日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

目錄

• 一、私有倉庫建立
• 二、Cgroup 資源配置方法
•  三、CPU使用率控制
•  使用 stress 工具測試 CPU 和內(nèi)存
• 四、 CPU 周期限制
• 五、 CPU Core 控制
• 六、 CPU 配額控制參數(shù)的混合使用
• 七、 內(nèi)存限額
• 八、Block IO 的限制
• 九、 bps 和 iops 的限制
• 十、 構(gòu)建鏡像（docker build）時指定資源限制
• 十一、 compose部署
• 十二、 consul部署
• 總結(jié)

一、私有倉庫建立

docker pull registry

在docker 引擎終端設(shè)置

vim /etc/docker/daemon.json
{
"insecure-registries": ["ip網(wǎng)址:5000"],   添加
"registry-mirrors": ["https://05vz3np5.mirror.aliyuncs.com"]
}
 
systemctl restart docker.service
 
docker create -it registry /bin/bash
 
docker ps -a

會是異常狀態(tài)

docker start 

宿主機(jī)的/data/registry自動創(chuàng)建掛載容器中的/tmp/registry

docker run -d -p 5000:5000 -v /data/registry:/tmp/registry registry

更改標(biāo)記為ip網(wǎng)址:5000/nginx

docker tag nginx:latest ip網(wǎng)址:5000/nginx

上傳

docker push ip網(wǎng)址:5000/nginx
 
The push refers to repository [ip網(wǎng)址:5000/nginx]

獲取私有倉庫列表

獲取registry的鏡像倉庫中的鏡像信息

curl -XGET http://ip網(wǎng)址:5000/v2/_catalog

測試私有倉庫下載

docker pull ip網(wǎng)址:5000/nginx

二、Cgroup 資源配置方法

docker 使用cgroup控制資源

 respones
    request

        Docker通過 Cgroup 來控制容器使用的資源配額，包括 CPU、內(nèi)存、磁盤三大方面， 基本覆蓋了常見的資源配額和使用量控制。

        Cgroup 是 Control Groups 的縮寫，是Linux 內(nèi)核提供的一種可以限制、記錄、隔離進(jìn)程組所使用的物理資源(如 CPU、內(nèi)存、磁盤 IO 等等)的機(jī)制

       07年谷歌，可以控制資源分配通過操作系統(tǒng)內(nèi)核,控制應(yīng)用程序使用內(nèi)存資源、cpu資源、 文件系統(tǒng)資源等等
cgroup是一種資源控制手段
也是容器隔離的6個名稱空間的一種實現(xiàn)手段

每個容器相當(dāng)于一個進(jìn)程

 三、CPU使用率控制

cpu周期: 1s為一個周期的定律，參數(shù)值一般為100000 (CPU衡量單位是秒)。

       假如需要給此容器分配cpu使用率的20%,則參數(shù)需要設(shè)置為20000,相當(dāng)于每個周期分配給這個容器0.2s。

cpu在一個時刻，只能給一個進(jìn)程占用。

 使用 stress 工具測試 CPU 和內(nèi)存

使用 Dockerfile 來創(chuàng)建一個基于 Centos 的 stress 工具鏡像。

mkdir /opt/stress
 
vim /opt/stress/Dockerfile
 
FROM centos:7
RUN yum install -y wget
RUN wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
RUN yum install -y stress
 
cd /opt/stress/
 
docker build -t centos:stress .

       使用如下命令創(chuàng)建容器，命令中的–cpu-shares 參數(shù)值不能保證可以獲得 1 個 vcpu 或 者多少 GHz 的 CPU 資源，它僅是一個彈性的加權(quán)值。

docker run -itd --cpu-shares 100 centos:stress

        默認(rèn)情況下，每個 Docker容器的CPU份額都是1024。單獨一個容器的份額是沒有意義的。只有在同時運行多個容器時，容器的 CPU 加權(quán)的效果才能體現(xiàn)出來。
       兩個容器 A、B 的 CPU 份額分別為 1000 和 500，在CPU進(jìn)行時間片分配的時候，容器A比容器B多一倍的機(jī)會獲得 CPU 的時間片。
       但分配的結(jié)果取決于當(dāng)時主機(jī)和其他容器的運行狀態(tài)， 實際上也無法保證容器 A一定能獲得CPU時間片。比如容器A的進(jìn)程一直是空閑的，那么容器B是可以獲取比容器A更多的CPU時間片的。極端情況下，例如主機(jī)上只運行了一個容器，即使它的 CPU 份額只有 50，它也可以獨占整個主機(jī)的CPU資源。

