PAGE76Docker容器技術(shù)應(yīng)用課程教案授課題目：項(xiàng)目六部署和管理Harbor私有倉庫授課學(xué)時4課時課程類型理實(shí)一體課教學(xué)目的：（1）了解公有倉庫（2）了解Harbor私有倉庫（3）掌握部署Harbor私有倉庫的方法（4）掌握管理Harbor私有倉庫的方法教學(xué)重點(diǎn)：1、公有倉庫與私有倉庫：介紹DockerHub（公有倉庫）的功能及其在容器鏡像存儲中的作用，進(jìn)一步闡述Harbor私有倉庫的優(yōu)勢和應(yīng)用場景。2、Harbor私有倉庫的部署：詳細(xì)講解如何安裝、配置和啟動Harbor私有倉庫，包括對Harbor的各個組件進(jìn)行詳細(xì)講解。3、Harbor倉庫的管理：學(xué)習(xí)如何使用Harbor管理鏡像，包括創(chuàng)建項(xiàng)目、上傳鏡像、設(shè)置用戶權(quán)限等操作，提升管理和維護(hù)私有倉庫的能力。教學(xué)方法和手段：任務(wù)驅(qū)動法、啟發(fā)法、討論法、直觀演示法

Docker容器技術(shù)應(yīng)用課程教案教學(xué)內(nèi)容及過程教學(xué)內(nèi)容與教學(xué)設(shè)計(jì)：6.1知識準(zhǔn)備6.1.1公有倉庫Docker的三大基礎(chǔ)組件是鏡像、容器和倉庫。Docker官方給用戶提供了一個Docker倉庫，它就像手機(jī)里的APP應(yīng)用市場一樣，里面存放著各種各樣已經(jīng)打包好的應(yīng)用——Docker鏡像。用戶可以將需要的Docker鏡像下載到本地，然后基于Docker鏡像創(chuàng)建Docker容器，容器會啟動預(yù)先定義好的進(jìn)程與用戶交互，對外提供服務(wù)。Docker倉庫用于鏡像的存儲，是Docker鏡像分發(fā)和部署的關(guān)鍵。在實(shí)際應(yīng)用的過程中，由開發(fā)者或者運(yùn)維制作好的應(yīng)用程序鏡像，可以上傳到鏡像倉庫。我們可以使用官方的公有倉庫DockerHub，也可以搭建自己的私有倉庫，Docker運(yùn)行中使用的默認(rèn)倉庫就是DockerHub公共倉庫。DockerHub是Docker官方維護(hù)的一個公有鏡像倉庫，它積累了大量的官方和社區(qū)創(chuàng)建的鏡像，是目前最大的一個公有倉庫，用戶可以直接搜索并使用其中的鏡像。但在上傳和分享自己創(chuàng)建的鏡像時，就需要申請賬戶，首先通過網(wǎng)址https://登陸Web界面，完成注冊之后就可以使用自己的用戶名登陸了。有了DockerHub的賬戶之后，就可以利用命令“dockerlogin”登陸DockerHub，然后利用命令“dockerpush鏡像名稱:版本”上傳鏡像，利用命令“dockersearch鏡像名稱”搜索鏡像，利用命令“dockerpull鏡像名稱”下載鏡像。6.1.2Harbor私有倉庫我們發(fā)現(xiàn)，本地訪問DockerHub的速度往往是很慢的，而且在生產(chǎn)環(huán)境中，企業(yè)通常會創(chuàng)建創(chuàng)建符合實(shí)際需求的鏡像，考慮到安全問題，這些鏡像必須存放在企業(yè)內(nèi)部，并且確保不受網(wǎng)絡(luò)限制，可以快速的下載或上傳鏡像。這些情況下，個人或企業(yè)就要搭建自己的私有倉庫，僅供個人或企業(yè)內(nèi)部使用。使用DockerHub中的倉庫鏡像時，首先下載倉庫鏡像registry到本地，然后運(yùn)行倉庫鏡像registry為容器，該容器即可為用戶提供上傳鏡像、拉取鏡像等私有倉庫服務(wù)了。但這種方式的鏡像保存在容器中，一旦容器被刪除后，私有倉庫及其中的鏡像也被一并刪除，因此安全系數(shù)較低。Harbor是VMware公司開源的構(gòu)建企業(yè)級私有docker鏡像倉庫的解決方案，它以Docker公司開源的Registry為基礎(chǔ)，提供了友好的WebUI界面、角色和用戶權(quán)限管理、用戶操作審計(jì)等功能，是DockerRegistry的更高級封裝。