harbor

一篇带你了解私有仓库 Harbor 的搭建

一、Harbor简介

• 虽然Docker官方提供了公共的镜像仓库，但是从安全和效率等方面考虑，部署我们私有环境内的Registry也是非常必要的。

• Harbor是由VMware公司开源的企业级的Docker Registry管理项目，相比docker官方拥有更丰富的权限权利和完善的架构设计，适用大规模docker集群部署提供仓库服务。

• 它主要提供 Dcoker Registry 管理界面UI，可基于角色访问控制,镜像复制， AD/LDAP 集成，日志审核等功能，完全的支持中文。
  

二、Harbor 的主要功能

• 基于角色的访问控制

用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。

• 基于镜像的复制策略

镜像可以在多个Registry实例中复制（可以将仓库中的镜像同步到远程的Harbor，类似于MySQL主从同步功能），尤其适合于负载均衡，高可用，混合云和多云的场景。

• 图形化用户界面

用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。

• 支持 AD/LDAP

Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。

• 镜像删除和垃圾回收

Harbor支持在Web删除镜像，回收无用的镜像，释放磁盘空间。image可以被删除并且回收image占用的空间。

• 审计管理

所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

• RESTful API

RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

• 部署简单

提供在线和离线两种安装工具， 也可以安装到vSphere平台(OVA方式)虚拟设备。

Harbor 的所有组件都在 Docker 中部署，所以 Harbor 可使用 Docker Compose 快速部署。
注意： 由于 Harbor 是基于 Docker Registry V2 版本，所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0

三、Harbor 架构组件

架构组件图：

1、Proxy：反向代理工具

2、Registry：负责存储docker镜像，处理上传/下载命令。对用户进行访问控制，它指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token，registry会通过公钥对token进行解密验证。

3、Core service：Harbor的核心功能：

• UI：图形界面
• Webhook：及时获取registry上image状态变化情况，在registry上配置 webhook，把状态变化传递给UI模块。
• Token服务：复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求，如果不包含token，会被重定向到这里，获得token后再重新向registry进行请求。

4、Database：提供数据库服务，存储用户权限，审计日志，docker image分组信息等数据

5、Log collector：为了帮助监控harbor运行，复责收集其他组件的log，供日后进行分析

四、Harbor 部署

4.1、环境准备

两台虚拟机

harbor (harbor服务端，用于搭建私有仓库)

20.0.0.10 docker-ce、docker-compose（必须安装）、Harbo

client（客户端，用于远程访问私有仓库） 20.0.0.30 docker-ce

4.2、安装compose 和 harbor

1 2 3 4 5

-rw-r--r--. 1 root root 533765727 12月  1 18:58 harbor-offline-installer-v1.2.2.tgz 将安装包解压缩 -rw-r--r--. 1 root root  10867152 12月  1 19:02 docker-compose tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/ cd /usr/local/harbor/  #可以查看到install.sh脚本

1 2 3 4 5

1 上传docker-compose到/root目录下 2 3 将docker-compose移动到/usr/local/bin 4 [root@server1 ~]# cp -p docker-compose /usr/local/bin/ 5 [root@server1 ~]# chmod +x /usr/local/bin/docker-compose

　　

1 2 3 4 5

对harbor配置文件进行修改 vi harbor.cfg hostname = 20.0.0.10 #本机ip地址 //启动harbor，install.sh会直接调用docker-compose.yml，进行编排容器服务 sh /usr/local/harbor/install.sh

　　

　　

1 2 3

//到这里，harbor安装已经完成，可以查看Harbor启动的镜像和容器服务 docker images     #查看镜像 docker ps -a      #查看容器

1 2 3 4

也可用docker-compose ps查看容器状态，但是需要在/usr/local/harbor目录下执行 [root@harbor harbor]# pwd /usr/local/harbor [root@harbor harbor]# docker-compose ps     #可以看到安装了7个容器

