一种基于容器的私服架构及其搭建和可视化方法与流程

本发明总体上涉及计算机技术领域，并且更具体地，涉及一种基于容器的私服架构及其搭建和可视化方法。

背景技术：

docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到linux机器上。docker创建容器的镜像存储支持多种方式，除了开源或公共项目需要使用默认的公共仓库外，还有适合特殊定制某些东西的docker命令实现的保存/载入方式。现有的私服仓库有两种：第一种是docker官方提供了dockerhub网站来作为一个公开的集中仓库；第二种是本地创建并访问dockerhub的私服仓库，给了相关的registry镜像，部署起来相对简单。

但是以上两种方案有如下弊端：1.第一种速度往往很慢，在需要有外网的情况下连接时，如服务器在外国，在中国访问会很慢，影响效率；2.第二种本地可以创建，但是没有提供相关的管理界面，需要使用独特的httprest的请求进行访问、修改相关配置并对镜像进行crud(createreadupdateanddelete，创建、读取、更新和删除)操作；3.没有基于角色的访问控制(rolebasedaccesscontrol，rbac)，基本上只有管理员权限或者拥有相关证书的人才能访问；4.没有审计日志(auditlogging)，无法查看谁修改了镜像仓库中的镜像及相关的日志审计；5.对于普通的人来说操作不方便，不懂技术的人可能无法操作。

基于以上问题，亟需设计一种提供管理ui、基于角色的访问控制以及审计日志等需求的企业级的dockerregistry服务，并能够针对界面进行操作，可以支持镜像的存储备份方案等。

技术实现要素：

鉴于此，本发明实施例的目的在于提出一种基于容器的私服架构及其搭建和可视化方法，该架构可以提供管理ui、基于角色的访问控制以及审计日志等需求，并且可以针对界面进行操作，支持镜像的存储备份方案等。

基于上述目的，本发明实施例的一方面提供了一种基于容器的私服架构，包括：

核心服务模块(coreservices)，所述核心服务模块用于提供用户界面(ui)和令牌(token)服务模块；

registry模块，所述registry模块用于存储docker镜像；以及

数据库模块(database)，所述数据库模块负责存储用户权限；

其中，所述用户界面通过图形化界面帮助用户管理所述registry模块上的所述docker镜像并对所述用户进行授权；当所述用户经由所述用户界面从所述registry模块拉取镜像或将镜像上传到所述registry模块时，所述registry模块指向所述令牌服务模块，所述令牌服务模块根据所述用户权限为所述命令签发令牌，然后所述registry模块通过公钥对所述令牌进行解密验证以按照所述用户权限在所述用户界面上显示相应内容。

在一些实施方式中，还包括：

代理模块(proxy)，所述registry模块和所述核心服务模块通过所述代理模块统一接收来自所述用户界面的用户请求并将所述请求转发给后端。

在一些实施方式中，还包括：

日志收集模块(logcollector)，所述日志收集模块用于收集所述私服架构中其他模块的日志。

在一些实施方式中，其中所述数据库模块还存储所述日志、所述docker镜像分组信息等数据。

在一些实施方式中，所述核心服务模块还提供webhook，其中所述webhook把所述registry模块上的所述docker镜像的状态变化传递给所述用户界面。

在一些实施方式中，所述用户界面为浏览器、docker客户端。

本发明实施例的另一方面提供了一种基于容器的私服搭建及可视化方法，包括以下步骤：

查看本地端口是否被占用；

当所述端口未被占用时，定义相关可执行文件的脚本；

执行所述脚本以进行安装；以及

安装完成后，访问用户界面并进行基于用户权限的访问控制设置。

在一些实施方式中，所述可执行的脚本文件是入口文件，配合安装源文件进行本地私服仓库的安装。

本发明实施例的又一方面提供了一种计算机设备，包括存储器、至少一个处理器，所述存储器存储有可在所述处理器上运行的计算机程序，其中，所述处理器执行所述程序时执行上述方法。

本发明实施例的又一方面提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机可读存储介质上的计算程序，所述计算程序包括指令，当所述指令被计算机执行时，使所述计算机执行上述方法。

本发明具有以下有益技术效果：本发明实施例提供的基于容器的私服搭建及可视化方法主要通过一个入口的可执行yml描述性文件、配合安装源文件进行本地私服仓库的安装，由此搭建的私服仓库具有增强的功能：提供管理界面，简单操作一目了然；增加基于角色的访问控制；增加审计日志功能；增加镜像的存储方案和备份。相对于现有手段，该架构可以有效地降低复杂度，提高扩展性，可以方便地支持系统分布式环境的应用部署及集成。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的私服架构的各模块关系的示意图；

