docker（四）搭建harbor企业级仓库

一、harbor简介

        虽然Docker官方也提供了公共的镜像仓库，但是从安全和效率等方面考虑，部署我们私有环境的Registry也是非常必要的。 所以Harbor孕育而生，Harbor是由VMware公司开源的企业级的Docker Registry管理项目，它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。

二、harbor的主要功能

• 基于角色的访问控制

用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。

• 基于镜像的复制策略

镜像可以在多个Registry实例中复制（可以将仓库中的镜像同步到远程的Harbor，类似于MySQL主从同步功能），尤其适合于负载均衡，高可用，混合云和多云的场景。

• 图形化用户界面

用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。

• 支持 AD/LDAP

Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。

• 镜像删除和垃圾回收

Harbor支持在Web删除镜像，回收无用的镜像，释放磁盘空间。image可以被删除并且回收image占用的空间。

• 审计管理

所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

• RESTful API

RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

• 部署简单

提供在线和离线两种安装工具， 也可以安装到vSphere平台(OVA方式)虚拟设备。

Harbor 的所有组件都在 Docker 中部署，所以 Harbor 可使用 Docker Compose 快速部署。
注意： 由于 Harbor 是基于 Docker Registry V2 版本，所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0

三、Harbor 架构组件

1、Proxy：反向代理工具，他是一个nginx前端代理，主要是分发前端页面ui访问和镜像上传和下载流量

2、Registry：负责存储docker镜像，处理上传/下载命令。对用户进行访问控制，它指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token，registry会通过公钥对token进行解密验证。

3、Core service：Harbor的核心功能：

• UI：图形界面
• Webhook：及时获取registry上image状态变化情况，在registry上配置 webhook，把状态变化传递给UI模块。
• Token服务：复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求，如果不包含token，会被重定向到这里，获得token后再重新向registry进行请求。

4、Database：提供数据库服务，存储用户权限，审计日志，docker image分组信息等数据

5、Log collector：为了帮助监控harbor运行，复责收集其他组件的log，供日后进行分析

四、搭建harbor仓库 

4.1 harbor下载及安装

harbor仓库： 可以从github上进行下载：https://github.com/goharbor/harbor/releases

​

离线包里有很多组件，拼凑成了一个平台。下载并解压：

​

拷贝一下模板：
​

由模板可知整个harbor的数据都会持久化到宿主机 /data ：

​

​

此处的证书和key 是之前创建好的：

​  

4.2 docker-compose下载及安装

接下来我们将使用docker三剑客之一的docker-compose，可以同时控制多个容器，可以同时对外进行发布。

下载地址：https://github.com/docker/compose/releases/

下载的是一个二进制的可执行文件，直接扔进系统执行目录里：

​ 记得在启动harbor之前要把之前的registry仓库删掉，以防端口冲突：
​

运行成功：

​

接下来我们就可以用docker-compose管理仓库了（注：必须在harbor目录中使用此条命令）

​现在我们在web上访问172.25.254.1 harbor仓库：​

​ 

4.3 server2拉取公共仓库镜像

我们再开一台虚拟机做测试用：

因为我们要在server2上安装docker，所以我们将server1上的docker的yum源传给server2：

​

安装docker-ce：

​ 安装完成后，将server1上更改的系统配置文件传给server2：

​

使配置生效：

​

​

 给server2添加解析：

​

接下来我们给harbor仓库上传几个镜像测试：

​

上传成功：

​ 在server2端拉取时，它提示证书有问题：​我们只需将server1上的证书copy到server2上：

​

拉取成功：

​​

 4.4 客户端设置默认仓库

让拉取更便捷，即直接 docker pull nginx :

我们现在的默认仓库还是官方的：

​

只需更改默认仓库即可：
 ​

可以看到默认仓库已经更改：

​

删除nginx再拉取之后，查看web端日志，可以和看到拉取记录：
 ​

五、docker-compose 的管理

5.1 添加功能

首先先将docker-compose停掉：
​

 down 移除:

​

 移除后需要再 install.sh 一下，这次我们安装时再加点功能：

​

​

我们再进入web端查看，发现我们之前上传的镜像还在，这是因为harbor在启动时仍然挂接的是/data 中的数据，因为我们刚刚上传的数据他都会持久化到我们的宿主机中/data ，所以容器创建删除无所谓，它已经和数据分离开了：

​

查看harbor创建的网络，都是桥接类型：
 ​

5.2 扫描功能

 我们可以对我们上传的镜像进行扫描，查看是否有病毒（时间较长，因为要联网更新病毒库）：

​

5.3 签名功能

此时还未签名：

​

 在配置管理中，如果把内容信任打开，那么它不允许匿名用户上传，仅允许签名用户上传，当我们往项目中添加镜像的时候，可以进行自动扫描。​

此时，我们启用library中的内容信任并保存：
 ​

然后我们再从server2上拉取镜像，因为没有做签名所以无法拉取：

​

部署根证书：

4443 是内容信任服务器的地址：

​

启用docker内容信任：

​

一旦我们不需要做做签名了，就将第一个参数设为0，因为会影响我们docker命令的使用。

上传镜像：（注：做了签名之后再上传镜像就必须要加后缀tag信息）

​

再上传镜像时，我们需要设置根key和仓库的key，当我们上传的镜像还是nginx时，就不需要重新设置根key，但是当nginx的tag改变时，我们要重新设置仓库的key。此时，我们上传的镜像就签名成功了。

​ 此时我们在server2上拉取刚刚上传的签名成功的镜像，可以正常拉取：

​

5.4 新建用户、私有仓库

我们也可以新建用户，不同的用户给不同的管理权，也可以新建项目。

新建私有仓库(不选公开)：

​

 去掉签名功能不影响docker操作：

​

我们先给私有仓库内上传镜像：

​

​我们在拉取时需要这么拉取：

首先创建用户：

​ ​

 给westos仓库添加cjz为维护人员：

​

​ 此时我们退出使用cjz登陆：​

登陆进来就只能管理westos仓库。 

在server2端用cjz登陆docker，才能拉取成功：

​