如何在 Harbor 与阿里云镜像服务 (ACR) 间优雅进行镜像迁移

公众号关注 「奇妙的 Linux 世界」

设为「星标」，每天带你玩转 Linux ！

【摘要】阿里云镜像仓库ACR和Harbor私有镜像仓库之间镜像的相互迁移，为上云添砖加瓦。

前言

业务场景：

  公司之前使用阿里云的ACR镜像仓库服务。后来经过发展，搭建了自己的Harbor私有镜像仓库服务，因为之前的容器镜像都是存放在阿里云镜像仓库中的。所以现在需要将阿里云的镜像【迁移】到Harbor中。

  本篇以图文方式详细的记录了从“0“开始的操作步骤，实际操作过程的难点在于【新建目标规则】这一步操作中，也是楼主踩坑的地方，部分操作可根据实际情况跳过。

  本文适用于阿里云和Harbor之间镜像的相互迁移，即可将阿里云的镜像迁移到Harbor，也可将Harbor中的镜像迁移到阿里云。

扩展：
 阿里云有个开源的镜像迁移工具image-syncer,将会在后面的文章中详细介绍和使用。

创建RAM用户（访问控制）

【登录阿里云】—【首页】—【访问控制】—【创建RAM用户】

阿里云配置

在在阿里云进行以下操作：

2.1 创建个人实例（个人版）

2.2 设置镜像密码

2.3 创建命名空间

  创建项目前需要先创建命名空间。一个账号最多可以创建 3 个命名空间。定义您的镜像仓库命名空间，设置后不可修改。长度为2-30位，可填写小写英文字母、数字，可使用的分隔符包括“_”、“-”（分隔符不能在首位或末位）

2.4 配置访问凭证

  Docker客户端登录时使用的用户名为阿里云账户全名，密码为当前设置的密码获取手机验证码后点击“确认”

2.5 创建镜像仓库

  在【仓库管理】—【镜像仓库】—【创建镜像仓库】—【】 选择【本地仓库】（可以通过命令行推送镜像到镜像仓库） 然后点击【创建镜像仓库】

将镜像推送到阿里云镜像仓库

3.1 命令行登录阿里云镜像仓库

可在镜像仓库服务查看详细的登录命令。

3.2 给镜像打Tag

新的镜像格式为：registry-vpc.cn-hangzhou.aliyuncs.com/阿里云用户名/镜像名称:镜像标签

$ docker  images
REPOSITORY             TAG           IMAGE ID     CREATED     SIZE
vmware/registry-photon v2.6.2-v1.5.0 3059f44f4b9a 4 years ago 198MB
...
$ docker tag vmware/registry-photon:v2.6.2-v1.5.0 \
registry.cn-hangzhou.aliyuncs.com/lidabai6/registry-photon:v2.6.2-v1.5.0推送镜像
$ docker push registry.cn-hangzhou.aliyuncs.com/lidabai6/registry-photon:v2.6.2-v1.5.0 
The push refers to repository [registry.cn-hangzhou.aliyuncs.com/lidabai6/registry-photon]
5e9191f65a4c: Pushed 
1da5c77da464: Pushed 
654b65c0f8ff: Pushed 
75609935cf31: Pushed 
7ab0310b3d9d: Pushed 
fd8233cdfcf0: Pushed 
52ef9064d2e4: Pushed 
v2.6.2-v1.5.0: digest: sha256:3ee1c992200a069d8d943aa21f555950bd7d1764122a936ba2a3cb115885bf86 size: 1783

在阿里云镜像仓库管理界面可以看到已经推送成功的镜像了：

Harbor配置镜像迁移

以下操作在Harbor UI界面完成。

4.1  新建目标规则（踩坑记录）

在Harbor UI管理界面进行操作：

(1)【系统管理】—【仓库管理】—【新建目标】

(2)填写目标信息

• 提供者：下拉选择”Alibaba ACR";

• 目标名：填写一个具有标识性的名称;

• 目标URL：在阿里云镜像仓库的“容器镜像服务/实例列表/镜像仓库/基本信息”可以查询到，下拉选择即可，不同地域会不一样；

• 访问ID：阿里云镜像仓库的命名空间名称；ram账户id;

• 访问密码：在前面【配置访问凭证】时设置的密码；

• 验证远程证书：如果是自签或者非信任的证书，不可勾选该项；

• 点击【连接测试】看Harbor与阿里云镜像仓库ACR是否可以正常连接。

注意！：
 本处【测试连接失败】， 您可以使用您的 ram 帐户创建 AK，而不是使用密码。Aliyun SDK不允许使用密码进行认证访问控制（Resource Access Management，RAM）是阿里云提供的一项管理用户身份与资源访问权限的服务。使用RAM，您可以创建、管理RAM用户（例如员工、系统或应用程序），并可以控制这些 RAM 用户对资源的操作权限。需要实名认证。重新填写后连接测试成功！

4.2 新建复制规则

在Harbor UI管理界面操作：
【系统管理】—【复制管理】—【新建规则】，
然后填写信息：

• 名称：自定义一个名称即可；

• 复制模式：pull-bashd就是将阿里云上的镜像拉到Harbor，Push则相反；

• 源仓库：下拉选择刚才【新建目标规则】的名称开头的；

• 触发模式：手动（全量）

然后点击【保存】,可以看到”新建规则“成功！

4.3 执行”迁移“

选择【系统管理】—【复制管理】—【新建规则】中刚才新建成功的目标规则；
然后点击【复制】按钮开始”手动“执行”复制“；
然后在跳出的会话框中，继续点击【复制】进行“复制规则确认”。

4.4 验证

在执行复制任务完成后，查看【复制任务】对应ID的事件【成功百分比】是否为100%，如果是100%则表示全部迁移成功，然后检查两端的镜像数量是否一致。
如果【成功百分比】不是100%，则点击对应任务的ID进去查看详细的日志。

本文转载自：「Harbor进阶实战」，原文：https://url.hi-linux.com/CMsdt，版权归原作者所有。欢迎投稿，投稿邮箱: editor@hi-linux.com。

最近，我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神，有兴趣的同学可以加入和我们一起交流技术，在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。

你可能还喜欢

点击下方图片即可阅读

Kubernetes 网络排错骨灰级中文指南


点击上方图片，『美团|饿了么』外卖红包天天免费领

更多有趣的互联网新鲜事，关注「奇妙的互联网」视频号全了解！