一、拉取镜像，并推送至私有harbor

<think>我们正在配置Gitea Runner以实现CI/CD流程，包括拉取代码、构建Docker镜像并推送到Harbor仓库。以下是详细步骤： ### 1. 安装并注册Gitea Runner 首先，需要在服务器上安装Gitea Runner并注册到Gitea实例。 #### 安装Runner 根据操作系统下载对应的Runner二进制文件（例如Linux amd64）： ```bash wget -O gitea-runner https://dl.gitea.com/runner/v1.0.0/gitea-runner-linux-amd64 chmod +x gitea-runner sudo mv gitea-runner /usr/local/bin/ ``` #### 注册Runner 在Gitea仓库中，进入仓库设置 -> Actions -> Runners，点击“创建新的Runner”按钮，会显示一个注册令牌（token）。然后在服务器上执行： ```bash gitea-runner register ``` 按照提示输入： - Gitea实例URL（例如：https://your-gitea.com） - 注册令牌 - Runner名称（可自定义） - 标签（可选，用于匹配任务） - 执行器（executor）选择：这里我们使用`docker`执行器，因为它适合构建Docker镜像。 ### 2. 配置Runner使用Docker执行器 在注册过程中，当选择执行器时，选择`docker`，并设置默认的Docker镜像（例如`docker:24.0.7-dind`，其中包含Docker守护进程和客户端）。同时，需要配置Runner的配置文件（通常在`~/.config/gitea-runner/runner.yml`）中指定Docker相关参数。 为了能够构建Docker镜像并推送到Harbor，我们需要在Runner配置中挂载Docker socket，这样Runner内的Docker就可以使用宿主机的Docker守护进程。 修改Runner的配置文件，在`runners`部分下的`docker`执行器配置中添加： ```yaml runners: - name: my-runner ... docker: ... volumes: ["/var/run/docker.sock:/var/run/docker.sock", "/cache"] privileged: true # 可选，但有时需要以特权模式运行容器 ``` ### 3. 编写Gitea Actions工作流文件 在代码仓库的根目录创建`.gitea/workflows/docker-build.yml`文件（如果目录不存在则创建）。 #### 示例工作流文件 ```yaml name: Build and Push Docker Image on: [push] jobs: build-and-push: runs-on: docker steps: - name: Checkout code uses: actions/checkout@v3 - name: Set up Docker Buildx uses: docker/setup-buildx-action@v2 - name: Log in to Harbor uses: docker/login-action@v2 with: registry: ${{ secrets.HARBOR_REGISTRY }} username: ${{ secrets.HARBOR_USERNAME }} password: ${{ secrets.HARBOR_PASSWORD }} - name: Build and push Docker image uses: docker/build-push-action@v4 with: context: . file: ./Dockerfile push: true tags: ${{ secrets.HARBOR_REGISTRY }}/${{ secrets.HARBOR_PROJECT }}/my-app:${{ github.sha }} ``` ### 4. 配置Harbor仓库访问凭证 在Gitea仓库设置中，添加以下加密变量（secrets）： - `HARBOR_REGISTRY`: Harbor仓库地址（例如：`harbor.example.com`） - `HARBOR_PROJECT`: Harbor中的项目名 - `HARBOR_USERNAME`: 登录Harbor的用户名 - `HARBOR_PASSWORD`: 登录Harbor的密码 ### 5. 注意事项 - **Dockerfile**: 确保仓库根目录有正确的Dockerfile。 - **网络和权限**：确保Runner服务器可以访问Harbor仓库，并且有推送权限。 - **安全**：使用`docker/setup-buildx-action`可以启用BuildKit，提高构建效率和安全性。 ### 6. 测试 推送代码到仓库，观察Actions执行情况。如果一切正常，镜像将被推送到Harbor仓库。 ### 引用说明 以上步骤参考了GitLab CI/CD和GitHub Actions的类似配置，并针对Gitea进行了调整[^1][^2][^4]。 §§相关问题§§ 1. 如何配置Gitea Runner使用私有镜像仓库？ 2. 如何优化Docker镜像构建速度？ 3. Gitea Actions与GitHub Actions有哪些主要区别？</think>### 配置Gitea Runner实现CI/CD流程（拉取代码→构建Docker镜像→推送Harbor） #### 1. 