图2是根据本发明提供的执行所述基于容器的私服搭建及可视化方法的计算机设备的一个实施例的硬件结构示意图。

具体实施方式

以下描述了本公开的实施例。然而，应该理解，所公开的实施例仅仅是示例，并且其他实施例可以采取各种替代形式。附图不一定按比例绘制；某些功能可能被夸大或最小化以显示特定部件的细节。因此，本文公开的具体结构和功能细节不应被解释为限制性的，而仅仅是作为用于教导本领域技术人员以各种方式使用本发明的代表性基础。如本领域普通技术人员将理解的，参考任何一个附图所示出和描述的各种特征可以与一个或多个其他附图中所示的特征组合以产生没有明确示出或描述的实施例。所示特征的组合为典型应用提供了代表性实施例。然而，与本公开的教导相一致的特征的各种组合和修改对于某些特定应用或实施方式可能是期望的。

为了便于理解，对本发明中出现的部分名词作一些解释说明：

docker：一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的linux机器上，也可以实现虚拟化，容器是完全使用沙箱机制，相互之间不会有任何接口。

dockerhub：为用户提供不限数目的公开镜像托管服务，它与github类似，利用dockerhub，我们可以搜索、创建、分享和管理镜像，还可以利用其提供的自动化构建技术直接在集群云服务器上构建镜像。

dockerregistry：是一个存储和分享docker镜像的服务。

镜像：一种文件存储形式，将特定的一系列文件按照一定的格式制作成单一的文件，以方便用户下载和使用。

webhook：是一个api概念，准确的说是一种web回调或者http的pushapi，是向app或者其他应用提供实时信息的一种方式。

令牌(token)：为了验证api请求者的身份，需要客户端向服务器端提供一个可靠的验证信息，这种信息我们称为token。

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。

本发明实施例的第一个方面，提出了一种基于容器的私服架构，其各模块之间的关系如图1所示。该架构基于dockerhub发布的私有镜像、对dockerregistry进行了再加工、针对已有的镜像对本地运行的yml进行了修改。此发明架构上主要由五个模块构成，如图1所示，包括代理模块、registry模块、核心服务模块、数据库模块以及日志收集模块，其中核心服务模块是系统的核心功能，主要提供用户界面、webhook以及令牌服务模块。

在一些实施方式中，registry模块和核心服务模块通过代理模块统一接收来自浏览器、docker客户端的用户请求并将所述请求转发给后端不同的服务。其中registry模块和核心服务模块将通过代理模块统一接收的用户请求转发给后端数据库模块。在一些实施方式中，数据库模块为核心服务模块提供数据库服务，负责储存用户权限、审计日志、和/或docker镜像分组信息等数据。

在一些实施方式中，registry模块存储docker镜像，并且用于处理dockerpush/pull命令，即用户从registry模块拉取镜像或将镜像上传到registry模块的命令。由于我们要对用户进行访问控制，即不同用户对docker镜像有不同的读写权限，令牌服务模块负责根据用户权限给每个dockerpush/pull命令签发令牌。当用户执行dockerpush/pull命令时，docker客户端向registry模块发起的请求，如果不包含令牌，则请求会被重定向到令牌服务模块，获得令牌后再重新向registry模块进行请求，然后registry模块通过公钥对所述令牌进行解密验证以赋予用户不同的权限。

在一些实施方式中，用户界面提供图形化界面，帮助用户管理registry上的镜像，并对用户进行授权；为了及时获取registry上镜像状态变化的情况，在registry上配置webhook，webhook模块把镜像状态变化传递给用户界面。

在一些实施方式中，为了帮助监控运行，日志收集模块负责收集其他模块的日志，以供日后进行分析。

从上述实施例可以看出，本发明实施例提供的本地私服仓库的架构具有增强的功能：提供管理界面，简单操作一目了然；增加基于角色的访问控制；增加审计日志功能；增加镜像的存储方案和备份。相对于现有手段，该架构可以有效地降低复杂度，提高扩展性，可以隐藏内部实现，对已有镜像可以进行替换、更新等一些操作，并且可以方便地支持系统分布式环境的应用部署及集成。

本发明实施例的第二个方面，提出了一种基于容器的私服搭建和可视化方法，本方法主要应用在linux环境下以执行安装，包括以下步骤：

步骤1：查看本地端口是否被占用；

步骤2：当所述端口未被占用时，定义相关可执行文件的脚本docker-compose.yml；

步骤3：执行所述脚本以进行安装

sudodocker-compose-f./docker-compose.yml-f./docker-compose.ymlup-d；以及

步骤4：安装完成后，访问用户界面并进行基于用户权限的访问控制设置。

本发明中，主要通过一个入口的可执行yml描述性脚本文件、配合安装源文件进行本地私服仓库的安装。脚本文件yml是入口文件，基本不用改变，其里面集成了扩展的插件方案，比如基于证书的方案、令牌服务等。