一個主機(jī)運行一個容器，只運行了一個應(yīng)用（容器也是虛擬化技術(shù)  ）
一個主機(jī)運行一個應(yīng)用

        Cgroups 只在容器分配的資源緊缺時，即在需要對容器使用的資源進(jìn)行限制時，才會生效。因此，無法單純根據(jù)某個容器的CPU份額來確定有多少CPU資源分配給它，
        資源分配 結(jié)果取決于同時運行的其他容器的CPU分配和容器中進(jìn)程運行情況。
        可以通過 cpu share 可以設(shè)置容器使用 CPU 的優(yōu)先級/權(quán)重，比如啟動了兩個容器及運行查看 CPU 使用百分比。

docker run -tid --name cpu512 --cpu-shares 512 centos:stress stress -c 10   
容器產(chǎn)生10個子函數(shù)進(jìn)程
 
docker exec -it f4953c0d7e76 bash  
進(jìn)入容器使用top查看cpu使用情況
 
再開啟一個容器做比較
docker run -tid --name cpu1024 --cpu-shares 1024 centos:stress stress -c 10
 
docker exec -it 5590c57d27b0 bash  //進(jìn)容器使用top對比兩個容器的%CPU，比例是1:2
 
docker stats 查看資源使用

四、 CPU 周期限制

Docker 提供了–cpu-period、–cpu-quota 兩個參數(shù)控制容器可以分配到的 CPU 時鐘周期。
–cpu-period 是用來指定容器對 CPU 的使用要在多長時間內(nèi)做一次重新分配。

cd /sys/fs/cgroup/cpu/docker容器ID/cpu.cfs_quota_us

宿主機(jī)怎么提供資源、怎么控制docker容器中的應(yīng)用的： 
        CPU→VCPU→以進(jìn)程的方式體現(xiàn)在workstation環(huán)境（docker環(huán)境中）→docker表現(xiàn)形式是容器→Vcpu以進(jìn)程的方式控制容器→容器中的應(yīng)用需要的是服務(wù)進(jìn)程支持→宿主機(jī)內(nèi)核中cpu可以被cgroup管理（通過分配資源手段）→linux 內(nèi)核中的cgroup可以控制管理docker 容器中的應(yīng)用。

–cpu-quota 是用來指定在這個周期內(nèi)，最多可以有多少時間用來跑這個容器。
與 –cpu-shares 不同的是,這種配置是指定一個絕對值，容器對 CPU 資源的使用絕對不會超過配置的值。

       cpu-period 和 cpu-quota 的單位為微秒（μs）。cpu-period 的最小值為 1000 微秒， 最大值為 1 秒（10^6 μs），默認(rèn)值為 0.1 秒（100000 μs）。
      cpu-quota 的值默認(rèn)為 -1， 表示不做控制。cpu-period 和 cpu-quota 參數(shù)一般聯(lián)合使用。redis 中，用來表示的永久 -1

ttl teacher 
-1
lrange teacher 0 -1 

         容器進(jìn)程需要每 1 秒使用單個 CPU 的 0.2 秒時間，可以將 cpu-period 設(shè)置 為 100000（即 1 秒），cpu-quota 設(shè)置為 20000（0.2 秒）。
         當(dāng)然，在多核情況下，如果允許容器進(jìn)程完全占用兩個 CPU，則可以將 cpu-period 設(shè)置為 10000（即 0.1 秒）， cpu-quota 設(shè)置為 200000（0.2 秒）。

