Harbor私有仓库
一、Harbor
1.2 Harbor简介
Harbor是VMware公司的开源级的企业级DockerRegistry(仓库)项目,项目地址为 https://github.com/vmware/harbor.
Harbor的目标是帮助用户迅速搭建一个企业级的DockerRegistry服务。
Harbor以docker公司开源的registry为基础,提供了管理UI,基于角色的访问控制(Role Based Access Control),AD/LDAP集成,以及审计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。
Harbor的每个组件都是以Docker容器的形式构建的,使用docker-compose来对它进行部署。用于部署Harbor的docker-compose模板位于/usr/local/bin/harbor/docker-compose.yml(自定义)
1.2 Harbor的特性
- 基于角色控制:用户与Docker镜像仓库通过"项目"进行组织管理,一个用户可以对多个镜像仓库在统一命名空间(projec)里有不同的权限
- 图形化用户界面:用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间
- 审计管理:所有这怒地镜像仓库的错都可以被记录追溯,用于审计管理
- 基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制。
- 支持LDAP认证:Harbor的用户授权可以使用已经存在的用户。
- 镜像删除和垃圾回收:image可以被删除并且回收image占用的空间。
- 简单的部署功能:harbor提供了online、offline安装,此外还提供了virtualappliance安装
- harbor和docker registry的关系:harbor实质上是对docker registry做了封装,扩展了自己的业务模板。
1.3 Harbor的简易架构
harbor主要有6大模块,默认的每个harbor的组件都被封装成一个docker container,所以可以通过compose来部署harbor,总共分为8个容器运行,通过docker-compose ps来查看
- Proxy: Harbor的registry、UI、token services等组件,都处在一个反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端服务上。
- Registry: 负责存储Docker镜像,以及处理Docker push/pull请求。因为Harbor强制要求对镜像的访问做权限控制, 在每一次push/pull请求时,Registry会强制要求客户端从token service那里获得一个有效的token。
- Core services: Harbor的核心功能,主要包括如下3个服务:
- UI: 作为Registry Webhook, 以图像用户界面的方式辅助用户管理镜像。
-WebHook
是在registry中配置的一种机制, 当registry中镜像发生改变时,就可以通知到Harbor的webhook endpoint。Harbor使用webhook来更新日志、初始化同步job等。
-Token service
会根据该用户在一个工程中的角色,为每一次的push/pull请求分配对应的token。假如相应的请求并没有包含token的话,registry会将该请求重定向到token service。
-Database
用于存放工程元数据、用户数据、角色数据、同步策略以及镜像元数据。 - Job services: 主要用于镜像复制,本地镜像可以被同步到远程Harbor实例上。
- Log collector: 负责收集其他模块的日志到一个地方
1.4 Harbor配置文件参数
vim /usr/local/harbor/harbor.cfg,关于 Harbor.cfg 配置文件中有两类参数:所需参数和可选参数
所需参数:这些参数需要在配置文件 Harbor.cfg 中设置。如果用户更新它们并运行 install.sh脚本重新安装 Harbour,参数将生效。具体参数如下:
- hostname:用于访问用户界面和 register 服务。它应该是目标机器的 IP 地址或完全限 定的域名(FQDN),例如 192.168.195.128 或 hub.kgc.cn。不要使用 localhost 或 127.0.0.1 为主机名。
- ui_url_protocol:(http 或 https,默认为 http)用于访问 UI 和令牌/通知服务的协议。如果公证处于启用状态,则此参数必须为 https
- max_job_workers:镜像复制作业线程。
- db_password:用于db_auth 的MySQL数据库root 用户的密码。
- customize_crt:该属性可设置为打开或关闭,默认打开。打开此属性时,准备脚本创建私钥和根证书,用于生成/验证注册表令牌。
- 当由外部来源提供密钥和根证书时,将此属性设置为 off。
- ssl_cert:SSL 证书的路径,仅当协议设置为 https 时才应用。
- secretkey_path:用于在复制策略中加密或解密远程 register 密码的密钥路径。
可选参数:这些参数对于更新是可选的,即用户可以将其保留为默认值,并在启动 Harbor 后在 Web UI 上进行更新。如果进入 Harbor.cfg,只会在第一次启动 Harbor 时生效,随后对这些参数 的更新,Harbor.cfg 将被忽略。
注意:如果选择通过UI设置这些参数,请确保在启动Harbour后立即执行此操作。具体来说,必须在注册或在 Harbor 中创建任何新用户之前设置所需的
- auth_mode。当系统中有用户时(除了默认的 admin 用户),auth_mode 不能被修改。具体参数如下:
- Email:Harbor需要该参数才能向用户发送“密码重置”电子邮件,并且只有在需要该功能时才需要。
请注意,在默认情况下SSL连接时没有启用。如果SMTP服务器需要SSL,但不支持STARTTLS,那么应该通过设置启用SSL email_ssl = TRUE。
- harbour_admin_password:管理员的初始密码,只在Harbour第一次启动时生效。之后,此设置将被忽略,并且应 UI中设置管理员的密码。
请注意,默认的用户名/密码是 admin/Harbor12345。
- auth_mode:使用的认证类型,默认情况下,它是 db_auth,即凭据存储在数据库中。对于LDAP身份验证,请将其设置为 ldap_auth。
