Harbor

---

一、Docker Harbor 概述

1. Harbor 简介

• Harbor 是 VMware 公司开源的企业级 Docker Registry 项目，其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务。
• Harbor以 Docker 公司开源的 Registry 为基础，提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能，同时还原生支持中文。
• Harbor 的每个组件都是以 Docker 容器的形式构建的，使用 docker-compose 来对它进行部署。用于部署 Harbor 的 docker-compose 模板位于 harbor/docker-compose.yml。

2. Harbor 的特性

• 基于角色控制：用户和仓库都是基于项目进行组织的，而用户在项目中可以拥有不同的权限
• 基于镜像的复制策略：镜像可以在多个 Harbor 实例之间进行复制（同步）
• 支持 LDAP/AD：Harbor 可以集成企业内部已有的 AD/LDAP（类似数据库的一张表），用于对已经存在的用户认证和管理
• 镜像删除和垃圾回收：镜像可以被删除，也可以回收镜像占用的空间
• 图形化用户界面：用户可以通过浏览器来浏览，搜索镜像仓库以及对项目进行管理
• 审计管理：所有针对镜像仓库的操作都可以被记录追溯，用于审计管理
• 支持 RESTful API：RESTful API 提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易
• Harbor和docker registry的关系：Harbor实质上是对docker registry做了封装，扩展了自己的业务模板

3. Harbor 的构成

Harbor 在架构上主要有 Proxy、Registry、Core services、Database（Harbor-db）、Logcollector（Harbor-log）、Job services 六个组件

• ① Proxy
  通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务

• ② Registry(核心组件)
  负责储存Docker镜像，并处理docker push/pull命令

• ③ Core services
  Harbor 的核心功能， 包括 UI、webhook、 token 服务

• ④ Database
  为core services提供数据库服务，负责储存用户权限、审计日志、Docker 镜像分组信息等数据

• ⑤ Log collector
  负责收集其他组件的log，供日后进行分析

• ⑥ Job services
  主要用于镜像复制，本地镜像可以被同步到远程 Harbor 实例上

Harbor 的每个组件都是以 Docker 容器的形式构建的，因此，使用 Docker Compose 来对它进行部署。

4. Harbor.cfg 两类参数

• 所需参数

如果用户更新它们并运行 install.sh脚本重新安装 Harbor，参数将生效。具体参数如下：

hostname：
用于访问用户界面和 register 服务。它应该是目标机器的 IP 地址或完全限 定的域名（FQDN）
例如 192.168.8.20 或 hub.ll.cn。不要使用 localhost 或 127.0.0.1 为主机名。

ui_url_protocol：
（http 或 https，默认为 http）用于访问 UI 和令牌/通知服务的协议。如果公证处于启用状态，则此参数必须为 https。（身份验证时会向Mysql数据库进行比对，然后授予令牌）

max_job_workers：
镜像复制作业线程

db_password：
用于db_auth 的MySQL数据库root 用户的密码

customize_crt：
该属性可设置为打开或关闭，默认打开。打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌。当由外部来源提供密钥和根证书时，将此属性设置为 off。

ssl_cert：
SSL 证书的路径，仅当协议设置为 https 时才应用。

ssl_cert_key：
SSL 密钥的路径，仅当协议设置为 https 时才应用。

secretkey_path：
用于在复制策略中加密或解密远程