選項	描述
–pus=	指定容器可以使用多少可用CPU資源。例如，如果主機(jī)有兩個CPU,并且您設(shè)置了而Cpus ="1.5"， 那么該容器將保證最多可以訪問一個半的CPU。這相當(dāng)于設(shè)置-cpu-period ="100000"和–cpu- quota ="150000"。在Docker 1.13和更高版本中可用。
–Cpu-period=	指定CPU CFS調(diào)度程序周期，該周期與–pu-quota-起使用。默認(rèn)為100000微妙，以微秒表示。 大多數(shù)用戶不會從默認(rèn)值更改此設(shè)置。如果您使用Docker 1.13或更高版本，請改用–cpus。
–Cpu-quota=	在容器上添加CPU CFS配額。每個–cpu-period允許CPU訪問的容器數(shù)微秒數(shù)。換句話說，cpu- quota/ cpu-period。如果您使用Docker 1.13或更高版本，請改用-cpuS。
–cpuset-cpus	限制容器可以使用的特定CPU或核心。如果您有多個CPU,則容器可以使用的逗號分隔列表或連字 符分隔的CPU范圍。第一個CPU編號為0.有效值可能為0-3 (使用第一，第二，第三和第四個 CPU)或1,3 (使用第二個和第四個CPU)。
–Cpu-shares	將此標(biāo)志設(shè)置為大于或小于默認(rèn)值1024的值，以增加或減少容器的重量，并使其能夠訪問主機(jī) CPU周期的更大或更小比例。這僅在CPU周期受到限制時才會執(zhí)行。當(dāng)大量CPU周期可用時，所有 容器都使用盡可能多的CPU。這樣，這是一個軟限制。 –cpu-shares不會阻 止容器在群集模式下進(jìn) 行調(diào)度。它優(yōu)先考慮容器CPU資源的可用CPU周期。它不保證或保留任何特定的CPU訪問權(quán)限。

docker run -tid --cpu-period 100000 --cpu-quota 200000 centos:stress
 
docker exec -it 98d2aaa50019 bash

查詢?nèi)萜鞯馁Y源限制參數(shù)

(1)在指定容器目錄中

cat /sys/fs/cgroup/cpu/docker/容器ID/cpu.cfs_period_us
 
cat /sys/fs/cgroup/cpu/docker/容器ID/cpu.cfs_quota_us

(2)使用docker inspect 容器ID/容器名

"CpuPeriod": 
 "CpuQuota": 

 

五、 CPU Core 控制

       對多核 CPU 的服務(wù)器，Docker 還可以控制容器運行使用哪些 CPU 內(nèi)核，即使用–cpuset-cpus 參數(shù)。
       這對具有多 CPU 的服務(wù)器尤其有用，可以對需要高性能計算的容器進(jìn)行性能最優(yōu)的配置。

docker run -tid --name cpu1 --cpuset-cpus 0-1 centos:stress

執(zhí)行以上命令需要宿主機(jī)為雙核，表示創(chuàng)建的容器只能用 0、1兩個內(nèi)核。最終生成 的 cgroup 的 CPU 內(nèi)核配置

cat /sys/fs/cgroup/cpuset/docker/

通過下面指令可以看到容器中進(jìn)程與 CPU 內(nèi)核的綁定關(guān)系，達(dá)到綁定 CPU 內(nèi)核的目的。

docker exec   taskset -c -p 1    
容器內(nèi)部第一個進(jìn)程號pid為1被綁定到指定CPU上運行pid 1's current affinity list: 0,1

創(chuàng)建容器時 直接使用參數(shù)指定資源限制

創(chuàng)建容器后，指定資源分配
修改宿主機(jī)對應(yīng)容器資源控制的文件
/sys/fs/cgroup/*

六、 CPU 配額控制參數(shù)的混合使用

        通過 cpuset-cpus 參數(shù)指定容器 A 使用 CPU 內(nèi)核 0，容器 B 只是用 CPU 內(nèi)核 1。
在主機(jī)上只有這兩個容器使用對應(yīng) CPU 內(nèi)核的情況，它們各自占用全部的內(nèi)核資源，cpu-shares 沒有明顯效果。

       cpuset-cpus、cpuset-mems 參數(shù)只在多核、多內(nèi)存節(jié)點上的服務(wù)器上有效，并且必須與實際的物理配置匹配，否則也無法達(dá)到資源控制的目的。

       在系統(tǒng)具有多個 CPU 內(nèi)核的情況下，需要通過 cpuset-cpus 參數(shù)為設(shè)置容器 CPU 內(nèi)核才能方便地進(jìn)行測試。
      宿主系統(tǒng)修改為4核心CPU

docker run -tid --name cpu3 --cpuset-cpus 1 --cpu-shares 512 centos:stress stress -c 1
docker exec -it 84598dfadd34 bash
exit
top   
按1查看每個核心的占用
docker run -tid --name cpu4 --cpuset-cpus 3 --cpu-shares 1024 centos:stress stress -c 1
docker exec -it  bash

