前言
- Habor是由VMWare公司开源的容器镜像仓库。事实上,Habor是在Docker Registry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制 ,AD/LDAP集成以及审计日志等,足以满足基本企业需求。
- 官方地址:https://vmware.github.io/harbor/cn/
一、Harbor简介
harbor是vmware开源的企业级registry,可以让你迅速的搭建自己的私有registry,harbor扩展的docker的registry,使harbor支持以下特性
- ① RBAC 基于角色的权限控制( 是实施面向企业安全策略的一种有效的访问控制方式 )
- ② 基于策略的镜像复制
- ③ 漏扫
- ④ LADP/AD支持
- ⑤ 镜像删除和垃圾清理
- ⑥ Notary镜像签名
- ⑦ 用户界面
- ⑧ 审计
- ⑨ RESful api
- ⑩ 安装简单(基于compose)
二、Harbor 架构即组件介绍
2.1 Harbor架构介绍
- Harbor 主要有6大模块,默认每个Harbor的组件都被封装成一个docker
container,所以可以通过compose来部署Harbor,总共分为8个容器运行,可通过docker cpmpos ps 查看
[root@localhost ~]# docker-compose ps
Name Command State Ports
--------------------------------------------------------------------------------------
harbor-adminserver /harbor/harbor_adminserver Up
harbor-db docker-entrypoint.sh mysqld Up 3306/tcp
harbor-jobservice /harbor/harbor_jobservice Up
harbor-log /bin/sh -c crond && rm -f Up 127.0.0.1:1514->514/tcp
...
harbor-ui /harbor/harbor_ui Up
nginx nginx -g daemon off; Up 0.0.0.0:443->443/tcp,
0.0.0.0:4443->4443/tcp,
0.0.0.0:80->80/tcp
registry /entrypoint.sh serve /etc/ Up 5000/tcp
- 架构图
①harbor-adminserver
- harbor系统管理接口,可以修改系统配置以及获取系统信息
②harbor-db
- 存储项目的元数据、用户、规则、复制策略等信息
③harbor-jobservice
- harbor里面主要是为了镜像仓库之前同步使用的
④harbor-log
- 收集其他harbor的日志信息。rsyslogd
⑤harbor-ui
- 一个用户界面模块,用来管理registry。主要是前端的页面和后端CURD的接口
⑥nginx
- harbor的一个反向代理组件,代理registry、ui、token等服务。这个代理会转发harbor web和docker
client的各种请求到后端服务上。是个nginx。nginx负责流量转发和安全验证,对外提供的流量都是从nginx中转,它将流量分发到后端的ui和正在docker镜像存储的docker registry
⑦registry
- 存储docker images的服务,并且提供pull/push服务。harbor需要对image的访问进行访问控制,当client每次进行pull、push的时候,registry都需要client去token服务获取一个可用的token。
⑧redis
- 存储缓存信息
⑨webhook
- 当registry中的image状态发生变化的时候去记录更新日志、复制等操作。
⑩token service
- 在docker client进行pull/push的时候token(令牌)的发放
2.2、harbor-login 介绍
工作流程
- a:nginx代理在80端口收到client发来的请求,然后把该请求转发到后端的registry
- b:registry收到请求,因为registry是配置的token-based的认证,所以会直接返回一个401状态码,然后返回一个url,通过client去哪里获取token,也就是token service
- c:当docker client收到这个url后,会对这个url发送请求,需要在请求头中植入用户名和密码。
- d:当请求到达nginx反向代理后,nginx会把该请求转发至ui服务上,因为ui符核token服务在一个容器里,token服务会解码请求头中用户名和密码
- e:拿到用户名和密码后会合db(数据库)中的进行对比,如果验证无误,则返回成功,在返回的http请求中包含一个私有key
2.3、harbor-push
工作流程
省略了proxy转发这一步
当登录harbor成功后,docker push 就可以使用了
- a:docker client和registry交互,获取到token service 的url
- b:随后docker client和token service 交互后,告诉token 需要进行push操作
- c:token服务查看db,该用户是否有相关的权限来push image,如果有此权限,则返回一个私有的key
- d:docker client拿到token 后,会对registry发起push请求,当registry收到请求后,会用自己的公钥解密token,如果验证token是合格的,则开始image传输过程
2.4、clair
- clair 是 coreos 开源的容器漏洞扫描工具,在容器逐渐普及的今天,容器镜像安全问题日益严重。clair
是目前少数的开源安全扫描工具,主要提供OS(centos,debian,ubuntu等)的软件包脆弱性扫描。clair的可以单机部署也可以部署到k8s上,可以与现有的registry集成。harbor 很好的整合了 clair ,通过简单的UI就可以对上传的镜像扫描,还可以通过每天的定时扫描对所有镜像进行统一扫描,架构如下:
Notary
- notary是一套docker镜像的签名工具,用来保证镜像在pull,push和传输过程中的一致性和完整性,避免中间人攻击、避免非法的镜像更新和运行
2.5、私有仓库的优点
其实,私有库的镜像最原始来源还是从公库中下载的,但是企业公司中为什么不都直接使用公库下载需要的镜像呢,允许使用 registry 搭建本地私有仓库,具备这些公库不具备的优点:
- ① 节省网络带宽,针对每个镜像不用每个人都去中央仓库上面下载,只需要从私有仓库中下载即可
- ② 提供镜像资源利用,针对公司内部使用的镜像,推送到本地私有仓库,以供内部相关人员使用
三、配置文件参数详解
- 关于Harbor.cfg配置文件有两类参数:所需/必要参数和可选参数
3.1、所需/必要参数
这些参数需要在配置文件Harbor.cfg中设置,如果用户更新它们后,需要运行install.sh脚本重新安装Harbour,参数将生效,具体参数如下:
① hostname
- 用于访问用户界面和register服务,它应该是目标主机的IP地址或完全限定的域名(FQDN)
② ui_url_protocol
- (http 或 https,默认为http)用于访问UI和令牌/通知服务的协议。如果公证处于启用状态,则此参数必须为https。(令牌默认有30分钟生命周期)
③ max_job_workers
- 镜像复制作业线程
④ db_password
- 用于db_auth 的MySQL 数据库root用户的密码(用户信息数据验证的存放位置,一般使用mysql)
⑤ customize_crt
- 该属性可设置为打开或关闭,默认打开,打开此属性,准备脚本创建私钥和根证书,用于生成/验证注册表令牌当由外部来源提供密钥和根证书时,将此属性设置为off
⑥ ssl_cert
- SSL证书的路径,仅当协议设置为htts时才应用
⑦ ssl_cert_key
- SSL密钥的路径,仅当协议设置为https时才应用
⑧ secretkey_path
- 用于复制策略中加密或解密远程register密码的密钥路径
3.2、可选参数
这些参数对于更新是可选的,即用户可以将其保留为默认值,并在启动Harbor后再Web UI上进行更新。
如果进入Harbor.cfg,只会再第一次启动Harbour时生效,随后对这些参数的更新,Harbor.cfg 将被忽略
- PS:如果