bash
- /usr/local/nginx/sbin/nginx
-
- vim Dockerfile
- #基于基础镜像
- FROM centos:7
- #用户信息
- MAINTAINER this is nginx image <wl>
- #添加环境包
- RUN yum -y update
- RUN yum -y install pcre-devel zlib-devel gcc gcc-c++ make
- RUN useradd -M -s /sbin/nologin nginx
- #上传nginx软件压缩包,并解压
- ADD nginx-1.12.0.tar.gz /usr/local/src/
- #指定工作目录
- WORKDIR /usr/local/src/nginx-1.12.0
- RUN ./configure \
- --prefix=/usr/local/nginx \
- --user=nginx \
- --group=nginx \
- --with-http_stub_status_module && make && make install
- ENV PATH /usr/local/nginx/sbin:$PATH
- #指定http和https端口
- EXPOSE 80
- EXPOSE 443
- //方法一:
- RUN echo "daemon off;" >> /usr/local/nginx/conf/nginx.conf #关闭 nginx 在后台运行
- #添加宿主机中run.sh到容器中
- ADD run.sh /run.sh
- RUN chmod 755 /run.sh
- CMD ["/run.sh"]
- //方法二:
- ENTRYPOINT [ "/usr/local/nginx/sbin/nginx", "-g", "daemon off;" ]
-
-
- echo "<h1>this is test web</h1>" > /opt/compose_nginx/wwwroot/index.html
(2)编写配置文件docker-compose.yml
- vim /opt/compose_nginx/docker-compose.yml
- version: '3'
- services:
- nginx:
- container_name: web1
- hostname: nginx
- build:
- context: ./nginx
- dockerfile: Dockerfile
- ports:
- - 1216:80
- - 1217:443
- networks:
- lnmp:
- ipv4_address: 172.18.0.10
- volumes:
- - ./wwwroot:/usr/local/nginx/html
- networks:
- lnmp:
- driver: bridge
- ipam:
- config:
- - subnet: 172.18.0.0/16
-
- cd /opt/compose_nginx/
- docker-compose -f docker-compose.yml up -d
- ----------------------------------------------------------------------------------------------------------
- -f, --file FILE :使用特定的 compose 模板文件,默认为 docker-compose.yml
- -p, --project-name NAME :指定项目名称,默认使用目录名称
- -d :在后台运行
- ----------------------------------------------------------------------------------------------------------
-
- docker ps -a
- CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
- b48dceee248f compose_nginx_nginx "/run.sh" About a minute ago Up About a minute 0.0.0.0:1216->80/tcp, 0.0.0.0:1217->443/tcp compose_nginx_nginx_1
-
- cd /opt/compose_nginx/
- docker-compose ps #必须在docker-compose.yml所在目录执行此命令
三:Harbor 简介
1、什么是Harbor
Harbor 是 VMware 公司开源的企业级 Docker Registry 项目,其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务。
Harbor以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。
Harbor 的每个组件都是以 Docker 容器的形式构建的,使用 docker-compose 来对它进行部署。用于部署 Harbor 的 docker-compose 模板位于 harbor/docker-compose.yml。
2、Harbor的特性
1、基于角色控制:用户和仓库都是基于项目进行组织的,而用户在项目中可以拥有不同的权限。
2、基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制(同步)。
3、支持 LDAP/AD:Harbor 可以集成企业内部已有的 AD/LDAP(类似数据库的一张表),用于对已经存在的用户认证和管理。
4、镜像删除和垃圾回收:镜像可以被删除,也可以回收镜像占用的空间。
5、图形化用户界面:用户可以通过浏览器来浏览,搜索镜像仓库以及对项目进行管理。
6、审计管理:所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
7、支持 RESTful API:RESTful API 提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易。
8、Harbor和docker registry的关系:Harbor实质上是对docker registry做了封装,扩展了自己的业务模板。
3、Harbor的构成
Harbor 在架构上主要有 Proxy、Registry、Core services、Database(Harbor-db)、Log collector(Harbor-log)、Job services 六个组件。
●Proxy: 是一个 nginx 的前端代理,Harbor 的 Registry、UI、Token 服务等组件,都处在 nginx 反向代理后边。 该代理将来自浏览器、docker clients 的请求转发到后端不同的服务上。
