1. podman镜像加速配置

镜像加速:

• 阿里云镜像加速
• 清华大学镜像加速
• 网易镜像加速

//以8为例
[root@localhost ~]# cat /etc/redhat-release 
CentOS Linux release 8.4.2105
[root@localhost ~]# vim /etc/containers/registries.conf
.....略
unqualified-search-registries = ["docker.io"] //加入此行默认去官方拉镜像

[registries.insecure]  // 告诉docker通过http去访问官网，因为docker默认是https访问的
registries = ["docker.io"]
.....略

//如果是8的系统,加入下面几行
[root@localhost ~]# vim /etc/containers/registries.conf
[[registry]]
prefix="docker.io"
location="镜像加速地址"

//7的系统
[root@localhost containers]# vim registries.conf  //就是不需要写prefix这个东西
[[docker.io]]
location="镜像加速的地址"

2. harbor镜像仓库部署

2.1 harbor简介

它以Docker公司开源的registry为基础，提供了管理UI，基于角色的访问控制(Role Based Access Control)，AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能。

简单说来，Harbor封装了Docker的registry v2，帮用户提供了许多便捷管理的特性，方便用户操作。

Harbor是由VMWare在Docker Registry的基础之上进行了二次封装，加进去了很多额外程序，而且提供了一个非常漂亮的web界面。
Project Harbor 是一个开源可信云原生的本地存储仓库，用来存储、签名和查看镜像

Harbor 通过添加用户通常需要的功能（例如安全性、身份和管理）来扩展开源 Docker Distribution。

Harbor 支持高级功能，例如用户管理、访问控制、活动监控和实例之间的复制。

2.2 Harbor的功能

Feathers：

• 多租户内容签名和验证
• 安全和漏洞分析
• 审计日志
• 身份集成和基于角色的访问控制
• 实例间镜像复制
• 可扩展的 API 和图形用户界面
• 国际化（目前为英文和中文）

2.3 Docker compose

Harbor在物理机上部署是非常难的，而为了简化Harbor的应用，Harbor官方直接把Harbor做成了在容器中运行的应用，而且这个容器在Harbor中依赖类似redis、mysql、pgsql等很多存储系统，所以它需要编排很多容器协同起来工作，因此VMWare Harbor在部署和使用时，需要借助于Docker的单机编排工具(Docker compose)来实现。

Docker compose官方文档

2.4 Harbor的架构

主要组件包括proxy，他是一个nginx前端代理，主要是分发前端页面ui访问和镜像上传和下载流量，上图中通过深蓝色先标识；ui提供了一个web管理页面，当然还包括了一个前端页面和后端API，底层使用mysql数据库；registry是镜像仓库，负责存储镜像文件，当镜像上传完毕后通过hook通知ui创建repository，上图通过红色线标识，当然registry的token认证也是通过ui组件完成；adminserver是系统的配置管理中心附带检查存储用量，ui和jobserver启动时候回需要加载adminserver的配置，通过灰色线标识；jobsevice是负责镜像复制工作的，他和registry通信，从一个registry pull镜像然后push到另一个registry，并记录job_log，上图通过紫色线标识；log是日志汇总组件，通过docker的log-driver把日志汇总到一起，通过浅蓝色线条标识。

2.5 Docker Registry

网上有很多的Registry服务器都支持第三方用户注册，而后基于用户名去做自己的仓库，但是使用互联网上的Registry有一个缺陷，那就是我们去推送和下载镜像时都不会很快，而在生产环境中很可能并行启动的容器将达到几十、上百个，而且很有可能每个服务器本地是没有镜像的，此时如果通过互联网去下载镜像会有很多问题，比如下载速度会很慢、带宽会用很多等等，如果带宽不够的话，下载至启动这个过程可能要持续个几十分钟，这已然违背了使用容器会更加轻量、快速的初衷和目的。因此，很多时候我们很有可能需要去做自己的私有Registry。

Registry用于保存docker镜像，包括镜像的层次结构和元数据。用户可以自建Registry，也可以使用官方的Docker Hub。
Docker Registry分类：

• Sponsor Registry：第三方的Registry，供客户和Docker社区使用
• Mirror Registry：第三方的Registry，只让客户使用
• Vendor Registry：由发布docker镜像的供应商提供的registry
• Private Registry：通过设有防火墙和额外的安全层的私有实体提供的registry

事实上，如果运维的系统环境托管在云计算服务上，比如阿里云，那么用阿里云的Registry则是最好的选择。很多时候我们的生产环境不会在本地，而是托管在数据中心机房里，如果我们在数据中心机房里的某台主机上部署Registry，因为都在同一机房，所以属于同一局域网，此时数据传输走内网，效率会极大的提升。

所有的Registry默认情况下都是基于https工作的，这是Docker的基本要求，而我自建Registry时很可能是基于http工作的，但是Docker默认是拒绝使用http提供Registry服务的，除非明确的告诉它，我们就是要用http协议的Registry。

