Docker Harbor——拥有独特UI界面的私有仓库

简介

• Habor是由VMWare公司开源的容器镜像仓库。事实上，Habor是在Docker Registry上进行了相应的企业级扩展，从而获得了更加广泛的应用
• Harbor被部署为多个Docker容器，因此可以部署在任何支持Docker的Linux发行版本上，registry为其核心组件。
• Harbor比registry相比好处是：Harbor支持多种功能、图形化界面管理、多用户权限、角色管理机制、安全机制。
• 服务端主机需要安装Python、Docker和Docker Compose，web环境支持的是PY语言，所以需要安装Python

Harbor架构即组件介绍

架构介绍
Harbor 主要有6大模块，默认每个Harbor的组件都被封装成一个docker container，所以可以通过compose来部署Harbor，总共分为8个容器运行，可通过docker-compose ps 查看

如上图所示：
所有的请求都经过proxy代理，proxy代理转发给Core services和Registry，其中Core services包括UI界面、token令牌和webhook网页服务功能，Registry主要提供镜像存储功能。如果要进行下载上传镜像，要经过token令牌验证然后从Registry获取或上传镜像，每一次下载或上传都会生成日志记录，会记入Log collector，而用户身份权限及一些镜像语言信息会被存储在Database中。
组件介绍

• Proxy：通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务
• Registry：负责存储Docker镜像，并处理docker push/pull命令
• Core services：Harbor的核心功能，包括UI、webhook、token服务
• Database：为core services提供数据库服务
• Log collector：·负责收集其他组件的log，供日后进行分析

Harbor配置文件以及相关参数

Harbor的配置文件是：/usr/local/harbor/harbor.cfg
在此配置文件中有两类参数：所需参数和可选参数
必须参数
1、hostname

• 用于访问用户界面和 register 服务。
• 它应该是目标机器的 IP 地址或完全限定的域名（FQDN）
• 例如 192.168.163.100 或test.com。
• 不要使用 localhost 或 127.0.0.1 为主机名。

2、ui_url_protocol（参数选项：http 或 https，默认为 http）

• 用于访问 UI 和令牌/通知服务的协议。
• 如果公证处于启用状态，则此参数必须为 https。

3、max_job_workers

• 镜像复制作业线程。

4、db_password

• 用于db_auth 的MySQL数据库root 用户的密码。

5、customize_crt

• 该属性可设置为打开或关闭，默认打开。
• 打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌。
• 当由外部来源提供密钥和根证书时，将此属性设置为 off。

6、ssl_cert

• SSL 证书的路径，仅当协议设置为 https 时才应用。

7、ssl_cert_key

• SSL 密钥的路径，仅当协议设置为 https 时才应用。

8、secretkey_path

• 用于在复制策略中加密或解密远程 register 密码的密钥路径。
• 不建议配置，有很大的安全隐患

可选参数
这些参数对于更新是可选的，即用户可以将其保留为默认值，并在启动 Harbor 后在 Web UI 上进行更新。
如果进入 Harbor.cfg，只会在第一次启动 Harbor 时生效，随后对这些参数 的更新，Harbor.cfg 将被忽略。
注意：如果选择通过UI设置这些参数，请确保在启动Harbour后立即执行此操作。具体来说，必须在注册或在 Harbor 中创建任何新用户之前设置所需的

1、auth_mode

• 当系统中有用户时（除了默认的 admin 用户），auth_mode 不能被修改。

2、Email

• Harbor需要该参数才能向用户发送“密码重置”电子邮件，并且只有在需要该功能时才需要。
• 在默认情况下SSL连接时没有启用。如果SMTP服务器需要SSL，但不支持STARTTLS，那么应该通过设置启用SSL email_ssl = TRUE。

3、harbour_admin_password

• 管理员的初始密码，只在Harbour第一次启动时生效。
• 之后，此设置将被忽略，并且应 UI中设置管理员的密码。
• 默认的用户名/密码是 admin/Harbor12345。

4、auth_mode

• 使用的认证类型
• 默认情况下，它是 db_auth，即凭据存储在数据库中。
• 对于LDAP身份验证，请将其设置为 ldap_auth。

5、self_registration

• 启用/禁用用户注册功能。
• 禁用时，新用户只能由 Admin 用户创建，只有管理员用户可以在 Harbour中创建新用户。
• 注意：当 auth_mode 设置为 ldap_auth 时，自注册功能将始终处于禁用状态，并且该标志被忽略。

6、Token_expiration

• 由令牌服务创建的令牌的到期时间（分钟），默认为 30 分钟。
• 即登录–退出后，30分钟内可以不输入用户名和密码登录，30分钟后需要再次验证。

7、project_creation_restriction

• 用于控制哪些用户有权创建项目的标志，表示哪些用户可以创建项目。
• 默认情况下， 每个人都可以创建一个项目。
• 如果将其值设置为“adminonly”，那么只有 admin 可以创建项目。

8、verify_remote_cert

• 打开或关闭，默认打开。
• 此标志决定了当Harbor与远程 register 实例通信时是否验证 SSL/TLS 证书。
• 将此属性设置为 off 将绕过 SSL/TLS 验证，这在远程实例具有自签名或不可信证书时经常使用。
• 在默认情况下，Harbour将镜像存储在本地文件系统上，在生产环境中，可以考虑使用其他存储后端而不是本地文件系统
• 例如：S3、Openstack、Swif、Ceph等。但需要更新 co