安装和注册Gitea Runner ```bash # 下载Runner二进制文件（根据系统架构选择） wget -O gitea-runner https://dl.gitea.com/runner/gitea-actions-runner-linux-amd64 # 添加执行权限 chmod +x gitea-runner # 注册Runner（需提前在Gitea仓库获取令牌） ./gitea-runner register --config config.yml \ --name my-runner \ --instance https://your-gitea-domain.com \ --token YOUR_REPO_TOKEN \ --labels docker ``` #### 2. 配置Runner执行环境（使用Docker执行器） 编辑生成的`config.yml`文件： ```yaml runners: - name: my-runner instance: https://your-gitea-domain.com labels: [docker] executor: docker docker: image: docker:24.0.7-dind # 包含Docker的镜像 volumes: - /var/run/docker.sock:/var/run/docker.sock - /cache:/cache privileged: true # 启用特权模式 ``` #### 3. 创建工作流文件 在代码仓库创建`.gitea/workflows/docker-build.yml`： ```yaml name: Docker Build and Push on: [push] jobs: build-push: runs-on: docker steps: - name: Checkout code uses: actions/checkout@v3 - name: Login to Harbor run: | echo "${{ secrets.HARBOR_PASSWORD }}" | docker login \ -u ${{ secrets.HARBOR_USERNAME }} \ --password-stdin ${{ secrets.HARBOR_REGISTRY }} - name: Build Docker image run: docker build -t ${{ vars.IMAGE_NAME }}:${{ github.sha }} . - name: Tag and Push run: | docker tag ${{ vars.IMAGE_NAME }}:${{ github.sha }} \ ${{ secrets.HARBOR_REGISTRY }}/${{ vars.PROJECT_NAME }}/${{ vars.IMAGE_NAME }}:${{ github.sha }} docker push ${{ secrets.HARBOR_REGISTRY }}/${{ vars.PROJECT_NAME }}/${{ vars.IMAGE_NAME }}:${{ github.sha }} - name: Cleanup run: docker rmi ${{ vars.IMAGE_NAME }}:${{ github.sha }} ``` #### 4. 配置仓库密钥和变量 在Gitea仓库设置中添加： - **Secrets**（加密存储）： - `HARBOR_REGISTRY`：`harbor.yourdomain.com` - `HARBOR_USERNAME`：你的Harbor账号 - `HARBOR_PASSWORD`：你的Harbor密码 - **Variables**（明文存储）： - `IMAGE_NAME`：你的镜像名称（如`myapp`） - `PROJECT_NAME`：Harbor中的项目名 #### 5. 关键配置说明 1. **Docker-in-Docker（DinD）**： 使用`docker:dind`镜像并通过`/var/run/docker.sock`挂载实现嵌套Docker操作[^2] 2. **安全凭证管理**： 敏感信息通过`secrets`加密传输，避免密码泄露 3. **镜像标签策略**： 使用Git提交SHA作为唯一标签（`${{ github.sha }}`），确保可追溯性 4. **清理阶段**： 构建后自动删除本地镜像，节省磁盘空间 #### 6. 验证流程 1. 推送代码到Gitea仓库 2. 在仓库的`Actions`标签页查看执行日志 3. 登录Harbor仓库确认镜像已推送成功 > **注意**：确保Runner服务器与Harbor的网络连通性，如需HTTPS访问需配置证书信任[^4]

<think>嗯，用户想知道怎么用containerd把镜像推送到Harbor私有仓库。我之前可能回答过类似的问题，不过需要仔细想想步骤是否正确。首先，containerd默认使用ctr命令管理镜像，但用户可能更熟悉docker，所以也许需要提到nerdctl作为替代工具。 首先，用户需要安装和配置containerd。可能得确认containerd是否已经安装，如果是从Docker安装的，可能已经自带。然后配置/etc/containerd/config.toml，启用CRI插件并配置Harbor的镜像仓库地址。特别是对于自签名的HTTPS仓库，需要添加insecure_skips部分，否则可能会遇到证书错误。 接下来，如何拉取和修改镜像标签。使用ctr命令拉取公共镜像，然后重新打标签，指向Harbor的地址。比如，将alpine:latest标记为harbor.example.com/library/alpine:latest。这里要注意Harbor的项目结构，比如library是默认项目，用户可能需要根据实际项目调整路径。 然后是登录认证的问题。Harbor需要认证，所以需要生成认证文件。