当前位置：首页 > news >正文

基于 harbor 构建docker私有仓库

news 来源：原创 2025/8/22 23:58:50

仓库（Repository）是集中存放镜像的地方，又分公共仓库和私有仓库。

有时候容易把仓库与注册服务器（Registry）混淆。实际上注册服务器是存放仓库的具体服务器，一个注册服务器上可以有多个仓库，而每个仓库下面可以有多个镜像。从这方面来说，仓库可以被认为是一个具体的项目或目录。例如对于仓库地址private-docker.com/ubuntu来说， private-docker.com 是注册服务器地址， ubuntu 是仓库名。

1. 什么是Docker私有仓库

Docker私有仓库是用于存储和管理Docker镜像的私有存储库。Docker默认会有一个公共的仓库Docker Hub，而与Docker Hub不同，私有仓库是受限访问的，只有授权用户才能够上传、下载和管理其中的镜像。这种私有仓库可以部署在本地云环境中，用于组织内部开发、测试和生产环境中的容器镜像管理。保证数据安全性。

2. Docker有哪些私有仓库

以下是一些常见的Docker私有仓库：

Harbor：作为一个企业级的Docker Registry服务，Harbor提供了安全、可信赖的镜像存储和管理功能。它支持RBAC权限控制、镜像复制、镜像签名、漏洞扫描等功能。
Docker Trusted Registry (DTR)：由Docker官方推出的企业级Docker私有仓库服务，与Docker Engine紧密集成，支持高度的安全性和可靠性。
Portus：一个开源的Docker镜像管理和认证服务，提供用户管理、团队管理、镜像审核等功能，与Docker Registry兼容。
Nexus Repository Manager：虽然主要是用于构建和管理Java组件，但也可以用作Docker私有仓库。它具有强大的存储管理和权限控制功能。
GitLab Container Registry：GitLab集成了容器注册表功能，允许您存储、管理和分发Docker镜像。这是GitLab自带的功能，无需额外部署。
AWS Elastic Container Registry (ECR)：如果使用AWS云服务，可以考虑使用AWS ECR作为私有仓库。它与AWS的其他服务集成紧密，对AWS用户来说是一个方便的选择。

本篇使用Harbor搭建Docker私有仓库。

3. Harbor简介

Harbor是一个开源的企业级Docker Registry服务，它提供了一个安全、可信赖的仓库来存储和管理Docker镜像。Harbor翻译为中文名称为"庇护；居住;"。可以理解为是Docker镜像的"居住环境"或者是镜像的"庇护所"。Harbor最初由VMware公司开发，旨在解决企业级Docker镜像管理的安全和可信任性问题。VMware于2016年发布，在2017年，VMware将Harbor开源，这使得更广泛的社区和组织可以自由地使用和贡献代码。Harbor是一个成熟、功能丰富且安全可靠的企业级Docker Registry服务，为企业容器化应用的部署和管理提供了强大的支持。

Harbor官网地址：Harbor (goharbor.io)

Github开源地址：GitHub - goharbor/harbor: An open source trusted cloud native registry project that stores, signs, and scans content.

4. Harbor和docker下载

4.1 添加docker添加软件源信息

yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

4.2 下载docker及其插件

docker-ce

yum install docker-ce -y

4.3 下载 harbor 离线包

wget -c https://github.com/goharbor/harbor/releases/download/v2.12.2/harbor-offline-installer-v2.12.2.tgz

4.4 解压

解压文件

tar xf harbor-offline-installer-v2.8.4.tgz -C /usr/local/

5. 启动Harbor

5.1 修改配置文件

复制harbor.yml.tmpl 文件并重命名为harbor.yml修改此配置文件，需要设置hostname、端口、数据库密码等。

cd /usr/local/harbor/cp harbor.yml.tmpl harbor.yml #拷贝vim harbor.yml

修改配置文件：

#修改hostname的值，如果没有域名就使用本机IP地址
hostname: reg.yym.com#配置启动端口号
# http related config 
http:# port for http, default is 80. If https enabled, this port will redirect to https portport: 80# 如果没有申请证书，需要隐藏https
#https:# https port for harbor, default is 443
#  port: 443# The path of cert and key files for nginx
#  certificate: /your/certificate/path
#  private_key: /your/private/key/path#启动成功后，admin用户登录密码
# Remember Change the admin password from UI after launching Harbor.
harbor_admin_password: Harbor12345

5.2 启动

配置文件修改成功后，执行 install.sh 脚本进行安装harbor

./install.sh

提示安装成功。接下来就可以访问Harbor了。访问IP+端口：

http://192.168.121.160:80

访问成功，由于Harbor是通过docker管理的，所以启动非常方便。如果首页访问成功说明Docker私有仓库已经部署成功了。

6.Harbor Web页面操作说明

默认用户名是admin，密码是启动时设置的密码：Harbor12345

登录成功进入主页面了。从系统首页可以看到系统分为三个菜单：项目、日志、系统管理。

6.1 项目

项目管理顾名思义就是用来管理项目的。可以为每一个开发项目创建一个私有项目库，然后把Docker镜像存储到指定的项目中，为每个项目实现项目镜像隔离。创建项目的时候，Harbor提供了公开库（public repository）和私有库（private repository）两种类型的镜像存储空间。

