Docker Harbor构建Docker私有仓库建立

Harbor概述：

Harbor简介：

●Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，通过添加一些企业必需的功能特性，例如安全、标识和管理等，扩展了开源Docker Distribution。作为一个企业级私有Registry服务器，Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制，镜像全部保存在私有Registry中， 确保数据和知识产权在公司内部网络中管控。另外，Harbor也提供了高级的安全特性，诸如用户管理，访问控制和活动审计等。

Harbor特性

• 基于角色的访问控制 ：用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。

• 镜像复制 ： 镜像可以在多个Registry实例中复制（同步）。尤其适合于负载均衡，高可用，混合云和多云的场景。

• 图形化用户界面 ： 用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。

• AD/LDAP 支持 ： Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。

• 审计管理 ： 所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

• 国际化 ： 已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。

• RESTful API ： RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

• 部署简单 ： 提供在线和离线两种安装工具， 也可以安装到vSphere平台(OVA方式)虚拟设备。

• Harbor组件，Harbor在架构上主要由6个组件构成：

• Proxy：Harbor的registry, UI, token等服务，通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务。

• Registry： 负责储存Docker镜像，并处理docker push/pull 命令。由于我们要对用户进行访问控制，即不同用户对Docker image有不同的读写权限，Registry会指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token 进行解密验证。

• Core services： 这是Harbor的核心功能，主要提供以下服务：

• UI：提供图形化界面，帮助用户管理registry上的镜像（image）, 并对用户进行授权。

• webhook：为了及时获取registry 上image状态变化的情况， 在Registry上配置webhook，把状态变化传递给UI模块。

• token 服务：负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发起的请求,如果不包含token，会被重定向到这里，获得token后再重新向Registry进行请求。

• Database：为core services提供数据库服务，负责储存用户权限、审计日志、Docker image分组信息等数据。

• Job Services：提供镜像远程复制功能，可以把本地镜像同步到其他Harbor实例中。

• Log collector：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析。

●各个组件之间的关系如下图所示

关于 Harbor.cfg 配置文件

关于 Harbor.cfg 配置文件中有两类参数：所需参数和可选参数

所需参数

这些参数需要在配置文件 Harbor.cfg 中设置。如果用户更新它们并运行 install.sh脚本重新安装 Harbour，参数将生效。具体参数如下：

• hostname：用于访问用户界面和 register 服务。它应该是目标机器的 IP 地址或完全限 定的域名（FQDN）
  例如 192.168.195.128 或 hub.kgc.cn。不要使用 localhost 或 127.0.0.1 为主机名。

• ui_url_protocol：（http 或 https，默认为 http）用于访问 UI 和令牌/通知服务的协议。如果公证处于启用状态，则此参数必须为 https。

• max_job_workers：镜像复制作业线程。

• db_password：用于db_auth 的MySQL数据库root 用户的密码。

• customize_crt：该属性可设置为打开或关闭，默认打开。打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌。
  当由外部来源提供密钥和根证书时，将此属性设置为 off。

• ssl_cert：SSL 证书的路径，仅当协议设置为 https 时才应用。

• ssl_cert_key：SSL 密钥的路径，仅当协议设置为 https 时才应用。

• secretkey_path：用于在复制策略中加密或解密远程 register 密码的密钥路径。

可选参数

●这些参数对于更新是可选的，即用户可以将其保留为默认值，并在启动 Harbor 后在 Web UI 上进行更新。

●如果进入 Harbor.cfg，只会在第一次启动 Harbor 时生效，随后对这些参数 的更新，Harbor.cfg 将被忽略。

●注意：如果选择通过UI设置这些参数，请确保在启动Harbour后立即执行此操作。具体来说，必须在注册或在 Harbor 中创建任何新用户之前设置所需的
auth_mode。当系统中有用户时（除了默认的 admin 用户），auth_mode 不能被修改。具体参数如下：

• Email：Harbor需要该参数才能向用户发送“密码重置”电子邮件，并且只有在需要该功能时才需要。
  请注意，在默认情况下SSL连接时没有启用。如果SMTP服务器需要SSL，但不支持STARTTLS，那么应该通过设置启用SSL email_ssl = TRUE。

• harbour_admin_password：管理员的初始密码，只在Harbour第一次启动时生效。之后，此设置将被忽略，并且应 UI中设置管理员的密码。
  请注意，默认的用户名/密码是 admin/Harbor12345。

