附006.harbor.cfg配置文件详解

一 必须参数

需要在配置文件中设置这些参数。如果用户更新它们harbor.cfg并运行install.sh脚本以重新安装Harbor，它们将生效。

• hostname：目标主机的主机名，用于访问UI和注册服务。必须为目标计算机的IP地址或完全限定的域名（FQDN），例如192.168.1.10或reg.yourdomain.com。不可使用localhost或127.0.0.1作为主机名。
• ui_url_protocol：(http或https，默认为http）用于访问UI和令牌/通知服务的协议。如果启用了认证，则此参数必须为https。
• db_password：用于db_auth的MySQL数据库的root密码。
• max_job_workers：(默认值为3）作业服务中的最大复制工作数。对于每个映像复制作业，工作程序将存储库的所有标记同步到远程目标。增加此数量可以在系统中实现更多并发复制作业。但是，由于每个工作者都消耗一定量的网络/CPU/IO资源，请根据主机的硬件资源仔细选择该属性的值。
• customize_crt：（开启或关闭，默认为开启），如果此属性开启，在准备脚本创建注册表的令牌生成/验证私钥和根证书。当外部源提供密钥和根证书时，将此属性设置为off。
• ssl_cert：SSL证书的路径，仅在协议设置为https时应用。
• ssl_cert_key：SSL密钥的路径，仅在协议设置为https时应用。
• secretkey_path：用于加密或解密复制策略中远程注册表密码的密钥路径。
• log_rotate_count：日志文件在被删除之前会被轮询log_rotate_count次数。如果count为0，则删除旧版本而不是轮询。
• log_rotate_size：仅当日志文件大于log_rotate_size字节时才会轮换日志文件。如果大小后跟k，则大小以千字节为单位。如果使用M，则大小以兆字节为单位，如果使用G，则大小为千兆字节。

二 可选参数

可选参数：这些参数对于更新是可选的，即用户可以将它们保留为默认值，并在启动Harbour后在Web UI上更新它们。

• Email settings：Harbor需要此参数才能向用户发送“密码重置”电子邮件，并且仅在需要该功能时才需要。另外，请注意，在默认情况下SSL连接时没有启用，如果SMTP服务器需要SSL，但不支持STARTTLS，那么应该通过设置启用SSL email_ssl = TRUE。如果电子邮件服务器使用自签名证书或不受信任证书，则设置email_insecure = true。

• email_server = smtp.mydomain.com
• email_server_port = 25
• email_identity =
• email_username = sample_admin@mydomain.com
• email_password = abc
• email_from = admin sample_admin@mydomain.com
• email_ssl = false
• email_insecure = false

• harbor_admin_password：管理员的初始密码。此密码仅在Harbor首次启动时生效。之后，将忽略此设置，并且应在UI中设置管理员密码。请注意，默认用户名/密码为：admin/Harbor12345。
• auth_mode：使用的身份验证类型。默认情况下，它是db_auth，即凭据存储在数据库中。对于LDAP身份验证，请将其设置为ldap_auth。

重要信息：从现有Harbor实例升级时，必须确保在启动新版本的Harbor之前auth_mode相同harbor.cfg。否则，用户可能无法在升级后登录。

• ldap_url：LDAP端点URL（例如ldaps://ldap.mydomain.com）。仅在auth_mode设置为ldap_auth时使用。
• ldap_searchdn：具有搜索LDAP/AD服务器权限的用户的DN（例如uid=admin,ou=people,dc=mydomain,dc=com）。
• ldap_search_pwd：ldap_searchdn指定的用户密码。
• ldap_basedn：查找用户的基本DN，例如ou=people,dc=mydomain,dc=com。仅在auth_mode设置为ldap_auth时使用。
• ldap_filter：用于查找用户的搜索过滤器，例如(objectClass=person)。
• ldap_uid：用于在LDAP搜索期间匹配用户的属性，它可以是uid，cn，email或其他属性。
• ldap_scope：搜索用户的范围，0-LDAP_SCOPE_BASE，1-LDAP_SCOPE_ONELEVEL，2-LDAP_SCOPE_SUBTREE。默认值为2。
• self_registration :(打开或关闭。默认打开）启用/禁用用户注册他/她自己的能力。禁用时，新用户只能由管理员用户创建，只有管理员用户可以在Harbor中创建新用户。

注意：当auth_mode设置为ldap_auth时，始终禁用自注册功能，并忽略此标志。

• token_expiration：令牌服务创建的令牌的到期时间（以分钟为单位），默认为30分钟。
• project_creation_restriction：用于控制用户有权创建项目的标志。默认情况下，每个人都可以创建一个项目，设置为“adminonly”，这样只有管理员才能创建项目。