通过详情信息可以看到：公开库中的镜像是对所有用户可见和可访问的，任何人都可以查看和拉取其中的镜像。而私有库中的镜像则需要登录才能访问控制，只有被授权的用户或团队才能够查看、拉取和推送镜像。可以根据需要创建相关的项目。

项目创建成功后，可以点击进入项目。在里面可以为每个项目单独设置不同的配置信息。可以为每一个项目添加成员信息。

角色权限说明：

项目管理员（Project Administrator）：拥有项目的最高权限，可以对项目进行全面管理，包括创建和删除项目、管理项目成员和权限、配置项目属性、查看项目日志等。
维护人员（Maintainer）：类似于项目管理员，但权限稍低，通常用于协助管理项目，可以进行项目的部分管理操作，如添加和删除镜像、配置镜像的复制和同步规则等。
开发者（Developer）：具有对项目中镜像仓库的读写权限，可以拉取、推送和删除镜像，以及管理部分项目配置，但不能进行项目管理操作。
访客（Guest）：只具有对项目中镜像仓库的只读权限，可以查看镜像和元数据，但无法对镜像进行修改或删除操作。通常用于分享项目或镜像给外部团队或用户。
受限访客（Restricted Guest）：是一种更加受限的访客角色，通常用于提供给外部用户或系统，具有对项目中镜像仓库的只读权限，但可能会限制访问的部分内容或功能。

在右上角显示推送命令，可以通过提示命令进行docker镜像推送。

6.2 日志

日志菜单就是记录用户操作日志信息的。

6.3 系统管理

系统管理主要用来管理Harbor用户人员信息、镜像仓库的各种配置、权限和系统设置。

7.Docker命令使用私有仓库

7.1 登录

首先登录私有仓库地址：

[root@open-Euler1 docker]# docker login -u admin -p Harbor12345 reg.yym.com
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded

会报错：

[root@open-Euler1 docker]# docker login -u admin -p Harbor12345 reg.yym.com
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get "https://reg.yym.com/v2/": dial tcp 192.168.121.160:443: connect: connection refused

docker认为这个地址是不安全的，所以需要在docker守护进程配置文件中把该地址加入安全范围。

[root@open-Euler1 docker]# cat /etc/docker/daemon.json 
{"insecure-registries": ["reg.yym.com"],"registry-mirrors": ["https://docker.m.daocloud.io","https://hub-mirror.c.163.com","https://mirror.baidubce.com","https://docker.nju.edu.cn"]
}

加入配置成功后，再次登录。

[root@open-Euler1 docker]# docker login -u admin -p Harbor12345 reg.yym.com
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded

通过输出发现登录成功。认证信息存储在 ~/.docker/config.json 文件中，只要登录信息存在，登录会一直生效不需要每次推送拉取之前都登录。

7.2 推送

重新命名镜像名称

[root@open-Euler1 docker]# docker tag busybox:latest reg.yym.com/library/busybox:latest
[root@open-Euler1 docker]# docker images
REPOSITORY                    TAG       IMAGE ID       CREATED         SIZE
wordpress                     latest    458dad822ff7   3 weeks ago     701MB
nginx                         latest    b52e0b094bc0   4 weeks ago     192MB
busybox                       latest    31311c5853a2   5 months ago    4.27MB
reg.yym.com/library/busybox   latest    31311c5853a2   5 months ago    4.27MB
myubuntu                      18.04     f9a80a55f492   21 months ago   63.2MB
ubuntu                        18.04     f9a80a55f492   21 months ago   63.2MB
mysql                         5.6       dd3b2a5dcb48   3 years ago     303MB

推送

[root@open-Euler1 docker]# docker push reg.yym.com/library/busybox:latest
The push refers to repository [reg.yym.com/library/busybox]
59654b79daad: Pushed 
latest: digest: sha256:0f17f65e7a050f35355941bcb375b63867827dd1ab7eb2c949730c195cf0bc25 size: 527

查看Harbor仓库，推送成功。 (下载数开始为0，为1是因为我测试拉了一次)

7.3 拉取

通过另一台服务器，使用 docker pull 拉取镜像从私有仓库拉取镜像：

[root@open-Euler2 ~]# docker pull reg.yym.com/library/busybox
Using default tag: latest
latest: Pulling from library/busybox
Digest: sha256:0f17f65e7a050f35355941bcb375b63867827dd1ab7eb2c949730c195cf0bc25
Status: Image is up to date for reg.yym.com/library/busybox:latest
reg.yym.com/library/busybox:latest

拉取成功

查看web界面下载数，发现已经更新了。