1.harbor的简介
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。
2.Harbor特性
基于角色的访问控制 :用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。
镜像复制 : 镜像可以在多个Registry实例中复制(同步)。尤其适合于负载均衡,高可用,混合云和多云的场景。
图形化用户界面 : 用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。
AD/LDAP 支持 : Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。
审计管理 : 所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
国际化 : 已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。
RESTful API : RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。
部署简单 : 提供在线和离线两种安装工具, 也可以安装到vSphere平台(OVA方式)虚拟设备。
Harbor组件,Harbor在架构上主要由6个组件构成:
Proxy:Harbor的registry, UI, token等服务,通过一个前置的反向代理统一接收浏览器、Docker客户端的请求,并将请求转发给后端不同的服务。
Registry: 负责储存Docker镜像,并处理docker push/pull 命令。由于我们要对用户进行访问控制,即不同用户对Docker image有不同的读写权限,Registry会指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token 进行解密验证。
Core services: 这是Harbor的核心功能,主要提供以下服务:
UI:提供图形化界面,帮助用户管理registry上的镜像(image), 并对用户进行授权。
webhook:为了及时获取registry 上image状态变化的情况, 在Registry上配置webhook,把状态变化传递给UI模块。
token 服务:负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向Registry进行请求。
Database:为core services提供数据库服务,负责储存用户权限、审计日志、Docker image分组信息等数据。
Job Services:提供镜像远程复制功能,可以把本地镜像同步到其他Harbor实例中。
Log collector:为了帮助监控Harbor运行,负责收集其他组件的log,供日后进行分析。
3.安装部署Harbor
harbor git 地址:
https://github.com/goharbor/harbor
harbor支持k8s的helm安装和本地安装,我这次先择的安装方式是本地安装。
我的运行环境是 Rhel7.6。
安装准备
1.需要安装docker并运行,之前已安装
2.需要安装docker-compose
curl -L "https://github.com/docker/compose/releases/download/1.23.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
给docker-compose执行权限,运行命令:
chmod +x /usr/local/bin/docker-compose
检查,运行docker-compose --version,如下:
[root@server1 ~]# docker-compose --version
docker-compose version 1.23.2, build 1110ad01
安装
下载安装包
下载地址:https://github.com/goharbor/harbor/releases
安装包分为在线安装和离线安装两种方式,两者的区别的是 Harbor offline installer 里就包含的 Harbor 需要使用的镜像文件。这里我们安装v1.10.1版本的
进入解压的目录,并 ls
[root@server1 ~]# cd harbor/
[root@server1 harbor]# ls
common.sh harbor.v1.10.1.tar.gz harbor.yml install.sh LICENSE prepare
2.编辑配置文件
编辑harbor.yml,修改hostname、https证书路径、admin密码
注意:每次修改完配置文件后都需要运行
[root@server1 harbor]# ./prepare
运行 ./install.sh
[root@server1 harbor]# ./install.sh
访问测试
浏览器访问https://reg.westos.org:
登录成功后:
新建一个项目,命名为 westos,并设置访问级别为公开。
4.镜像的上传和拉取
镜像上传
修改文件 /etc/docker/daemon.json然后重启
[root@server1 harbor]# cat /etc/docker/daemon.json
{
"registry-mirrors": ["https://x3q3676w.mirror.aliyuncs.com"]
}
{
"insecure-registries": ["reg.westos.org"]
}
重启docker以及docker加速器
systemctl daemon-reload
systemctl restart docker
制作镜像(标记本地Ubuntu镜像,将其归入某一仓库。)
docker tag ubuntu:latest reg.westos.org/westos/ubuntu:latest
进行本机上传
首先登录私有库
[root@server1 harbor]# docker login reg.westos.org
Username: admin
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
然后上传
[root@server1 harbor]# docker push reg.westos.org/westos/ubuntu
然后查看上传结果
通过结果发现上传成功
镜像拉取
然后我们先删除原先的镜像,直接拉取
[root@server1 harbor]# docker rmi reg.westos.org/westos/ubuntu
Untagged: reg.westos.org/westos/ubuntu:latest
Untagged: reg.westos.org/cl/ubuntu@sha256:e5dd9dbb37df5b731a6688fa49f4003359f6f126958c9c928f937bec69836320
[root@server1 harbor]# docker pull reg.westos.org/westos/ubuntu
Using default tag: latest
latest: Pulling from westos/ubuntu
Digest: sha256:e5dd9dbb37df5b731a6688fa49f4003359f6f126958c9c928f937bec69836320
Status: Downloaded newer image for reg.westos.org/westos/ubuntu:latest
reg.westos.org/westos/ubuntu:latest
5.远程主机上传下载镜像
然后我们准备另一台主机server2
[root@server2 ~]# cat /etc/hosts
172.25.1.1 server1 reg.westos.org #做好解析
daemon文件配置
[root@server2 ~]# cat /etc/docker/daemon.json
{
"registry-mirrors": ["https://reg.westos.org"]
}
建立证书目录
[root@server2 ~]# mkdir -p /etc/docker/certs.d/reg.westos.org
把crt证书放到/etc/docker/certs.d/harbor.dinginfo.com目录下:
[root@server2 ~]# ls /etc/docker/certs.d/reg.westos.org
reg.westos.org.crt
再重启docker
systemctl daemon-reload
systemctl restart docker
然后我们再次登录
[root@server2 ~]# docker login reg.westos.org
Username: admin
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
上传镜像
[root@server2 ~]# docker tag nginx:latest reg.westos.org/westos/nginx
[root@server2 ~]# docker push reg.westos.org/westos/nginx
在网页端查看
说明上传成功
测试下载:
[root@server2 ~]# docker pull reg.westos.org/westos/ubuntu
Using default tag: latest
latest: Pulling from westos/ubuntu
5bed26d33875: Pull complete
f11b29a9c730: Pull complete
930bda195c84: Pull complete
78bf9a5ad49e: Pull complete
Digest: sha256:e5dd9dbb37df5b731a6688fa49f4003359f6f126958c9c928f937bec69836320
Status: Downloaded newer image for reg.westos.org/westos/ubuntu:latest
reg.westos.org/westos/ubuntu:latest
至此harbor配置成功
171
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