        上面的 centos:stress 鏡像安裝了 stress 工具，用來測試 CPU 和內(nèi)存的負(fù)載。通過 在兩個容器上分別執(zhí)行 stress -c 1 命令，將會給系統(tǒng)一個隨機(jī)負(fù)載，產(chǎn)生 1 個進(jìn)程。這個進(jìn)程都反復(fù)不停的計算由 rand產(chǎn)生隨機(jī)數(shù)的平方根，直到資源耗盡。 
       觀察到宿主機(jī)上的 CPU 使用率，第三個內(nèi)核的使用率接近 100%， 并且一批進(jìn)程的 CPU 使用率明顯存在 2:1 的使用比例的對比。

七、 內(nèi)存限額

與操作系統(tǒng)類似，容器可使用的內(nèi)存包括兩部分：物理內(nèi)存和 Swap。 
Docker 通過下面兩組參數(shù)來控制容器內(nèi)存的使用量。

-m 或 –memory：設(shè)置內(nèi)存的使用限額，例如 100M、1024M。 
–memory-swap：設(shè)置 內(nèi)存+swap 的使用限額。 
執(zhí)行如下命令允許該容器最多使用 200M 的內(nèi)存和 300M 的 swap。
#單純做swap 和物理內(nèi)存的硬限制

docker run -it -m 200M --memory-swap=300M centos:stress

–vm 1：啟動 1 個內(nèi)存工作線程。 
–vm-bytes 280M：每個線程分配 280M 內(nèi)存。 
默認(rèn)情況下，容器可以使用主機(jī)上的所有空閑內(nèi)存。
與 CPU 的 cgroups 配置類似， Docker 會自動為容器在目錄 /sys/fs/cgroup/memory/docker/<容器的完整長 ID>
中創(chuàng)建相應(yīng) cgroup 配置文件

        如果讓工作線程分配的內(nèi)存超過 300M，分配的內(nèi)存超過限額，stress 線程報錯，容器 退出。

docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 310M

八、Block IO 的限制

        默認(rèn)情況下，所有容器能平等地讀寫磁盤，可以通過設(shè)置–blkio-weight 參數(shù)來改變 容器 block IO 的優(yōu)先級。 
–blkio-weight 與 –cpu-shares 類似，設(shè)置的是相對權(quán)重值，默認(rèn)為 500。
在下面 的例子中，容器 A 讀寫磁盤的帶寬是容器 B 的兩倍。

docker run -it --name container_A --blkio-weight 600 centos:stress
cat /sys/fs/cgroup/blkio/blkio.weight
docker run -it --name container_B --blkio-weight 300 centos:stress
cat /sys/fs/cgroup/blkio/blkio.weight

九、 bps 和 iops 的限制

bps 是 byte per second，每秒讀寫的數(shù)據(jù)量。 
iops 是 io per second，每秒 IO 的次數(shù)。 
可通過以下參數(shù)控制容器的 bps 和 iops：

–device-read-bps，限制讀某個設(shè)備的 bps。
–device-write-bps，限制寫某個設(shè)備的 bps。
–device-read-iops，限制讀某個設(shè)備的 iops。
–device-write-iops，限制寫某個設(shè)備的 iops。

限制容器寫 /dev/sda 的速率為 5 MB/s。

docker run -it --device-write-bps /dev/sda:5MB centos:stress
 
dd if=/dev/zero of=test bs=1M count=1024 oflag=direct   
可以按ctrl+c中斷查看

        通過 dd 命令測試在容器中寫磁盤的速度。因為容器的文件系統(tǒng)是在 host /dev/sda上的，在容器中寫文件相當(dāng)于對 host /dev/sda 進(jìn)行寫操作。另外，oflag=direct 指定用 direct IO 方式寫文件，這樣 –device-write-bps 才能生效。

結(jié)果表明限速 5MB/s 左右。作為對比測試，如果不限速，結(jié)果如下。

docker run -it centos:stress
 
dd if=/dev/zero of=test bs=1M count=1024 oflag=direct

十、 構(gòu)建鏡像（docker build）時指定資源限制

1.資源限制的主要類型

1)CPU 權(quán)重shares、quota、cpuset
2)磁盤 BPS、TPS限制，指定使用哪個磁盤、磁盤分區(qū)
3)內(nèi)存 -m -swap 內(nèi)存、交換分區(qū)
大部分做的是上限的限制

2.資源限制的幾種方式

1)build 構(gòu)建鏡像時，可以指定該鏡像的資源限制
2)run 將鏡像跑為容器的時候，可以指定容器的資源限制

3)容器啟動之后， 可以在宿主機(jī)對應(yīng)容器的目錄下。修改資源限制，然后重載
/sys/fs/cgroup/*(cpu、blk、mem）/docker/容器ID/→修改對應(yīng)的資源限制文件參數(shù)就可以

