文章目录
一、harbor简介
虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境的Registry也是非常必要的。 所以Harbor孕育而生,Harbor是由VMware公司开源的企业级的Docker Registry管理项目,它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。
二、harbor的主要功能
- 基于角色的访问控制
用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。- 基于镜像的复制策略
镜像可以在多个Registry实例中复制(可以将仓库中的镜像同步到远程的Harbor,类似于MySQL主从同步功能),尤其适合于负载均衡,高可用,混合云和多云的场景。- 图形化用户界面
用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。
支持 AD/LDAP
Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。- 镜像删除和垃圾回收
Harbor支持在Web删除镜像,回收无用的镜像,释放磁盘空间。image可以被删除并且回收image占用的空间。- 审计管理
所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。- RESTful API
RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。- 部署简单
提供在线和离线两种安装工具, 也可以安装到vSphere平台(OVA方式)虚拟设备。
Harbor 的所有组件都在 Docker 中部署,所以 Harbor 可使用 Docker Compose 快速部署。
注意: 由于 Harbor 是基于 Docker Registry V2 版本,所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0
三、Harbor 架构组件
1、Proxy:反向代理工具,他是一个nginx前端代理,主要是分发前端页面ui访问和镜像上传和下载流量
2、Registry:负责存储docker镜像,处理上传/下载命令。对用户进行访问控制,它指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token,registry会通过公钥对token进行解密验证。
3、Core service:Harbor的核心功能:
- UI:图形界面
- Webhook:及时获取registry上image状态变化情况,在registry上配置 webhook,把状态变化传递给UI模块。
- Token服务:复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向registry进行请求。
4、Database:提供数据库服务,存储用户权限,审计日志,docker image分组信息等数据
5、Log collector:为了帮助监控harbor运行,复责收集其他组件的log,供日后进行分析
四、搭建harbor仓库
1.harbor下载及安装
harbor仓库: 可以从github上进行下载:https://github.com/goharbor/harbor/releases
(本实验前:删除之前部署的registry私有仓库,不然会冲突)[root@server7 ~]# docker rm -f registry
离线包里有很多组件,拼凑成了一个平台。下载并解压:
[root@server7 ~]# tar zxf harbor-offline-installer-v2.5.0.tgz
[root@server7 ~]# cd harbor/
拷贝一下模板:
[root@server7 harbor]# cp harbor.yml.tmpl harbor.yml
由模板可知整个harbor的数据都会持久化到宿主机 /data
root@server7 harbor]# vim harbor.yml
此处的证书和key 是上一节创建好的,拷贝即可
[root@server7 ~ ]# mkdir /data
[root@server7 ~ ]# cp -r certs /data
2.docker-compose下载及部署
接下来我们将使用docker三剑客之一的docker-compose,可以同时控制多个容器,可以同时对外进行发布。
下载地址:https://github.com/docker/compose/releases/
下载的是一个二进制的可执行文件,直接扔进系统执行目录里:
[root@server7 ~]# mv docker-compose-linux-x86_64-v2.5.0 /usr/local/bin/docker-compose
[root@server7 ~]# chmod +x /usr/local/bin/docker-compose
记得在启动harbor之前要把之前的registry仓库删掉,以防端口冲突:
部署harbor
[root@server1 harbor]# ./install.sh
运行成功:
接下来我们就可以用docker-compose管理仓库了(注:必须在harbor目录中使用此条命令)
使用浏览器登录仓库 用户名:admin 密码是上面配置文件设置的westos
https://192.168.117.17
3.测试:主机拉取/推送仓库镜像
server7
上传镜像,首先需要执行docker login reg.westos.org
[root@server7 ~]# docker tag busybox:latest reg.westos.org/library/busybox:latest
[root@server7 ~]# docker tag nginx:latest reg.westos.org/library/nginx:latest
[root@server7 ~]# docker push reg.westos.org/library/nginx:latest
[root@server7 ~]# docker push reg.westos.org/library/busybox:latest
已上传成功
其次,我们再开一台虚拟机做测试用:
因为我们要在server8上安装docker,所以我们将server7上的docker的yum源传给server8,将证书、解析等配置文件进行修改
配置默认仓库 ##不配置仓库默认从官网下载
[root@server8 ~]# vim /etc/docker/daemon.json
{
"registry-mirrors": ["https://reg.westos.org"]
}
[root@server8 ~]# systemctl restart docker
library项目中的镜像下载时可以直接写镜像名称
[root@server2 ~]# docker pull nginx
配置默认仓库后
拉取成功,并看到拉去记录
4.创建私有仓库、新建用户、授权维护私有仓库
创建私有仓库
新建用户
授权维护私有仓库
私有仓库上传下载都需要认证,并且还要指定仓库域名
[root@server1 ~]# docker tag ubuntu:latest reg.westos.org/westos/ubuntu:latest
[root@server1 ~]# docker push reg.westos.org/westos/ubuntu:latest
[root@server2 ~]# docker login reg.westos.org
Username: gong
Password: ***
[root@server2 ~]# docker pull reg.westos.org/westos/ubuntu
删除harbor仓库
[root@server1 harbor]# docker-compose down
5.其他功能:添加功能、扫描功能、签名功能
1.添加功能
首先先将docker-compose停掉、 down 移除:
移除后需要再 install.sh 一下,这次我们安装时再加点功能:
我们再进入web端查看,发现我们之前上传的镜像还在,这是因为harbor在启动时仍然挂接的是/data 中的数据,因为我们刚刚上传的数据他都会持久化到我们的宿主机中/data ,所以容器创建删除无所谓,它已经和数据分离开了:但是多了一个项
查看harbor创建的网络,都是桥接类型:
2.扫描功能
我们可以对我们上传的镜像进行扫描,查看是否有病毒(时间较长,因为要联网更新病毒库):
3.签名功能
此时还未签名:
在配置管理中,如果把内容信任打开,那么它不允许匿名用户上传,仅允许签名用户上传,当我们往项目中添加镜像的时候,可以进行自动扫描。
此时,我们启用library中的内容信任并保存:
然后我们再从server2上拉取镜像,因为没有做签名所以无法拉取:
部署根证书:
4443 是内容信任服务器的地址:
启用docker内容信任
一旦我们不需要做做签名了,就将第一个参数设为0,因为会影响我们docker命令的使用。
上传镜像:(注:做了签名之后再上传镜像就必须要加后缀tag信息)
再上传镜像时,我们需要设置根key和仓库的key,当我们上传的镜像还是nginx时,就不需要重新设置根key,但是当nginx的tag改变时,我们要重新设置仓库的key。此时,我们上传的镜像就签名成功了。
此时我们在server2上拉取刚刚上传的签名成功的镜像,可以正常拉取: