镜像仓库,顾名思义就是存储镜像的。Docker 仓库的概念跟Git 类似,注册服务器可以理解为 GitHub 这样的托管服务。用户制作好镜像push到仓库,这样下次在另外一台机器上使用这个镜像时候,只需要从仓库上 pull 下来就可以了。本文主要介绍360私有云HULK使用的镜像仓库Harbor。
一、什么是Harbor
Habor是由VMWare公司开源的容器镜像仓库,是一个用于存储和分发Docker镜像的企业级Registry服务器。
Harbor主要是提供了一些企业级的管理功能,而镜像存储用的还是docker registry,相当于docker registry的反向代理。
1. Harbor架构
如上图所示,Harbor由6个组件组成:
Proxy:nginx反向代理。上图来自官网,已经滞后了。目前到harbor的所有请求都必须走nginx,包括上图中Proxy–> Registory这条。
Registry:负责存储Docker图像和处理Docker push/pull命令。由于Harbor需要加强对映像的访问控制,因此注册中心将引导客户端到令牌服务,以便为每个pull或push请求获得一个有效的令牌。
Core services:港口的核心功能,主要提供以下服务:
- UI:提供了一个web管理页面,当然还包括了一个前端页面和后端API。
- Webhook:在Registory中配置,镜像复制,日志更新都是同伙该功能实现。
- Token service:令牌服务,如果从Docker客户机发送的请求中没有令牌,注册中心将把请求重定向到令牌服务。
- Job services:镜像复制。
- Log collector:日是收集。
2. HULK使用的Harbor功能
(1) 用户管理
基于角色的访问控制:用户分为三种角色:项目管理员(MDRWS)、开发人员(RWS)和访客(RS),当然还有一个造物主admin系统管理员。
注:M:管理、D:删除、R:读取、W:写入、S:查询。
(2) 项目管理
项目管理是系统最主要的一个功能模块,项目是一组镜像仓库的逻辑集合,是权限管理和资源管理的单元划分。一个项目下面有多个镜像仓库,并且关联多个不同角色的成员,镜像复制也是基于项目的,通过添加复制规则,
可以将项目下面的镜像从一个harbor迁移到另一个harbor,并且可以通过日志查看复制过程,并有retry机制。
(3) 权限管理
配置管理主要是配置harbor的认证模式,企业内部使用,通常都是对接到公司LDAP上面,我们目前用的数据库认证;还可以设置token的有效时间。
(4) 镜像复制
HULK多机房就是通过镜像复制功能实现的,可在不同的数据中心、不同的运行环境之间同步镜像。
目前HULK上,用户申请容器服务后,我们会为其创建个Harbor的project(下图中的xxl-api即为Harbor中的项目名),
并为其分配两个用户名,一个RWS、一个RS,xxl-api是只读用户,还有一个对用户隐藏的xxl-api-p开发人员用户。以达到用户只能操作自己私有仓库的目的。
3. Harbor的高可用负载均衡
通过三个harbor完成高可用部署,前面通过负载均衡器(HULK上的LVS)对外提供服务。共享数据库与缓存。
多机房
多机房可以应对单机房s3异常,机房孤岛等及特殊情况,同时可以减轻主机房负担。
目前我们有bjyt(主)和shyc2(从)两套harbor,push都到主,k8s拉镜像可以选择拉主或者从。
每个机房的harbor组件完全独立,包括s3和数据库。目的就是为了即使出现孤岛也不会影响服务。
二、什么是镜像
镜像就是,联合文件系统(UnionFS),目前用的驱动是overlay2。
镜像的基础层是rootfs:任何程序运行时都会有依赖,无论是开发语言层的依赖库,还是各种系统lib、操作系统等,不同的系统上这些库可能是不一样的,或者有缺失的。为了让容器运行时一致,docker将依赖的操作系统、各种lib依赖整合打包在一起(即镜像),然后容器启动时,作为它的根目录(根文件系统rootfs),使得容器进程的各种依赖调用都在这个根目录里,这样就做到了环境的一致性。
Layer:Dockerfile中的基础是rootfs,而之后的每一个操作都是一层,如:RUN、ADD等命令。所有为了镜像体积小写,可以把多个RUN命令整合成一行,这样多层就变成一层了。
镜像只有最上一层是读写的,其余都是只读的(目录的without属性)。所谓without属性union文件系统中,如果删除的文件在只读层,最上层看到文件已经删除,但是只读层文件依然存在,在最上层做改文件without隐藏文件实现。rm mnt/haha.log操作和touch a/.wh.haha.log效果相同。
1. 容器的镜像挂载
docker支持多种graphDriver,包括vfs、devicemapper、overlay、overlay2、aufs,docker镜像存储驱动目前用的是overlay2。
docker默认的存储目录是/var/lib/docker
- [root@p22295v zhangzhifei]# ls -lrt /var/lib/docker/
- total 156
- drwx--x--x 3 root root 4096 Dec 6 2018 containerd
- drwx------ 4 root root 4096 Dec 6 2018 plugins
- drwx------ 3 root root 4096 Dec 6 2018 image
- drwx------ 2 root root 4096 Dec 6 2018 trust
- drwxr-x--- 3 root root 4096 Dec 6 2018 network
- drwx------ 2 root root 4096 Dec 6 2018 swarm
- drwx------ 2 root root 4096 Dec 6 2018 builder
- drwx------ 89 root root 12288 Jul 17 11:07 volumes
- drwx------ 2 root root 4096 Jul 17 14:30 runtimes
- drwx------ 2 root root 4096 Jul 23 12:51 tmp
- drwx------ 758 root root 94208 Jul 29 19:12 overlay2