 

3.資源限制的狀態(tài)查詢

1)docker inspect 鏡像ID/容器ID 
2)直接查看宿主機(jī)對應(yīng)容器ID資源限制的文件
3)docker stats

cgroup 資源 docker 原理之一 ，namespaces 6個名稱空間

十一、 compose部署

Docker Compose配置常用字段

字段	描述
build dockerfile context	指定Dockerfile文件名構(gòu)建鏡像上下文路徑
image	指定鏡像
command	執(zhí)行命令，覆蓋默認(rèn)命令
container name	指定容器名稱，由于容器名稱是唯一的如果指定自定 義名稱，則無法scale
deploy	指定部署和運行服務(wù)相關(guān)配置，只能在Swarm模式使用
environment	添加環(huán)境變量
networks	加入網(wǎng)絡(luò)
ports	暴露容器端口，與-p相同，但端口不能低于60
volumes	掛載宿主機(jī)路徑或命令卷
restart	重啟策略，默認(rèn)no,always,no-failure,unless-stoped
hostname	容器主機(jī)名

Docker Compose常用命令

字段	描述
build	重新構(gòu)建服務(wù)
ps	列出容器
up	創(chuàng)建和啟動容器
exec	在容器里面執(zhí)行命令
scale	指定一個服務(wù)容器啟動數(shù)量
top	顯示容器進(jìn)程
logs	查看容器輸出
down	刪除容器、網(wǎng)絡(luò)、數(shù)據(jù)卷和鏡像
stop/start/restart	停止/啟動/重啟服務(wù)

環(huán)境部署所有主機(jī)安裝docker環(huán)境(內(nèi)容為docker基礎(chǔ))

yum install docker-ce -y

下載compose

curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
 
cp -p docker-compose /usr/local/bin/
 
chmod +x /usr/local/bin/docker-compose
 
mkdir /root/compose_nginx
 
tree ./
./
├── docker-compose.yml        創(chuàng)建模板腳本
├── nginx
   ├── Dockerfile             創(chuàng)建容器腳本
   ├── nginx-1.15.9.tar.gz    復(fù)制源碼包
└── wwwroot
    └── index.html            站點

vim /root/compose_nginx/docker-compose.yml
 
version: '3'
services:
  nginx:
    hostname: nginx
    build:
      context: ./nginx
      dockerfile: Dockerfile
    ports:
      - 1216:80
      - 1217:443
    networks:
      - cluster
    volumes:
      - ./wwwroot:/usr/local/nginx/html
networks:
  cluster:

docker-compose -f docker-compose.yml up -d

docker 基礎(chǔ)操作/常規(guī)操作
1)image 容器的管理命令
2)dockerfile 
3)docker 網(wǎng)絡(luò) 
4)docker 私有倉庫
registry 
harbor 

docker-compose→資源編排和管理手段 （docker swarm)

 

Harbor 服務(wù)

        Harbor被部署為多個Docker 容器，因此可以部署在任何支持Docker 的Linux 發(fā)行版

上。(registry 為其核心組件)

       Harbor比registry相比好處是: harbor 支持多種功能、圖形化界面管理、多用戶權(quán)限、角色管理機(jī)制、安全機(jī)制。

      服務(wù)端主機(jī)需要安裝Python、 Docker 和Docker Compose。(web 環(huán)境支持的是PY語言，故需要安裝Python)。

1.下載Harbor 安裝程序

wget http:// harbor.orientsoft.cn/habor-1.2.2/harborofline-installer-v1.2.2.tgz

tar zxvf harbor oflie-installer-v1.2.2.tgz -C /usr/local/

2.配置Harbor 參數(shù)文件

vim /us/local/harbor/harbor.cfg
 
第五行  hostname = 主機(jī)ip

關(guān)于Harbor.cfg 配置文件中有兩類參數(shù):所需參數(shù)和可選參數(shù)

(1)參數(shù)

所需參數(shù)這些參數(shù)需要在配置文件Harbor.cfg 中設(shè)置。

如果用戶更新它們并運行install.sh 腳本重新安裝Harbor,參數(shù)將生效。

具體參數(shù)