ctr没有直接登录命令，需要手动创建auth.json文件，放在用户的.docker目录或者配置文件中指定的路径。需要提醒用户注意用户名密码的安全，或者使用其他认证方式比如机器人账户。 推送镜像的时候，使用ctr image push命令，可能需要带上--plain-http参数如果Harbor没有配置HTTPS。但最好建议用户配置HTTPS，因为insecure方式不安全，适合测试环境。生产环境应该正确配置证书。 另外，用户可能更习惯使用nerdctl，因为它更接近docker的命令行工具。安装nerdctl后，可以用nerdctl login和nerdctl push，这样步骤更简单，适合从docker转过来的用户。这部分可以作为替代方案提供，让用户选择方便的工具。 常见问题方面，证书错误是常见的，特别是自签名证书。需要确保containerd信任该证书，或者配置insecure。权限问题的话，用户可能没有正确设置Harbor项目的权限，或者认证信息有误。网络问题需要检查Harbor服务是否可达，防火墙设置等。 最后生成相关问题，需要覆盖镜像管理工具的比较，安全配置，Harbor项目权限，以及containerd与Kubernetes的集成。这些扩展问题可以帮助用户进一步了解相关主题，解决可能遇到的更深层次问题。 需要确保步骤中的命令正确无误，特别是路径和占位符替换成用户的实际Harbor地址和项目名。另外，提醒用户根据实际情况调整配置，比如如果不是自签名证书，就不需要跳过验证。总的来说，分步骤讲解，提供两种工具的选择，并覆盖常见问题，应该能有效解决用户的需求。</think>### 使用containerd推送镜像到Harbor私有仓库的步骤 #### 1. **安装与配置containerd** - 确保已安装`containerd`并启用CRI插件。若使用Docker作为运行时，containerd可能已默认安装。 - 修改containerd配置文件`/etc/containerd/config.toml`，添加Harbor仓库地址（若使用自签名HTTPS证书需配置`insecure_skip_verify`）： ```toml [plugins."io.containerd.grpc.v1.cri".registry] [plugins."io.containerd.grpc.v1.cri".registry.mirrors] [plugins."io.containerd.grpc.v1.cri".registry.mirrors."harbor.example.com"] endpoint = ["https://harbor.example.com"] [plugins."io.containerd.grpc.v1.cri".registry.configs] [plugins."io.containerd.grpc.v1.cri".registry.configs."harbor.example.com".tls] insecure_skip_verify = true # 仅用于自签名证书测试环境[^2] ``` - 重启服务：`systemctl restart containerd` #### 2. **拉取并标记镜像** - 使用`ctr`命令拉取公共镜像并重新标记为Harbor地址： ```bash ctr image pull docker.io/library/alpine:latest ctr image tag docker.io/library/alpine:latest harbor.example.com/library/alpine:latest ``` #### 3. **配置Harbor认证** - 创建认证文件`~/.docker/config.json`（或`/root/.docker/config.json`）： ```json { "auths": { "harbor.example.com": { "auth": "base64(username:password)" } } } ``` - 生成base64编码：`echo -n 'username:password' | base64` #### 4. **推送镜像到Harbor** - 使用`ctr image push`命令（需指定`--platform`参数）： ```bash ctr image push --platform linux/amd64 harbor.example.com/library/alpine:latest ``` - 若使用HTTP而非HTTPS，需添加`--plain-http`参数[^3]。 #### 5. **验证推送结果** - 登录Harbor Web界面，检查`library`项目中是否包含`alpine:latest`镜像。 --- ### 替代方案：使用`nerdctl` 若已安装`nerdctl`（兼容Docker CLI的工具）： 1. 登录Harbor： ```bash nerdctl login harbor.example.com --username admin --password Harbor12345 ``` 2. 标记并推送镜像： ```bash nerdctl tag alpine:latest harbor.example.com/library/alpine:latest nerdctl push harbor.example.com/library/alpine:latest ``` --- ### 常见问题排查 - **证书错误**：确保Harbor的CA证书被系统信任，或配置`insecure_skip_verify`（仅限测试环境）。 - **权限不足**：检查Harbor用户是否对目标项目有`推送`权限。 - **网络不通**：验证`curl -k https://harbor.example.com/v2/`是否返回API版本信息。 ---