- drwx------ 80 root root 12288 Jul 29 19:12 containers
我们运行个容器演示下:
- [root@p22295v zhangzhifei]# docker run -it -d kraken-agent:dev
- 83555ad8c034682ad885fc9e320bfb1f8b75498b61a1a8684d738c411caa930b
启动一个容器,在/var/lib/docker/overlay2目录下生成一个容器视图层,目录包括diff,link,lower,merged,work。
diff记录每一层自己内容的数据,link记录该层链接目录(实际是l目录下到层的链接),比如在容器中创建目录或在diff新增该目录。
根据存储数据及功能可以把这些层分为3部分:
- 只读层
- init层(夹在只读层和读写层之间,专门用来存放/etc/hosts、/etc/resolv.conf等信息。需要这样一层的原因是,这些文件本来属于只读的系统镜像层的一部分,但是用户往往需要在启动容器时写入一些指定的值比如hostname,所以就需要在可读写层对它们进行修改。可是,这些修改往往只对当前的容器有效,我们并不希望执行docker commit时,把这些信息连同可读写层一起提交掉。所以,Docker做法是,在修改了这些文件之后,以一个单独的层挂载了出来。而用户执行docker commit只会提交可读写层,所以是不包含这些内容的。)
- 读写层(在没有写入文件之前,这个目录是空的。而一旦在容器里做了写操作,你修改产生的内容就会以增量的方式出现在这个层中)
查看容器挂载目录
- [root@p22295v zhangzhifei]# cat /var/lib/docker/image/overlay2/layerdb/mounts/83555ad8c034682ad885fc9e320bfb1f8b75498b61a1a8684d738c411caa930b/mount-id
- 3695f349587aaa2cdc82fcde1a380c7b567ef870a47e4c28b8b279e4edc9eb40[root@p22295v zhangzhifei]#
- #读写层
- [root@p22295v zhangzhifei]# ls /var/lib/docker/overlay2/3695f349587aaa2cdc82fcde1a380c7b567ef870a47e4c28b8b279e4edc9eb40/diff/
- [root@p22295v zhangzhifei]#
- #只读层
- [root@p22295v zhangzhifei]# ls /var/lib/docker/overlay2/65e5cdd72f2995da4c73f2d9b90e8d974b9d2f18829a2479296aaec24e67d185/diff/
- bin boot dev etc home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var
- #只读层(Dockerfile时ADD的二进制程序)
- [root@p22295v zhangzhifei]# ls -lrt /var/lib/docker/overlay2/852fa5138c3da5070b59e6402348a5a281378b28ee08fede9c635e4101f91092/diff/usr/bin/
- total 28836
- -rwxr-xr-x 1 root root 29526888 Jul 10 16:23 kraken-origin
最终,这写层都被联合挂载到/var/lib/docker/overlay2/3695f349587aaa2cdc82fcde1a380c7b567ef870a47e4c28b8b279e4edc9eb40/merged目录下,表现为一个完整的操作系统和运行时环境供容器使用。
- [root@p22295v zhangzhifei]# mount | grep 3695f349587aaa2cdc82fcde1a380c7b567ef870a47e4c28b8b279e4edc9eb40
- overlay on /var/lib/docker/overlay2/3695f349587aaa2cdc82fcde1a380c7b567ef870a47e4c28b8b279e4edc9eb40/merged type overlay (rw,relatime,lowerdir=/var/lib/docker/overlay2/l/Z7QMVXSKSNAKCUEJ6ZMU5YTFWG:/var/lib/docker/overlay2/l/2OYCXTK7M4QN3DT7IYJK6J7VYT:/var/lib/docker/overlay2/l/UZTDJDVUOBHU2VERRLXF5KMIQO:/var/lib/docker/overlay2/l/NAXXPRFMO4ATUIG6SFPU4LBUUV:/var/lib/docker/overlay2/l/AM4PHUFWOD4UHYIVO5Q6GVZ5L7:/var/lib/docker/overlay2/l/7XLJNT7Q3UQIKHDNV4QG4EX2C3:/var/lib/docker/overlay2/l/3RAVSDXXRS3BASAKZFPT2ESY2K:/var/lib/docker/overlay2/l/FFNAQF5ADFSTEBNZZ4O2R3CP4N:/var/lib/docker/overlay2/l/X6BOWOZKYRN3DZFY6QLLP7OFDP:/var/lib/docker/overlay2/l/P3EO3WHIM2XPDNPIFUP42EGMQI:/var/lib/docker/overlay2/l/EOSBLWDBASO7GKSDILC4XVGO45:/var/lib/docker/overlay2/l/7K7266OIDWAVXLAN6AA3SZXZQZ,upperdir=/var/lib/docker/overlay2/3695f349587aaa2cdc82fcde1a380c7b567ef870a47e4c28b8b279e4edc9eb40/diff,workdir=/var/lib/docker/overlay2/3695f349587aaa2cdc82fcde1a380c7b567ef870a47e4c28b8b279e4edc9eb40/work)