①hostname:用于訪問用戶界面和reeister 服務(wù)。它應(yīng)該是目標(biāo)機(jī)器的IP 地址或完全限定

的域名(FQDN)。

②ui url _protocol: (http 或https, 默認(rèn)為http) 用于訪問UI和令牌/通知服務(wù)的協(xié)議。如

果公證處于啟用狀態(tài)，則此參數(shù)必須為https。(身份驗證時會向Mysql數(shù)據(jù)庫進(jìn)行比對，

然后授予令牌)

③max_ job_workers: 鏡像復(fù)制作業(yè)線程。

④db_ password: 用于db_ auth的MySQL數(shù)據(jù)庫root用戶的密碼。

⑤customize_ crt:該屬性可設(shè)置為打開或關(guān)閉，默認(rèn)打開。打開此屬性時，準(zhǔn)備腳本創(chuàng)建私鑰和根證書，用于生成/驗證注冊表令牌。

當(dāng)由外部來源提供密鑰和根證書時，將此屬性設(shè)置為off。

⑥ssl_cert: SSL 證書的路徑，僅當(dāng)協(xié)議設(shè)置為https 時才應(yīng)用。

⑦ssl cert_key: SSL 密鑰的路徑，僅當(dāng)協(xié)議設(shè)置為https 時才應(yīng)用。

⑧secretkey_ path:用于在復(fù)制策略中加密或解密遠(yuǎn)程register 密碼的密鑰路徑。

(2)可選參數(shù)

        這些參數(shù)對于更新是可選的，即用戶可以將其保留為默認(rèn)值,并在啟動Harbor 后在Web UI上進(jìn)行更新。

      如果進(jìn)入Harbor.cfg, 只會在第一次啟動 Harbor時生效，隨后對這些參數(shù)的更新，Harbor.cfg將被忽略。

注意:如果選擇通過UI設(shè)置這些參數(shù)，請確保在啟動Harbour后立即執(zhí)行此操作。具體來

說，必須在注冊或在Harbor 中創(chuàng)建任何新用戶之前設(shè)置所需的auth_mode。當(dāng)系統(tǒng)中有用戶時(除了默認(rèn)的admin 用戶)，auth_mode 不能被修改。具體參數(shù)如下:

①Email: Harbor 需要該參數(shù)才能向用戶發(fā)送“密碼重置”電子郵件，并且只有在需要該功能

時才需要。

請注意，在默認(rèn)情況下SSL連接時沒有啟用。如果SMTP服務(wù)器需要SSL,但不支持STARTTLS,那么應(yīng)該通過設(shè)置啟用SSLemailssl=TRUE。

②harbour_admin_password: 管理員的初始密碼，只在Harbour第-次啟動時生效。之后，此

設(shè)置將被忽略，并且應(yīng)UI中設(shè)置管理員的密碼。

請注意，默認(rèn)的用戶名/密碼是admin/Harbor12345 。

③auth mode:使用的認(rèn)證類型，默認(rèn)情況下，它是db_auth, 即憑據(jù)存儲在數(shù)據(jù)庫中。對于

LDAP身份驗證(以文件形式驗證)，請將其設(shè)置為ldap_auth。

④self_registration: 啟用/禁用用戶注冊功能。禁用時，新用戶只能由Admin 用戶創(chuàng)建，只有

管理員用戶可以在Harbour中創(chuàng)建新用戶。

注意:當(dāng)auth_mode設(shè)置為ldap_auth時，自注冊功能將始終處于禁用狀態(tài)，并且該標(biāo)志

被忽略。

⑤Token_ expiration: 由令牌服務(wù)創(chuàng)建的令牌的到期時間(分鐘)，默認(rèn)為30分鐘。

project_creation. restriction: 用于控制哪些用戶有權(quán)創(chuàng)建項目的標(biāo)志。默認(rèn)情況下，每個人

都可以創(chuàng)建一個項目。

如果將其值設(shè)置為“adminonly"，那么只有admin可以創(chuàng)建項目。

⑥verify_remote_cert: 打開或關(guān)閉，默認(rèn)打開。此標(biāo)志決定了當(dāng)Harbor與遠(yuǎn)程register 實例通信時是否驗證SSL/TLS 證書。

        將此屬性設(shè)置為off 將繞過SSL/TLS 驗證，這在遠(yuǎn)程實例具有自簽名或不可信證書時經(jīng)常使用。

        另外，默認(rèn)情況下，Harbor 將鏡像存儲在本地文件系統(tǒng)上。在生產(chǎn)環(huán)境中，可以考慮使用其他存儲后端而不是本地文件系統(tǒng)，如S3、Openstack Swif、Ceph 等。但需要更新common/templates/egistry/config.yml 文件。

