Docker私有仓库Harbor理论与部署

最新推荐文章于 2022-10-22 08:00:00 发布

置顶

changz丶

最新推荐文章于 2022-10-22 08:00:00 发布

阅读量402

点赞数

分类专栏： docker 文章标签： docker harbor

本文链接：https://blog.csdn.net/weixin_45724795/article/details/105720022

版权

Harbor是VMware开源的Docker Registry服务器，提供UI、访问控制和审计日志等功能。本文详细介绍了Harbor的概念、优点、核心组件，以及部署、使用和维护的步骤，包括配置文件参数解析，本地和异地登录操作。

摘要由CSDN通过智能技术生成

前言：Harbor 是 Vmwar 公司开源的企业级的 Docker Registry 管理项目
它主要提供 Dcoker Registry 管理UI，可基于角色访问控制, AD/LDAP 集成，日志审核等功能，完全的支持中文
Harbor 的所有组件都在 Dcoker 中部署，所以 Harbor 可使用 Docker Compose 快速部署。

一、Harbor概述

1.Harbor理解

Harbor 就是一个用于存储和分发 Docker 镜像的企业级Registry 服务器
Harbor 是 VMware 公司开源的企业级 DockerRegistry 项目，项目地址为 https://github.com/vmware/harbor
其目标是帮助用户迅速搭建一个企业级的 Docker registry 服务。它以 Docker 公司开源的 registry 为基础，提供了管理UI，基于角色的访问控制(Role Based Access Control)，AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能，同时还原生支持中文。Harbor 的每个组件都是以 Docker 容器的形式构建的，使用 Docker Compose 来对它进行部署

2.Harbor的优点

Harbor和Registry都是Docker的镜像仓库，但是Harbor作为更多企业的选择，是因为相比较于Regisrty来说，它具有很多的优势
- 提供分层传输机制，优化网络传输
  - Docker镜像是是分层的，而如果每次传输都使用全量文件(所以用FTP的方式并不适合)，显然不经济。必须提供识别分层传输的机制，以层的UUID为标识，确定传输的对象
- 提供WEB界面，优化用户体验
  - 只用镜像的名字来进行上传下载显然很不方便，需要有一个用户界面可以支持登陆、搜索功能，包括区分公有、私有镜像
- 支持水平扩展集群
  - 当有用户对镜像的上传下载操作集中在某服务器，需要对相应的访问压力作分解
- 良好的安全机制
  - 企业中的开发团队有很多不同的职位，对于不同的职位人员，分配不同的权限，具有更好的安全性
- Harbor提供了基于角色的访问控制机制，并通过项目来对镜像进行组织和访问权限的控制
- kubernetes中通过namespace来对资源进行隔离，在企业级应用场景中，通过将两者进行结合可以有效将kubernetes使用的镜像资源进行管理和访问控制，增强镜像使用的安全性。尤其是在多租户场景下，可以通过租户、namespace和项目相结合的方式来实现对多租户镜像资源的管理和访问控制

3.Harbor的核心组件

架构图
Proxy：他是一个nginx的前端代理，代理Harbor的registry,UI, token等服务
db：负责储存用户权限、审计日志、Dockerimage分组信息等数据
UI：提供图形化界面，帮助用户管理registry上的镜像, 并对用户进行授权
jobsevice：jobsevice是负责镜像复制工作的，他和registry通信，从一个registry pull镜像然后push到另一个registry，并记录job_log
Adminserver：是系统的配置管理中心附带检查存储用量，ui和jobserver启动时候回需要加载adminserver的配置
Registry：镜像仓库，负责存储镜像文件
Log：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析

4.Harbor配置文件里的参数

关于 Harbor.cfg 配置文件中有两类参数：所需参数和可选参数

1）所需参数

这些参数需要在配置文件 Harbor.cfg 中设置
如果用户更新它们并运行 install.sh脚本重新安装 Harbour，参数将生效
具体参数如下：
- hostname：用于访问用户界面和 register 服务。它应该是目标机器的 IP 地址或完全限定的域名（FQDN）
  例如 192.168.195.128 或 hub.csdn.cn。不要使用 localhost 或 127.0.0.1 为主机名
- ui_url_protocol：（http 或 https，默认为 http）用于访问 UI 和令牌/通知服务的协议。如果公证处于启用状态，则此参数必须为 https
- max_job_workers：镜像复制作业线程
- db_password：用于db_auth 的MySQL数据库root 用户的密码
- customize_crt：该属性可设置为打开或关闭，默认打开。打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌
  当由外部来源提供密钥和根证书时，将此属性设置为 off
- ssl_cert：SSL 证书的路径，仅当协议设置为 https 时才应用
- ssl_cert_key：SSL 密钥的路径，仅当协议设置为 https 时才应用
- secretkey_path：用于在复制策略中加密或解密远程 register 密码的密钥路径

2）可选参数

这些参数对于更新是可选的，即用户可以将其保留为默认值，并在启动 Harbor 后在 Web UI 上进行更新
如果进入 Harbor.cfg，只会在第一次启动 Harbor 时生效，随后对这些参数的更新，Harbor.cfg 将被忽略
注意：如果选择通过UI设置这些参数，请确保在启动Harbour后立即执行此操作。具体来说，必须在注册或在Harbor 中创建任何新用户之前设置所需的auth_mode。当系统中有用户时（除了默认的 admin 用户），auth_mode 不能被修改
具体参数如下：
- Email：Harbor需要该参数才能向用户发送“密码重置”电子邮件，并且只有在需要该功能时才需要
  请注意，在默认情况下SSL连接时没有启用。如果SMTP服务器需要SSL，但不支持STARTTLS，那么应该通过设置启用SSL email_ssl = TRUE
- harbour_admin_password：管理员的初始密码，只在Harbour第一次启动时生效。之后，此设置将被忽略，并且应 UI中设置管理员的密码
  请注意，默认的用户名/密码是 admin/Harbor12345
- auth_mode：使用的认证类型，默认情况下，它是 db_auth，即凭据存储在数据库中。对于LDAP身份验证，请将其设置为 ldap_auth
- self_registration：启用/禁用用户注册功能。禁用时，新用户只能由 Admin 用户创建，只有管理员用户可以在 Harbour中创建新用户
  注意：当 auth_mode 设置为 ldap_auth 时，自注册功能将始终处于禁用状态，并且该标志被忽略
- Token_expiration：由令牌服务创建的令牌的到期时间（分钟），默认为 30 分钟
- project_creation_restriction：用于控制哪些用户有权创建项目的标志。默认情况下，每个人都可以创建一个项目
  如果将其值设置为“ad