• auth_mode：使用的认证类型，默认情况下，它是 db_auth，即凭据存储在数据库中。对于LDAP身份验证，请将其设置为 ldap_auth。

• self_registration：启用/禁用用户注册功能。禁用时，新用户只能由 Admin 用户创建，只有管理员用户可以在 Harbour中创建新用户。
  注意：当 auth_mode 设置为 ldap_auth 时，自注册功能将始终处于禁用状态，并且该标志被忽略。

• Token_expiration：由令牌服务创建的令牌的到期时间（分钟），默认为 30 分钟。

• project_creation_restriction：用于控制哪些用户有权创建项目的标志。默认情况下， 每个人都可以创建一个项目。
  如果将其值设置为“adminonly”，那么只有 admin 可以创建项目。

• verify_remote_cert：打开或关闭，默认打开。此标志决定了当Harbor与远程 register 实例通信时是否验证 SSL/TLS 证书。
  将此属性设置为 off 将绕过 SSL/TLS 验证，这在远程实例具有自签名或不可信证书时经常使用。

• 另外，默认情况下，Harbour 将镜像存储在本地文件系统上。在生产环境中，可以考虑 使用其他存储后端而不是本地文件系统，如 S3、Openstack Swif、Ceph 等。但需要更新 common/templates/registry/config.yml 文件。

Harbor私有仓库建立实验

实验环境

推荐步骤

1.服务端配置

[root@localhost ~]# setenforce 0
[root@localhost ~]# iptables -F
[root@localhost ~]# systemctl start docker

将compose工具放到opt目录下，因为后面harbor需要用到

[root@localhost opt]# chmod +x docker-compose 
[root@localhost opt]# mv docker-compose /usr/local/bin/

将harbor工具包放到/opt目录下

[root@localhost opt]# tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/    ##解压工具
[root@localhost opt]# cd /usr/local/harbor/

2.配置harbor的配置文件

[root@localhost harbor]# vim harbor.cfg
4 #DO NOT use localhost or 127.0.0.1, because Harbor needs     to be accessed by external clients.
5 hostname = 192.168.148.139    ##IP地址修改为本机地址
.....
58 #Change the admin password from UI after launching Harbor    .
59 harbor_admin_password = Harbor12345    ##默认登录的用户为admin和密码Harbor12345
[root@localhost harbor]# sh install.sh   ##启动安装脚本

打开浏览器就可以访问页面，输入用户名和密码就可以登录了

还可以添加项目

这时在本地可以登录Harbor

[root@localhost harbor]# docker login  -u admin -p Harbor12345 http://127.0.0.1

测试下载镜像

[root@localhost harbor]# docker pull nginx
[root@localhost harbor]# docker tag nginx:latest 127.0.0.1/test/nginx:v1     ##修改nginx镜像的标签

[root@localhost harbor]# docker push 127.0.0.1/test/nginx    ##上传nginx镜像

回到浏览器刷新一下可以发现上传的成功的镜像

如果其他客户端上传镜像到 Harbor，这时打开另一个客户端

[root@localhost ~]# setenforce 0
[root@localhost ~]# iptables -F
[root@localhost ~]# systemctl start docker
[root@localhost ~]# vim /usr/lib/systemd/system/docker.service    ##修改启动脚本
......
 13 # for containers run by docker
 14 ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.148.139 --containerd=/run/containerd/containerd.sock    ##添加本地的IP地址登录
 15 ExecReload=/bin/kill -s HUP $MAINPID
[root@localhost ~]# systemctl daemon-reload    ##重新加载
[root@localhost ~]# systemctl restart docker   ##重启服务
[root@localhost ~]# docker login  -u admin -p Harbor12345 http://192.168.148.139   ##远程登录

测试私钥仓库是否允许所有节点都可以上传镜像

[root@localhost ~]# docker pull centos:7    ##这时下载一个centos:7镜像做测试
[root@localhost ~]# docker tag centos:7 192.168.148.139/test/centos7:v1    ##修改镜像标签，改为私有仓库地址/项目名称/奖项：版本号

[root@localhost ~]# docker push 192.168.148.139/test/centos7   ##上传镜像

打开浏览器刷新一下

这时服务端192.168.148.139想直接下载centos7的镜像

[root@localhost harbor]# docker pull 127.0.0.1/test/centos7:v1    ##下载centos7的镜像

还可以在网站上创建用户

[root@localhost ~]# docker login 192.168.148.139   ##还可以用刚刚创建的zhangsan用户身份去登录

移除 Harbor 服务容器同时保留镜像数据/数据库
在Harbor服务器上操作

[root@localhost harbor]# docker-compose down -v    ##会将容器全部关闭

重新启动

[root@localhost harbor]# docker-compose up -d    ##再次重启