- [root@p22295v zhangzhifei]# ls /var/lib/docker/overlay2/3695f349587aaa2cdc82fcde1a380c7b567ef870a47e4c28b8b279e4edc9eb40/merged
- bin boot dev etc home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var
三、镜像在镜像仓库中的存储
1. 镜像存储的目录结构
以本地存储为例,默认在/data/registry/docker/registry/v2,镜像存储的任何一层都不会重复。
- ├── blobs
- │ └── sha256
- │ │ └── dfa94d685d1c2179324f02bf2a119f6d8ee0d380cef5506566012f7c4936a04a
- │ │ └── data
- │ ├── e6
- │ │ └── e6ae4ac760c8457aca9be07de8ca66b3a358a19b950389a0d158ae885178f6cf
- │ │ └── data
- │ ├── e7
- │ │ └── e71de1ca8f2b18993c258e2bf50edea8c23ea4a78a821bcfef181de50b3c32f4
- │ │ └── data
- └── repositories
- ├── registry-share-private
- │ ├── push-mount
- │ │ ├── _layers
- │ │ │ └── sha256
- │ │ │ ├── 1b1ad4542c99b8881265610cf5dc09e37d38445529a7584edb2a607fd783216f
- │ │ │ │ └── link
- │ │ ├── _manifests
- │ │ │ ├── revisions
- │ │ │ │ └── sha256
- │ │ │ │ └── 9e4cf4691735c02e59dd49ee561a3f5e56bccf78d57eaa94581e29f69a5162bd
- │ │ │ │ └── link
- │ │ │ └── tags
- │ │ │ └── v1
- │ │ │ ├── current
- │ │ │ │ └── link
- │ │ │ └── index
- │ │ │ └── sha256
- │ │ │ └── 9e4cf4691735c02e59dd49ee561a3f5e56bccf78d57eaa94581e29f69a5162bd
- │ │ │ └── link
- │ │ └── _uploads
- │ ├── push-new
- │ │ ├── _layers
- │ │ │ └── sha256
- │ │ │ ├── 1b1ad4542c99b8881265610cf5dc09e37d38445529a7584edb2a607fd783216f
- │ │ │ │ └── link
- │ │ ├── _manifests
- │ │ │ ├── revisions
- │ │ │ │ └── sha256
- │ │ │ │ └── 9e4cf4691735c02e59dd49ee561a3f5e56bccf78d57eaa94581e29f69a5162bd
- │ │ │ │ └── link
- │ │ │ └── tags
- │ │ │ └── v1
- │ │ │ ├── current
- │ │ │ │ └── link
- │ │ │ └── index
- │ │ │ └── sha256
- │ │ │ └── 9e4cf4691735c02e59dd49ee561a3f5e56bccf78d57eaa94581e29f69a5162bd
- │ │ │ └── link
(1) blobs
目录是存放每层数据(gzip)以及一个镜像的manifests信息(json)的具体文件
(2) repositories
存储镜像的组织信息,类似于元数据
- 仓库名:registry-share-private/push-mount就是一个仓库名,registry-share-private相当于project的概念,push-mount容器名
- _layers:目录类似于blobs目录,但是它不存储真是数据仅仅以link文件保存每个layer的sha256编码。保存该repository长传过得所有layer的sha256编码信息
- _manifests:该repository的上传的所有版本(tag)的manifest信息。其目录下有revisions目录和tags目录
- tags:每个tag一组记录(v1), 每个tag下面有current目录和index目录, current目录下的link文件保存了该tag目前的manifest文件的sha256编码,而index目录则列出了该tag历史上传的所有版本的sha256编码信息
- _revisions:目录里存放了该repository历史上上传版本的所有sha256编码信息
- _uploads:是一个临时目录,一旦镜像上传完成,该目录下的文件就被删除
2. 上传镜像流程认证
- 到认证服务获取token
- 查询仓库中是否有欲上传的层
- 开始上传blob
- 大块用则分块传,小块用put。分块上传后也要以一个put请求表示完成上传。
- 上传mainfest
当所有的blob上传完成后需上传文件清单。
注意:
- 如果上传镜像的某一层在仓库中已经存在,并且有读的权限。docker 会先获取token,之后携带这个toke进行mount,减少重复层的上传,加快push速度
- mount信息处理其实就是在生产对应layer的信息放在_layers目录下。
- 对于已经存在的层,但是没有权限的,客户端需要重新上传,但是最终存储还是一份。但是文件系统做move时,先判断目的路径是否存在,存在则不进行覆盖。
- 对于已经存在的镜像HEAD请求时世界返回200,表示不需要上传。
【本文是51CTO专栏机构360技术的原创文章,微信公众号“360技术( id: qihoo_tech)”】