4.3、harbor 图形化管理

在harbor.cfg文件里可以找到登录UI界面的默认用户、密码。

打开浏览器输入harbor的IP地址登录UI界面。用账户密码进行登录

　　

　　

添加用户

4.4、推送镜像

此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下，Register 服务器在端口 80 上侦听。

1 2 3 4 5 6 7

[root@node1 harbor]# docker login -u admin -p Harbor12345 http://127.0.0.1 WARNING! Using --password via the CLI is insecure. Use --password-stdin. WARNING! Your password will be stored unencrypted in /root/.docker/config.json. Configure a credential helper to remove this warning. See https://docs.docker.com/engine/reference/commandline/login/#credentials-store   Login Succeeded

1 2 3 4 5 6 7 8 9 10 11

[root@node1 harbor]# docker pull httpd #下载镜像 给镜像打标签 [root@node1 harbor]# docker tag httpd:latest 127.0.0.1/stf/httpd:v1 [root@node1 harbor]# docker push 127.0.0.1/test/httpd:v1 The push refers to repository [127.0.0.1/test/httpd] c74375f55aa8: Pushed 211b9be55a20: Pushed aa0b3e4b6d3b: Pushed 540171a10c83: Pushed f5600c6330da: Pushed v1: digest: sha256:4c7c70926e2f2e10a9f78b63f344c83ae97a22c7fefa96afed46c63e4e607c51 size: 1366

进入网页中查看镜像是否上传成功

　

4.5、尝试其他服务器登录Harbor仓库

　上面都是本地操作，尝试在其他客户端尝试登录，会出现如下报错

1 2	[root@server3 ~]# docker login -u admin -p Harbor12345 http://20.0.0.10WARNING! Using --password via the CLI is insecure. Use --password-stdin. Error response from daemon: Get https://20.0.0.10/v2/: dial tcp 20.0.0.10:443: connect: connection refused

解决方法

1 2 3 4 5

[root@server3 ~]# vi /usr/lib/systemd/system/docker.service ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 20.0.0.10 --containerd=/run/containerd/containerd.sock    #添加服务器的ip   [root@server3 ~]# systemctl daemon-reload [root@server3 ~]# systemctl restart docker

重新登录，登录成功

1 2 3 4 5 6

[root@server3 ~]# docker login -u admin -p Harbor12345 http://20.0.0.10WARNING! Using --password via the CLI is insecure. Use --password-stdin. WARNING! Your password will be stored unencrypted in /root/.docker/config.json. Configure a credential helper to remove this warning. See https://docs.docker.com/engine/reference/commandline/login/#credentials-store   Login Succeeded

下载镜像

1 2 3 4

[root@server3 ~]# docker pull tomcat 对镜像进行打标签 [root@server3 ~]# docker tag tomcat:latest 20.0.0.10/test/tomcat:v1 [root@server3 ~]# docker push 20.0.0.10/test/tomcat:v1 #上传镜像