2.6 Harbor部署

harbor下载找到offline版本的
环境

主机名	IP	软件	系统
registry	192.168.216.200	docker、Docker Compose、harbor	centos8
localhost	192.168.216.215	docker	centos8

//配置源
[root@registry ~]# yum -y install yum-utils  
[root@localhost ~]# yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
[root@registry ~]# sed -i 's+download.docker.com+mirrors.aliyun.com/docker-ce+' /etc/yum.repos.d/docker-ce.repo

//安装docker
[root@registry ~]# yum -y install docker-ce docker-ce-cli containerd.io

[root@registry ~]# docker --version
Docker version 20.10.12, build e91ed5

//安装docker-compose
//第一种方法
//安装依赖
[root@registry ~]# yum -y install epel-release python3
[root@registry ~]# yum -y install python3-paramiko
[root@registry ~]# pip3 install docker-compose
WARNING: Running pip install with root privileges is generally not a good idea. Try `pip3 install --user` instead.
Collecting docker-compose
  Downloading https://files.pythonhosted.org/packages/f3/3e/ca05e486d44e38eb495ca60b8ca526b192071717387346ed1031ecf78966/docker_compose-1.29.2-py2.py3-none-any.whl (114kB)
    100% |████████████████████████████████| 122kB 137kB/s 
Collecting jsonschema<4,>=2.5.1 (from docker-compose)
  Retrying (Retry(total=4, connect=None, read=None, redirect=None, status=None)) after connection broken by 'ReadTimeoutError("HTTPSConnectionPool(host='pypi.python.org', port=443): Read timed out. (read timeout=15)",)': /simple/jsonschema/
  Downloading https://files.pythonhosted.org/packages/c5/8f/51e89ce52a085483359217bc72cdb
  ...略
  Running setup.py install for dockerpty ... done
  Running setup.py install for docopt ... done
Successfully installed PyYAML-5.4.1 attrs-21.2.0 cached-property-1.5.2 certifi-2021.10.8 charset-normalizer-2.0.9 distro-1.6.0 docker-5.0.3 docker-compose-1.29.2 dockerpty-0.4.1 docopt-0.6.2 idna-3.3 importlib-metadata-4.8.2 jsonschema-3.2.0 pyrsistent-0.18.0 python-dotenv-0.19.2 requests-2.26.0 texttable-1.6.4 typing-extensions-4.0.1 urllib3-1.26.7 websocket-client-0.59.0 zipp-3.6.0

//第二种方法，网络下载
[root@registry ~]# curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

//会有一个命令
[root@registry ~]# cd /usr/local/bin/
[root@registry bin]# ls
distro  docker-compose  dotenv  jsonschema  normalizer  __pycache__  wsdump.py

// 赋予执行权限
[root@registry ~]# chmod +x /usr/local/bin/docker-compose

// 下载harbor包
[root@registry ~]# wget https://github.com/goharbor/harbor/releases/download/v2.3.5/harbor-offline-installer-v2.3.5.tgz

//离线包有578M
[root@registry ~]# du -sh *
4.0K    anaconda-ks.cfg
578M    harbor-offline-installer-v2.3.5.tgz

[root@registry ~]# cd /usr/local/harbor/
[root@registry harbor]# ls
common.sh  harbor.v2.3.5.tar.gz  harbor.yml.tmpl  install.sh  LICENSE  prepare
[root@registry harbor]# cp harbor.yml.tmpl harbor.yml
[root@registry harbor]# vim harbor.yml
     5  hostname: registry.example.com  //修改此行
     6  
     7  # http related config
     8  http:
     9    # port for http, default is 80. If https enabled, this port will redirect to https port
    10    port: 80
    11  
    12  # https related config
    13  #https:    //现在没有https，注释掉所有https的部分
    14    # https port for harbor, default is 443
    15    # port: 443
    16    # The path of cert and key files for nginx
    17    #certificate: /your/certificate/path
    18    #private_key: /your/private/key/path
....略
34 harbor_admin_password: Harbor12345  //这个地方是管理员的密码，用户的admin，用来登录web界面，可以自定义密码
 47 data_volume: /data  //数据存放目录

//建立映射
[root@registry ]# hostname registry.example.com
[root@registry ~]# bash
[root@registry ~]# hostname
registry.example.com
[root@registry harbor]# vim /etc/hosts
[root@registry harbor]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.216.200 registry.example.com

// 执行脚本安装harbor仓库
/执行这一步前需要确保防火墙、selinux是关闭的，并且docker服务时在运行的
[root@registry ~]# systemctl disable --now firewalld
Removed /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@registry ~]# getenforce 
Disabled

//执行安装
[root@registry harbor]# ./install.sh 

[Step 0]: checking if docker is installed ...

Note: docker version: 20.10.12

[Step 1]: checking docker-compose is installed ...