基于容器的私服架构使用了上述方法进行搭建。

从上述实施例可以看出，本发明实施例提供的基于容器的私服搭建及可视化方法基于dockerhub发布的私有镜像，dockerregistry进行了再加工，并针对已有镜像对本地运行的yml进行了修改，以实现增加管理ui、基于角色的访问控制、审计日志、镜像的存储方案及备份等的功能。

需要特别指出的是，上述基于容器的私服搭建和可视化方法的实施例采用了所述基于容器的私服架构的实施例来具体说明搭建的工作过程，本领域技术人员能够很容易想到，将这些方法应用到所述基于容器的私服架构的其他实施例中。当然，由于所述基于容器的私服搭建和可视化方法实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于所述基于容器的私服架构也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

基于上述目的，本发明实施例的第三个方面，提出了一种执行所述基于容器的私服搭建及可视化方法的计算机设备的一个实施例。

所述执行所述基于容器的私服搭建及可视化方法的计算机设备包括存储器、至少一个处理器，存储器存储有可在处理器上运行的计算机程序，处理器执行程序时执行上述任意一种方法。

如图2所示，为本发明提供的执行所述基于容器的私服搭建及可视化方法的计算机设备的一个实施例的硬件结构示意图。

以如图2所示的计算机设备为例，在该计算机设备中包括一个处理器201以及一个存储器202，并还可以包括：输入装置203和输出装置204。

处理器201、存储器202、输入装置203和输出装置204可以通过总线或者其他方式连接，图2中以通过总线连接为例。

存储器202作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本申请实施例中的所述基于容器的私服搭建及可视化方法对应的程序指令/模块。处理器201通过运行存储在存储器202中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例的基于容器的私服搭建及可视化方法。

存储器202可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据基于容器的私服架构的使用所创建的数据等。此外，存储器202可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器202可选包括相对于处理器201远程设置的存储器，这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置203可接收输入的数字或字符信息，以及产生与基于容器的私服架构的用户设置以及功能控制有关的键信号输入。输出装置204可包括显示屏等显示设备。

所述一个或者多个基于容器的私服搭建及可视化方法对应的程序指令/模块存储在所述存储器202中，当被所述处理器201执行时，执行上述任意方法实施例中的基于容器的私服搭建及可视化方法。

所述执行所述基于容器的私服搭建及可视化方法的计算机设备的任何一个实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

基于上述目的，本发明实施例的第四个方面，提出了一种计算机程序产品，该计算机程序产品包括存储在计算机可读存储介质上的计算程序，该计算机程序包括指令，当该指令被计算机执行时，使该计算机执行上述任意方法实施例中的基于容器的私服搭建和可视化方法与实现上述任意架构/系统实施例中的基于容器的私服架构/系统。所述计算机程序产品的实施例，可以达到与之对应的前述任意方法与架构/系统实施例相同或者相类似的效果。

最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(rom)或随机存储记忆体(ram)等。所述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

此外，典型地，本发明实施例公开所述的装置、设备等可为各种电子终端设备，例如手机、个人数字助理(pda)、平板电脑(pad)、智能电视等，也可以是大型终端设备，如服务器等，因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。

此外，根据本发明实施例公开的方法还可以被实现为由cpu执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被cpu执行时，执行本发明实施例公开的方法中限定的上述功能。

此外，上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。

此外，应该明白的是，本文所述的计算机可读存储介质(例如，存储器)可以是易失性存储器或非易失性存储器，或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的，非易失性存储器可以包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦写可编程rom(eeprom)或快闪存储器。易失性存储器可以包括随机存取存储器(ram)，该ram可以充当外部高速缓存存储器。作为例子而非限制性的，ram可以以多种形式获得，比如同步ram(dram)、动态ram(dram)、同步dram(sdram)、双数据速率sdram(ddrsdram)、增强sdram(esdram)、同步链路dram(sldram)、以及直接rambusram(drram)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。

本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。

结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行：通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器，但是可替换地，处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合，例如，dsp和微处理器的组合、多个微处理器、一个或多个微处理器结合dsp和/或任何其它这种配置。

结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在ram存储器、快闪存储器、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd-rom、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器，使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中，所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在asic中。asic可以驻留在用户终端中。在一个替换方案中，处理器和存储介质可以作为分立组件驻留在用户终端中。

在一个或多个示例性设计中，所述功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将所述功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括ram、rom、eeprom、cd-rom或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(dsl)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、dsl或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。

以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。

应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。

上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上所述的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。