3.啟動Harbor

sh /usr/local/harbor/install.sh

 打開瀏覽器輸入主機(jī)ip即可訪問harbor

4.查看Harbor啟動鏡像

查看鏡像

docker images

查看容器

docker ps -a
 
cd /usr/local/harbor/
 
docker-compose ps

此時可使用Docker 命令在本地通過127.0.0.1 來登錄和推送鏡像。默認(rèn)情況下，

Register服務(wù)器在端口80. 上偵聽。

登錄

docker login -u admin -P Harbor12345 http://127.0.0.1

下載鏡像進(jìn)行測試

docker pull cirros

鏡像打標(biāo)簽

docker tag cirros 127.0.0.1/myproject-kgcirros:v1

上傳鏡像到Harbor

docker push 127.0.0.1/myproject-kgc/cirros:v1

        以上操作都是在Harbor 服務(wù)器本地操作。如果其他客戶端上傳鏡像到Harbor, 就會報

如下錯誤。出現(xiàn)這問題的原因Docker Registry 交互默認(rèn)使用的是HTTPS，但是搭建私有鏡

像默認(rèn)使用的是HTTP 服務(wù)，所以與私有鏡像交互時出現(xiàn)以下錯誤。

docker login -u admin -P Harbor12345 http://主機(jī)ip
 
會報錯

解決

vim /us/ib/systemd/system/docker.service
 
ExecStart=/us/bin/dockerd -H fd:// -insecure-registry 主機(jī)ip
 
--containerd=/run/containerd/containerd.sock

systemctl daemon-reload
 
systemctl restart docker
 
docker login -u admin -p Harbor12345 http://主機(jī)ip

十二、 consul部署

consul 注冊中心/注冊機(jī)

服務(wù)器nginx： Nginx 、Consul、 Consul-template
服務(wù)器docker： Docker-ce、registrator（自動發(fā)現(xiàn)、注冊的組件）

template 模板（更新）
registrator（自動發(fā)現(xiàn)）
        后端每構(gòu)建出一個容器，會向registrator進(jìn)行注冊，控制consul 完成更新操作，consul會觸發(fā)consul template模板進(jìn)行熱更新。
        核心機(jī)制：consul ：自動發(fā)現(xiàn)、自動更新，為容器提供服務(wù)（添加、刪除、生命周期輔助功能）。
 

1.consul服務(wù)器

mkdir /root/consul
 
cp consul_0.9.2_linux_amd64.zip /root/consul
 
cd /root/consul
 
unzip consul_0.9.2_linux_amd64.zip
 
mv consul /usr/bin
 
 
consul agent \
-server \		                  server模式
-bootstrap \	                  前端框架（node.js）
-ui \		                      可被訪問的web界面
-data-dir=/var/lib/consul-data \
-bind= \
-client=0.0.0.0 \
-node=consul-server01 &> /var/log/consul.log &
 
consul agent \
-server \
-bootstrap \
-ui \
-data-dir=/var/lib/consul-data \
-bind= \
-client=0.0.0.0 \
-node=consul-server01 &> /var/log/consul.log &

2.通過httpd api 獲取集群信息

curl 127.0.0.1:8500/v1/status/peers        看集群server成員
curl 127.0.0.1:8500/v1/status/leader       集群 Raf leader
curl 127.0.0.1:8500/v1/catalog/services    注冊的所有服務(wù)
curl 127.0.0.1:8500/v1/catalog/nginx       查看 nginx 服務(wù)信息
curl 127.0.0.1:8500/v1/catalog/nodes       集群節(jié)點詳細(xì)信息

3.容器服務(wù)自動加入consul集群

(1)安裝 Gliderlabs/Registrator 

可檢查容器運行狀態(tài)自動注冊，還可注銷 docker 容器的服務(wù) 到服務(wù)配置中心。
目前支持 Consul、Etcd 和 SkyDNS2。 
執(zhí)行操作：

docker run -d \
--name=registrator \
--net=host \
-v /var/run/docker.sock:/tmp/docker.sock \
--restart=always \
gliderlabs/registrator:latest \
-ip=ip網(wǎng)址 \
consul://ip網(wǎng)址:8500

(2)測試服務(wù)發(fā)現(xiàn)功能是否正常

docker run -itd -p:83:80 --name test-01 -h test01 nginx
docker run -itd -p:84:80 --name test-02 -h test02 nginx
docker run -itd -p:88:80 --name test-03 -h test03 httpd
docker run -itd -p:89:80 --name test-04 -h test04 httpd

(3)驗證 http 和 nginx 服務(wù)是否注冊到 consul 

        瀏覽器輸入 http://ip網(wǎng)址:8500，“單擊 NODES”，然后單擊 “consurl-server01”，會出現(xiàn) 5 個服務(wù).

