docker-Harbor仓库

概述

harbor是vmware开源的企业级registry，可以让你迅速的搭建自己的私有registry，harbor扩展的docker的registry。

架构介绍

Harbor 主要有6大模块，默认每个Harbor的组件都被封装成一个docker container，所以可以通过compose来部署Harbor，总共分为8个容器运行，可通过docker cpmpos ps 查看。

harbor-adminserver
harbor系统管理接口，可以修改系统配置以及获取系统信息

harbor-db
存储项目的元数据、用户、规则、复制策略等信息

harbor-jobservice
harbor里面主要是为了镜像仓库之前同步使用的

harbor-log
收集其他harbor的日志信息。rsyslogd

harbor-ui
一个用户界面模块，用来管理registry。主要是前端的页面和后端CURD的接口

nginx
harbor的一个反向代理组件，代理registry、ui、token等服务。这个代理会转发harbor web和docker
client的各种请求到后端服务上。是个nginx。nginx负责流量转发和安全验证，对外提供的流量都是从nginx中转，它将流量分发到后端的ui和正在docker镜像存储的docker registry

registry
存储docker images的服务，并且提供pull/push服务。harbor需要对image的访问进行访问控制，当client每次进行pull、push的时候，registry都需要client去token服务获取一个可用的token。

redis
存储缓存信息

webhook
当registry中的image状态发生变化的时候去记录更新日志、复制等操作。

token service
在docker client进行pull/push的时候token(令牌)的发放

优势

Harbor和Registry都是Docker的镜像仓库，但是Harbor作为更多企业的选择，是因为相比较于Regisrty来说，它具有很多的优势。

1.提供分层传输机制，优化网络传输 Docker镜像是是分层的，而如果每次传输都使用全量文件(所以用FTP的方式并不适合)，显然不经济。必须提供识别分层传输的机制，以层的UUID为标识，确定传输的对象。

2.提供WEB界面，优化用户体验 只用镜像的名字来进行上传下载显然很不方便，需要有一个用户界面可以支持登陆、搜索功能，包括区分公有、私有镜像。

3.支持水平扩展集群 当有用户对镜像的上传下载操作集中在某服务器，需要对相应的访问压力作分解。

4.良好的安全机制 企业中的开发团队有很多不同的职位，对于不同的职位人员，分配不同的权限，具有更好的安全性。

5.Harbor提供了基于角色的访问控制机制，并通过项目来对镜像进行组织和访问权限的控制。kubernetes中通过namespace来对资源进行隔离，在企业级应用场景中，通过将两者进行结合可以有效将kubernetes使用的镜像资源进行管理和访问控制，增强镜像使用的安全性。尤其是在多租户场景下，可以通过租户、namespace和项目相结合的方式来实现对多租户镜像资源的管理和访问控制。

配置文件参数

关于Harbor.cfg配置文件有两类参数：所需参数和可选参数
所需参数
这些参数需要在配置文件Harbor.cfg中设置，如果用户更新它们后，需要运行install.sh脚本重新安装Harbour，参数将生效，具体参数如下：

hostname
用于访问用户界面和register服务，它应该是目标主机的IP地址或完全限定的域名（FQDN)

ui_url_protocol
（http 或 https，默认为http）用于访问UI和令牌/通知服务的协议。如果公证处于启用状态，则此参数必