1.Harbor的特性（1）基于角色控制：用戶和倉庫都是基于項(xiàng)目進(jìn)行組織，用戶在項(xiàng)目中可以擁有不同的權(quán)限。（2）基于鏡像的復(fù)制策略：鏡像可以在多個Harbor實(shí)例之間復(fù)制（同步），適用于負(fù)載均衡、高可用性、多數(shù)據(jù)中心、混合和多云的場景。（3）支持LDAP/AD：Harbor可以集成企業(yè)AD/LDAP進(jìn)行用戶認(rèn)證和管理。（4）鏡像刪除和空間回收：鏡像可以刪除并回收鏡像占用的空間。（5）圖形化UI：用戶可以通過瀏覽器瀏覽、搜索鏡像倉庫以及對項(xiàng)目進(jìn)行管理。（6）審計(jì)管理：對鏡像倉庫的所有操作進(jìn)行記錄。（7）支持RESTfulAPI：易與其它管理軟件集成，提供更多對于Harbor的管理操作。2.Harbor的構(gòu)成Harbor在架構(gòu)上主要有Proxy、Registry、Coreservices、Database（Harbor-db）、Logcollector（Harbor-log）、Jobservice六個組件。（1）Proxy：Nginx的前段代理，將來自瀏覽器、客戶端的請求轉(zhuǎn)發(fā)到后端不同的服務(wù)上，如Harbor的Registry、UI、Token服務(wù)等。（2）Registry：負(fù)責(zé)存儲Docker鏡像，并處理Dockerpush/pull命令。由于要對用戶進(jìn)行訪問控制，即不同用戶對Docker鏡像有不同的讀寫權(quán)限，Registry會指向一個Token服務(wù)，強(qiáng)制用戶每次Dockerpull/push請求都要攜帶一個合法的Token，Registry會通過公鑰對Token進(jìn)行解密驗(yàn)證。（3）Coreservices：Harbor的核心功能，主要提供的服務(wù)如下：UI：圖形化界面，用于管理Registry上的鏡像和用戶權(quán)限。Token：根據(jù)用戶權(quán)限給每個Dockerpush/pull命令簽發(fā)通行證。Docker客戶端向Registry服務(wù)發(fā)起的請求如果不包含Token，會被重定向，獲得Token后再重新向Registry發(fā)起請求。Webhook：在Registry上配置Webhook，把鏡像狀態(tài)變化情況傳遞給UI模塊。（4）Database：提供數(shù)據(jù)庫服務(wù)，其中存儲用戶權(quán)限、審計(jì)日志、Docker鏡像分組信息等數(shù)據(jù)。（5）Logcollector：監(jiān)控Harbor運(yùn)行，收集其它組件的日志。（6）Jobservices：主要用于鏡像復(fù)制，本地鏡像可以被同步到遠(yuǎn)程Harbor實(shí)例上。Harbor的每個組建均以Docker容器形式構(gòu)建，因此使用DockerCompose對其進(jìn)行部署，可以在docker-compose.yml所在目錄中執(zhí)行docker-composeps命令查看各個運(yùn)行的容器。6.2任務(wù)實(shí)施任務(wù)6.2.1部署Harbor私有倉庫（1）任務(wù)目標(biāo)掌握部署Harbor私有倉庫的方法（2）任務(wù)內(nèi)容安裝與啟動Harbor服務(wù)（3）完成任務(wù)所需的設(shè)備和軟件一臺安裝Windows10操作系統(tǒng)的計(jì)算機(jī)VMwareWorkstation，Docker,DockerCompose遠(yuǎn)程管理工具M(jìn)obaXterm（4）任務(wù)實(shí)施步驟：詳見實(shí)驗(yàn)指導(dǎo)書任務(wù)6.2.2管理Harbor私有倉庫（1）任務(wù)目標(biāo)學(xué)會管理Harbor私有倉庫（2）任務(wù)內(nèi)