登录网页进行查看，镜像是否上传成功

4.6、harbor的关闭与开启

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45

关闭（修改配置文件必须先关闭服务） [root@node1 harbor]# docker-compose down -v Stopping harbor-jobservice  ... done Stopping nginx              ... done Stopping harbor-ui          ... done Stopping harbor-adminserver ... done Stopping harbor-db          ... done Stopping registry           ... done Stopping harbor-log         ... done Removing harbor-jobservice  ... done Removing nginx              ... done Removing harbor-ui          ... done Removing harbor-adminserver ... done Removing harbor-db          ... done Removing registry           ... done Removing harbor-log         ... done Removing network harbor_harbor     查看容器的状态 [root@node1 harbor]# docker ps -a CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES     再次开始harbor [root@node1 harbor]# docker-compose up -d Creating network "harbor_harbor" with the default driver Creating harbor-log ... done Creating harbor-adminserver ... done Creating registry           ... done Creating harbor-db          ... done Creating harbor-ui          ... done Creating nginx              ... done Creating harbor-jobservice  ... done [root@node1 harbor]# 重新查看容器的状态 [root@node1 harbor]# docker ps -a CONTAINER ID        IMAGE                              COMMAND                  CREATED             STATUS              PORTS                                                              NAMES 0e89e37ae455        vmware/harbor-jobservice:v1.2.2    "/harbor/harbor_jobs…"   37 seconds ago      Up 35 seconds                                                                          harbor-jobservice 1ceaa3c7bdac        vmware/nginx-photon:1.11.13        "nginx -g 'daemon of…"   37 seconds ago      Up 35 seconds       0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp   nginx 6f70d6b9379b        vmware/harbor-ui:v1.2.2            "/harbor/harbor_ui"      37 seconds ago      Up 36 seconds                                                                          harbor-ui 348dc4a931e8        vmware/harbor-db:v1.2.2            "docker-entrypoint.s…"   38 seconds ago      Up 36 seconds       3306/tcp                                                           harbor-db 519de971e723        vmware/registry:2.6.2-photon       "/entrypoint.sh serv…"   38 seconds ago      Up 36 seconds       5000/tcp                                                           registry 47b28cc9a461        vmware/harbor-adminserver:v1.2.2   "/harbor/harbor_admi…"   38 seconds ago      Up 36 seconds                                                                          harbor-adminserver 65c16de60a34        vmware/harbor-log:v1.2.2           "/bin/sh -c 'crond &…"   38 seconds ago      Up 37 seconds       127.0.0.1:1514->514/tcp                                            harbor-log

五、创建harbor用户

设为管理员

在项目中添加成员

5.1、用stf用户登录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

先退出登录 [root@node1 harbor]# docker logout 20.0.0.10 Removing login credentials for 20.0.0.10 用stf用户进行登录 [root@node1 harbor]# docker login -u stf -p AAASSSddd123 20.0.0.10 WARNING! Using --password via the CLI is insecure. Use --password-stdin. WARNING! Your password will be stored unencrypted in /root/.docker/config.json. Configure a credential helper to remove this warning. See https://docs.docker.com/engine/reference/commandline/login/#credentials-store   Login Succeeded     从私有仓库中下载镜像文件 [root@node1 harbor]# docker pull 20.0.0.10/test/tomcat:v1 v1: Pulling from test/tomcat 756975cb9c7e: Pull complete d77915b4e630: Pull complete 5f37a0a41b6b: Pull complete 96b2c1e36db5: Pull complete 27a2d52b526e: Pull complete a867dba77389: Pull complete 0939c055fb79: Pull complete 0b0694ce0ae2: Pull complete 81a5f8099e05: Pull complete c3d7917d545e: Pull complete Digest: sha256:4527a552568f7d706173d8065278cd1abaa7edce186a149a5a2de251e12e6c3c Status: Downloaded newer image for 20.0.0.10/test/tomcat:v1 20.0.0.10/test/tomcat:v1 拉取成功

　

　

5.2、移除Harbor 服务器同时保留镜像数据和数据库

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

[root@node1 harbor]# docker-compose down -v Stopping harbor-jobservice  ... done Stopping nginx              ... done Stopping harbor-ui          ... done Stopping harbor-db          ... done Stopping registry           ... done Stopping harbor-adminserver ... done Stopping harbor-log         ... done Removing harbor-jobservice  ... done Removing nginx              ... done Removing harbor-ui          ... done Removing harbor-db          ... done Removing registry           ... done Removing harbor-adminserver ... done Removing harbor-log         ... done Removing network harbor_harbor 如需重新部署，需要移除 Harbor 服务容器全部数据，持久数据，如镜像，数据库等在宿主机的/data/目录下,日志在宿主机的 1 /var/log/Harbor/目录下。 2 rm -rf /data/database/ 3 rm -rf /data/registry/