在consul服務(wù)器上查看服務(wù)

curl 127.0.0.1:8500/v1/catalog/services

(4)安裝 consul-template

        Consul-Template 是一個守護(hù)進(jìn)程，用于實時查詢 Consul 集群信息，并更新文件系統(tǒng) 上任意數(shù)量的指定模板，生成配置文件。更新完成以后，可以選擇運行 shell 命令執(zhí)行更新 操作，重新加載 Nginx。Consul-Template ，可以查詢 Consul 中的服務(wù)目錄、Key、Key-values 等。
       這種強大的抽象功能和查詢語言模板可以使 Consul-Template 特別適合動態(tài)的創(chuàng)建配置文件。
       創(chuàng)建 Apache/Nginx Proxy Balancers、Haproxy Backends

(5)準(zhǔn)備 template nginx 模板文件

在consul上操作

vim /root/consul/nginx.ctmpl
 
upstream http_backend {
  {{range service "nginx"}}
   server {{.Address}}:{{.Port}};    此處引用的變量會指向后端的地址和端口（動態(tài)變化）
   {{end}}
}
 
server {
  listen 85;
  server_name localhost ip網(wǎng)址;         反向代理的IP地址(前端展示的NG服務(wù)的IP)
  access_log /var/log/nginx/kgc.cn-access.log;
  index index.html index.php;
  location / {
    proxy_set_header HOST $host;
    proxy_set_header X-Real-IP $remote_addr;         后端真實IP
    proxy_set_header Client-IP $remote_addr;    
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;     轉(zhuǎn)發(fā)地址
    proxy_pass http://http_backend;
  }
}

(6)編譯安裝nginx

yum install gcc pcre-devel zlib-devel -y
 
tar zxvf nginx-1.12.0.tar.gz  -C /opt
 
./configure --prefix=/usr/local/nginx
 
make && make install
 
ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin

(7)配置 nginx

vim /usr/local/nginx/conf/nginx.conf
 
 
http {
     include       mime.types;        默認(rèn)存在的
     include  vhost/*.conf;           添加虛擬主機(jī)目錄（consul動態(tài)生成的配置文件就會放在這里）
     default_type  application/octet-stream;

  創(chuàng)建虛擬主機(jī)目錄

mkdir /usr/local/nginx/conf/vhost

創(chuàng)建日志文件目錄

mkdir /var/log/nginx

啟動nginx

usr/local/nginx/sbin/nginx

(8)配置并啟動 template

cp consul-template_0.19.3_linux_amd64.zip /root/
 
unzip consul-template_0.19.3_linux_amd64.zip
 
mv consul-template /usr/bin/

關(guān)聯(lián)nginx 虛擬目錄中的子配置文件操作

consul-template -consul-addr 192.168.226.130:8500 \
-template "/opt/consul/nginx.ctmpl:/usr/local/nginx/conf/vhost/benet.conf:/usr/local/nginx/sbin/nginx -s reload" \
--log-level=info

另外打開一個終端查看生成配置文件

cat /usr/local/nginx/conf/vhost/kgc.conf 
upstream http_backend {
  
   server ip網(wǎng)址:83;
   
   server iP網(wǎng)址:84;
   
}
 
server {
  listen 83;
  server_name localhost ip網(wǎng)址;
  access_log /var/log/nginx/kgc.cn-access.log;
  index index.html index.php;
  location / {
    proxy_set_header HOST $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Client-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://http_backend;
  }
}

4.增加一個nginx容器節(jié)點

增加一個 nginx 容器節(jié)點，測試服務(wù)發(fā)現(xiàn)及配置更新功能
在registrator服務(wù)端注冊

docker run -itd -p 85:80 --name test-05 -h test05 nginx

查看三臺nginx容器日志，請求正常輪詢到各個容器節(jié)點上

docker logs -f test-01
docker logs -f test-02
docker logs -f test-05

總結(jié)