●Registry: 负责储存 Docker 镜像,并处理 Docker push/pull 命令。由于要对用户进行访问控制,即不同用户对 Docker 镜像 有不同的读写权限,Registry 会指向一个 Token 服务,强制用户的每次 Docker pull/push 请求都要携带一个合法的 Token, Registry 会通过公钥对 Token 进行解密验证。
●Core services: Harbor的核心功能,主要提供以下3个服务:
1)UI(harbor-ui): 提供图形化界面,帮助用户管理 Registry 上的镜像(image), 并对用户进行授权。
2)WebHook:为了及时获取Registry 上image 状态变化的情况,在Registry 上配置 Webhook,把状态变化传递给 UI 模块。
3)Token 服务:负责根据用户权限给每个 Docker push/pull 命令签发 Token。Docker 客户端向 Registry 服务发起的请求, 如果不包含 Token,会被重定向到 Token 服务,获得 Token 后再重新向 Registry 进行请求。
●Database(harbor-db):为core services提供数据库服务,负责储存用户权限、审计日志、Docker 镜像分组信息等数据。
●Job services: 主要用于镜像复制,本地镜像可以被同步到远程 Harbor 实例上。
●Log collector(harbor-log): 负责收集其他组件的日志到一个地方。
Harbor 的每个组件都是以 Docker 容器的形式构建的,因此,使用 Docker Compose 来对它进行部署。
总共分为7个容器运行,通过在docker-compose.yml所在目录中执行 docker-compose ps 命令来查看, 名称分别为:nginx、harbor-jobservice、harbor-ui、harbor-db、harbor-adminserver、registry、harbor-log。
其中 harbor-adminserver 主要是作为一个后端的配置数据管理,并没有太多的其他功能。harbor-ui 所要操作的所有数据都通过 harbor-adminserver 这样一个数据配置管理中心来完成。
四:Harbor 部署
1. 部署 Docker-Compose 服务
- //下载或者上传 Docker-Compose
- curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
-
- chmod +x /usr/local/bin/docker-compose
-
- docker-compose -v
2、部署 Harbor 服务
(1)下载或上传 Harbor 安装程序
- Harbor的压缩包下载地址:https://github.com/goharbor/harbor/releases
-
- wget http://harbor.orientsoft.cn/harbor-1.2.2/harbor-offline-installer-v1.2.2.tgz
-
- tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/
-
(2)修改harbor安装的配置文件
- vim /usr/local/harbor/harbor.yml
- --5行--修改,设置为Harbor服务器的IP地址或者域名
- hostname = 192.168.231.102
- --59行--指定管理员的初始密码,默认的用户名/密码是admin/Harbor12345
- harbor_admin_password = Harbor12345
-
- ----------------------------------------------------------------------------------------------------------
- 关于 Harbor.cfg 配置文件中有两类参数:所需参数和可选参数
- 1、所需参数:这些参数需要在配置文件 Harbor.cfg 中设置。如果用户更新它们并运行 install.sh 脚本重新安装 Harbor, 参数将生效。具体参数如下:
- ●hostname:用于访问用户界面和 register 服务。它应该是目标机器的 IP 地址或完全限定的域名(FQDN),例如 192.168.80.10 或 hub.kgc.cn。不要使用 localhost 或 127.0.0.1 为主机名。
-
- ●ui_url_protocol:(http 或 https,默认为 http)用于访问 UI 和令牌/通知服务的协议。如果公证处于启用状态,则此参数必须为 https。
-
- ●max_job_workers:镜像复制作业线程。
-
- ●db_password:用于db_auth 的MySQL数据库root 用户的密码。
-
- ●customize_crt:该属性可设置为打开或关闭,默认打开。打开此属性时,准备脚本创建私钥和根证书,用于生成/验证注册表令牌。当由外部来源提供密钥和根证书时,将此属性设置为 off。
-
- ●ssl_cert:SSL 证书的路径,仅当协议设置为 https 时才应用。
-
- ●secretkey_path:用于在复制策略中加密或解密远程 register 密码的密钥路径。
-
- 2、可选参数:这些参数对于更新是可选的,即用户可以将其保留为默认值,并在启动 Harbor 后在 Web UI 上进行更新。如果进入 Harbor.cfg,只会在第一次启动 Harbor 时生效,随后对这些参数的更新,Harbor.cfg 将被忽略。
-
- 注意:如果选择通过 UI 设置这些参数,请确保在启动 Harbor 后立即执行此操作。具体来说,必须在注册或在 Harbor 中创建任何新用户之前设置所需的 auth_mode。当系统中有用户时(除了默认的 admin 用户), auth_mode 不能被修改。 具体参数如下:
- ●Email:Harbor 需要该参数才能向用户发送“密码重置”电子邮件,并且只有在需要该功能时才启用。请注意,在默认情况下 SSL 连接时没有启用。如果 SMTP 服务器需要 SSL,但不支持 STARTTLS,那么应该通过设置启用 SSL email_ssl = TRUE。
-
- ●harbor_admin_password:管理员的初始密码,只在 Harbor 第一次启动时生效。之后, 此设置将被忽略,并且应在 UI 中设置管理员的密码。请注意,默认的用户名/密码是admin/Harbor12345。
-
- ●auth_mode:使用的认证类型,默认情况下,它是 db_auth,即凭据存储在数据库中。对于LDAP身份验证,请将其设置为 ldap_auth。
-