Note: docker-compose version: 1.29.2

[Step 2]: loading Harbor images ...
8b0c54c9b24d: Loading layer [==================================================>]   5.27MB/5.27MB
....略
[Step 5]: starting Harbor ...
Creating network "harbor_harbor" with the default driver
Creating harbor-log ... done
Creating harbor-portal ... done
Creating registry      ... done
Creating registryctl   ... done
Creating redis         ... done
Creating harbor-db     ... done
Creating harbor-core   ... done
Creating harbor-jobservice ... done
Creating nginx             ... done
✔ ----Harbor has been installed and started successfully.----
//安装完成

通过IP地址进行访问

使用Harbor的注意事项：

• 在客户端上传镜像时一定要记得执行docker login进行用户认证，否则无法直接push

• 在客户端使用的时候如果不是用的https则必须要在客户端的/etc/docker/daemon.json配置文件中配置insecure-registries参数

• 数据存放路径应在配置文件中配置到一个容量比较充足的共享存储中

• Harbor是使用docker-compose命令来管理的，如果需要停止Harbor也应用docker-compose stop来停止，其他参数请–help
  
  
  
  在客户端

//确保docker在运行
[root@localhost ~]# systemctl status docker
● docker.service - Docker Application Container Engine
   Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled)
   Active: active (running) since Thu 2021-12-16 13:53:53 CST; 27min ago
     Docs: https://docs.docker.com
 Main PID: 1194 (dockerd)


[root@localhost ~]# vim /etc/docker/daemon.json
[root@localhost ~]# cat /etc/docker/daemon.json
{
  "insecure-registries": ["registry.example.com"]
}
[root@localhost ~]# systemctl daemon-reload 
[root@localhost ~]# systemctl restart docker

//添加主机映射
[root@localhost ~]# cat /etc/hosts 
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.216.200 registry.example.com

[root@localhost ~]# docker login registry.example.com
Username: admin
Password:      //用登录网站的账户登录
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

//修改标签
[root@localhost ~]# docker tag haproxy:alpine registry.example.com/library/haproxy:alpine
[root@localhost ~]# docker images
REPOSITORY                             TAG       IMAGE ID       CREATED        SIZE
haproxy                                alpine    e4da265966d8   3 days ago     85.1MB
registry.example.com/library/haproxy   alpine    e4da265966d8   3 days ago     85.1MB

//上传
[root@localhost ~]# docker push registry.example.com/library/haproxy:alpine
The push refers to repository [registry.example.com/library/haproxy]
f0e5320364bb: Pushed 
6b0da313b171: Pushed 
e8106353dd06: Pushed 
1f9d2b7b16bd: Pushed 
8d3ac3489996: Pushed 
alpine: digest: sha256:7ace413ea33fe3fc986335ce7e7c6aa7fcf9ec6a2cfb66fe655acdeab4ec9ab7 size: 1365

//镜像存储点
[root@registry ~]# cd /data/
[root@registry data]# ls
ca_download  database  job_logs  redis  registry  secret
[root@registry data]# ls registry/docker/registry/v2/repositories/library/
haproxy

//拉取镜像
[root@localhost ~]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED        SIZE
haproxy      v0.5      0190b2adbaac   5 days ago     495MB
busybox      latest    ffe9d497c324   8 days ago     1.24MB
httpd        v1.0      3471d3329f64   9 days ago     721MB
nginx        latest    f652ca386ed1   13 days ago    141MB
alpine       latest    c059bfaa849c   3 weeks ago    5.59MB
centos       latest    5d0da3dc9764   3 months ago   231MB
[root@localhost ~]# docker pull registry.example.com/library/haproxy:alpine
alpine: Pulling from library/haproxy
59bf1c3509f3: Already exists 
8b504ac468aa: Already exists 
25fc5a13ac64: Already exists 
4db39d0b5e62: Already exists 
0127d860cba9: Already exists 
Digest: sha256:7ace413ea33fe3fc986335ce7e7c6aa7fcf9ec6a2cfb66fe655acdeab4ec9ab7
Status: Downloaded newer image for registry.example.com/library/haproxy:alpine
registry.example.com/library/haproxy:alpine

[root@localhost ~]# docker images
REPOSITORY                             TAG       IMAGE ID       CREATED        SIZE
registry.example.com/library/haproxy   alpine    e4da265966d8   3 days ago     85.1MB
haproxy                                v0.5      0190b2adbaac   5 days ago     495MB
busybox                                latest    ffe9d497c324   8 days ago     1.24MB
httpd                                  v1.0      3471d3329f64   9 days ago     721MB
nginx                                  latest    f652ca386ed1   13 days ago    141MB
alpine                                 latest    c059bfaa849c   3 weeks ago    5.59MB
centos                                 latest    5d0da3dc9764   3 months ago   231MB

3. 设置docker-compose开机自启

root@registry ~]# cd /etc/rc.d/init.d/
///etc/rc.d/init.d/目录下的脚本就类似与windows中的注册表，在系统启动的时候某些指定脚本将被执行
//在此目录下编写一个脚本用来启动服务
[root@registry init.d]# cat start.sh 
#!/bin/bash
/usr/local/harbor/docker-compose start //stop 为停止服务