docker-02-harbor

Harbor是由VMware公司开源的企业级的Docker Registry管理项目，它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。

1、Proxy： Harbor的registry, UI,token等服务，通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务。
2、Registry： 负责储存Docker镜像，并处理docker push/pull 命令。由于我们要对用户进行访问控制，即不同用户对Docker image有不同的读写权限，Registry会指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token 进行解密验证。
3、Core services： 这是Harbor的核心功能，主要提供以下服务：
1）UI：提供图形化界面，帮助用户管理registry上的镜像（image）, 并对用户进行授权。
2）webhook：为了及时获取registry 上image状态变化的情况，在Registry上配置webhook，把状态变化传递给UI模块。
3）token 服务：负责根据用户权限给每个docker push/pull命令签发token. Docker客户端向Regiøstry服务发起的请求,如果不包含token，会被重定向到这里，获得token后再重新向Registry进行请求。
4、Database： 为core services提供数据库服务，负责储存用户权限、审计日志、Docker image分组信息等数据。
5、Log collector： 为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析。

安装harbor依赖环境

依赖软件安装

#安装epel源
yum install -y epel-release
#依赖
yum install -y yum-utils device-mapper-persistent-data lvm2

安装docker

yum -y install docker

安装docker-compose

yum -y install docker-compose

Harbor 2种安装方式

https://github.com/goharbor/harbor/releases
1.离线安装
$ wget https://storage.googleapis.com/harbor-releases/harbor-offline-installer-v1.5.0.tgz
$ tar xf harbor-offline-installer-v1.5.0.tgz
2.在线安装
$ wget https://storage.googleapis.com/harbor-releases/harbor-online-installer-v1.5.2.tgz
$ tar xf harbor-online-installer-v1.5.2.tgz

//创建数据存储目录 harbor默认的数据存储目录就是/data目，启动时也会自动创建！

mkdir -p /data/cert

创建CA证书

mkdir /data/cert
openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt
chmod -R 777 /data/cert

注：因为出于安全的考虑，建议搭建基于https的harbor，那么就需要添加ca证书！
修改配置文件 ： harbor.cfg 相关配置解释

hostname ：目标的主机名或者完全限定域名
ui_url_protocol ： http 或 https 。默认为 http
db_password ：用于 db_auth 的 MySQL 数据库的根密码。更改此密码进行任何生产用途
max_job_workers ：（默认值为 3 ）作业服务中的复制工作人员的最大数量。对于每个映像复制作业，
工作人员将存储库的所有标签同步到远程目标。增加此数字允许系统中更多的并发复制作业。但是，由于每个工
作人员都会消耗一定数量的网络 / CPU / IO 资源，请根据主机的硬件资源，仔细选择该属性的值
customize_crt ：（ on 或 off 。默认为 on ）当此属性打开时， prepare 脚本将为注册表的令牌的生成 / 验证创
建私钥和根证书
ssl_cert ： SSL 证书的路径，仅当协议设置为 https 时才应用
ssl_cert_key ： SSL 密钥的路径，仅当协议设置为 https 时才应用
secretkey_path ：用于在复制策略中加密或解密远程注册表的密码的密钥路径
#安装Harbor后，管理员UI登陆的密码,默认是Harbor12345 (首次启动时有效)
##The initial password of Harbor admin, only works for the first time when Harbor starts.
#It has no effect after the first launch of Harbor.
#Change the admin password from UI after launching Harbor.
harbor_admin_password = Harbor12345

安装

#复制一份配置文件，修改 【hostname ,secretkey_path .....】   #cp harbor.yml.tmpl harbor.yml 
./install.sh  -- 安装完成后自动启动

启动、关闭

cd /home/harbor/
#启动  
docker-compose up -d
#关闭
docker-compose down
#修改配置文件后重启
./prepare
docker-compose up -d

docker连接harbor

 vim /etc/docker/daemon.json  
{
"insecure-registries": ["https://k8s.harbor"]
}

重启docker

systemctl restart docker

登录

# 需要配置域名解析
docker login -u admin -p Harbor12345 https://k8s.harbor

退出

docker logout

镜像上传到私服

#打标签
docker tag nginx:demo-v1   k8s.harbor/test/nginx:demo-v1
#上传仓库（harbor）
docker push k8s.harbor/test/nginx:demo-v1
#从（harbor）拉取镜像
docker pull k8s.harbor/test/nginx:demo-v1