- ●self_registration:启用/禁用用户注册功能。禁用时,新用户只能由 Admin 用户创建,只有管理员用户可以在 Harbor 中创建新用户。注意:当 auth_mode 设置为 ldap_auth 时,自注册功能将始终处于禁用状态,并且该标志被忽略。
-
- ●Token_expiration:由令牌服务创建的令牌的到期时间(分钟),默认为 30 分钟。
-
- ●project_creation_restriction:用于控制哪些用户有权创建项目的标志。默认情况下,每个人都可以创建一个项目。 如果将其值设置为“adminonly”,那么只有 admin 可以创建项目。
-
- ●verify_remote_cert:打开或关闭,默认打开。此标志决定了当Harbor与远程 register 实例通信时是否验证 SSL/TLS 证书。 将此属性设置为 off 将绕过 SSL/TLS 验证,这在远程实例具有自签名或不可信证书时经常使用。
-
- 另外,默认情况下,Harbor 将镜像存储在本地文件系统上。在生产环境中,可以考虑 使用其他存储后端而不是本地文件系统,如 S3、Openstack Swif、Ceph 等对象存储。但需要更新 common/templates/registry/config.yml 文件。
- Harbor的默认镜像存储路径在 /data/registry 目录下,映射到docker容器里面的 /storage 目录下。
- 这个参数是在 docker-compose.yml 中指定的,在 docker-compose up -d 运行之前修改。
- 如果希望将 Docker 镜像存储到其他的磁盘路径,可以修改这个参数。
3、启动 Harbor
- cd /usr/local/harbor/
- 在配置好了 harbor.cfg 之后,执行 ./prepare 命令,为 harbor 启动的容器生成一些必要的文件(环境)
- 再执行命令 ./install.sh 以 pull 镜像并启动容器
4. 查看 Harbor 启动镜像
- cd /usr/local/harbor/
- docker-compose ps
-
- docker-compose up -d #启动
- docker-compose stop #停止
- docker-compose restart #重新启动
5、 创建一个新项目
- (1)浏览器访问:http://192.168.231.102 登录 Harbor WEB UI 界面,默认的管理员用户名和密码是 admin/Harbor12345
-
- (2)输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮
-
- (3)填写项目名称为“myproject-kgc”,点击“确定”按钮,创建新项目
-
- (4)此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下,Registry 服务器在端口 80 上侦听。
- //登录 Harbor
- docker login [-u admin -p Harbor12345] http://127.0.0.1
-
- //下载镜像进行测试
- docker pull nginx
-
- //将镜像打标签
- 格式:docker tag 镜像:标签 仓库IP/项目名称/镜像名:标签
- docker tag nginx:latest 127.0.0.1/myproject-kgc/nginx:v1
-
- //上传镜像到 Harbor
- docker push 127.0.0.1/myproject-kgc/nginx:v1
-
- (5)在 Harbor 界面 myproject-kgc 目录下可看见此镜像及相关信息
6、在其他客户端上传镜像
- 以上操作都是在 Harbor 服务器本地操作。如果其他客户端登录到 Harbor,就会报如下错误。出现这问题的原因为Docker Registry 交互默认使用的是 HTTPS,但是搭建私有镜像默认使用的是 HTTP 服务,所以与私有镜像交互时出现以下错误。
-
- docker login -u admin -p Harbor12345 http://192.168.231.102
- WARNING! Using --password via the CLI is insecure. Use --password-stdin.
- Error response from daemon: Get https://192.168.231.102/v2/: dial tcp 192.168.231.102:443: connect: connection refused
-
- (1)在 Docker 客户端配置操作
- //解决办法是:在 Docker server 启动的时候,增加启动参数,默认使用 HTTP 访问。
- vim /usr/lib/systemd/system/docker.service
- --13行--修改
- ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.231.102 --containerd=/run/containerd/containerd.sock
- 或
- ExecStart=/usr/bin/dockerd --insecure-registry 192.168.231.102
-
- //重启 Docker,再次登录
- systemctl daemon-reload
- systemctl restart docker
-
- //再次登录 Harbor
- docker login -u admin -p Harbor12345 http://192.168.231.102
- WARNING! Using --password via the CLI is insecure. Use --password-stdin.
- WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
- Login Succeeded
- //将自动保存凭据到/root/.docker/config.json,下次登录时可直接使用凭据登录 Harbor
-
- //下载镜像进行测试
- docker pull 192.168.231.102/myproject-kgc/nginx:v1
-
- //上传镜像进行测试
- docker pull cirros
- docker tag cirros:latest 192.168.231.102/myproject-kgc/cirros:v2
- docker push 192.168.80.10/myproject-kgc/cirros:v2
-
- (2)刷新 Harbor 的 Web 管理界面进行查看,会发现 myproject-kgc 项目里面有两个镜像
-
7、创建Harbor数据同步
在另外主机创建一Harbor,两台Harbor建立连接,实现镜像数据同步