- self_registration:启用/禁用用户注册功能。禁用时,新用户只能由 Admin 用户创建,只有管理员用户可以在 Harbour中创建新用户。
注意:当 auth_mode 设置为 ldap_auth 时,自注册功能将始终处于禁用状态,并且该标志被忽略。
- Token_expiration:由令牌服务创建的令牌的到期时间(分钟),默认为 30 分钟。
- project_creation_restriction:用于控制哪些用户有权创建项目的标志。默认情况下, 每个人都可以创建一个项目。
如果将其值设置为“adminonly”,那么只有 admin 可以创建项目。
- verify_remote_cert:打开或关闭,默认打开。此标志决定了当Harbor与远程 register 实例通信时是否验证 SSL/TLS 证书。
将此属性设置为 off 将绕过 SSL/TLS 验证,这在远程实例具有自签名或不可信证书时经常使用。 另外,默认情况下,Harbour 将镜像存储在本地文件系统上。在生产环境中,可以考虑 使用其他存储后端而不是本地文件系统, 如 S3、Openstack Swif、Ceph 等。但需要更新 common/templates/registry/config.yml 文件。
二、模拟实验
主机名 | IP地址 | 所需软件 |
---|---|---|
harbor服务器 | 192.168.153.40 | docker-ce、harbor、docker-compose |
客户端 | 192.168.153.60 | docker-ce |
2.1 Harbor服务器配置
cd /usr/local/ #拉入压缩包
tar zxvf harbor-offline-installer-v1.2.2.tgz
cd harbor/
vim harbor.cfg
... ...
hostname = 192.168.153.40
... ...
sh install.sh
docker images
docker ps -a
- harbor-log:收集其他harbor的日志信息。rsyslogd
- harbor-jobservice:harbor里面主要是为了镜像仓库之前同步使用的
- harbor-ui:一个用户界面模块,用来管理registry。主要是前端的页面和后端CURD的接口
- harbor-adminserver:harbor系统管理接口,可以修改系统配置以及获取系统信息
- harbor-db:存储项目的元数据、用户、规则、复制策略等信息
- nginx:harbor的一个反向代理组件,代理registry、ui、token等服务。这个代理会转发harbor web和docker client的各种请求到后端服务上。是个nginx。nginx负责流量转发和安全验证,对外提供的流量都是从nginx中转,它将流量分发到后端的ui和正在docker镜像存储的docker registry
- registry:存储docker images的服务,并且提供pull/push服务。harbor需要对image的访问进行访问控制,当client每次进行pull、push的时候,registry都需要client去token服务获取一个可用的token。
- redis:存储缓存信息
- webhook:当registry中的image状态发生变化的时候去记录更新日志、复制等操作。
- token service:在docker client进行pull/push的时候今天token的发放。
也可以使用docker-compose ps查看容器状态,但是需要在/usr/local/harbor目录下执行
浏览器登录测试
http://192.168.153.40/harbor
harbor服务器的镜像上传及下载测试
docker login -u admin -p Harbor12345 http://127.0.0.1
docker pull cirros #cirros镜像小于15M,便于测验
...
...
docker tag cirros:latest 127.0.0.1/test/cirros:v1 #打上v1标签,便于区别
docker push 127.0.0.1/test/cirros:v1 #上传至harbor
返回浏览器查看
2.2 客户端测试
vim /usr/lib/systemd/system/docker.service
... ...
ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.153.40 --con tainerd=/run/containerd/containerd.sock #修改此行,使客户端可以连接harbor服务器
... ...
systemctl daemon-reload
systemctl restart docker
docker login -u admin -p Harbor12345 http://192.168.153.40 #登录
docker pull cirros
docker tag cirros:latest 192.168.153.40/test/cirros:v2 #打上v2标签,区别v1
docker push 192.168.153.40/test/cirros:v2 #上传镜像
返回浏览器查看
2.3 Harbor 私有仓库的维护与管理
- 可以使用 docker-compose 来管理 Harbor,命令必须在与 docker-compose.yml 相同的目录中运行。
- 修改harbor.cfg配置文件的时候要注意
- 先停止现有的 Harbor 实例并更新 Harbor.cfg;然后运行 prepare 脚本来填充配置;最后重新创建并启动 Harbor 的实例。
##必须在/usr/local/harbor目录下执行
docker-compose down -v #关闭所有容器
vim harbor.cfg
... ...
./prepare #重新填充配置
docker-compose up -d #开启容器
1.系统管理 > 用户管理 > +用户 > 创建用户 >设置为管理员
2.项目 > 项目名称 > 成员 > +成员 > 新建成员 > 开发人员
在客户端上测试
docker logout 192.168.153.40 #注销
docker login 192.168.153.40 #登录
docker pull 192.168.153.40/test/cirros:v1 #下载v1镜像
docker tag cirros 192.168.153.40/test/cirros:v3 #打上v3标签
docker push 192.168.153.40/test/cirros:v3 #上传v3镜像
2.4 迁移Harbor数据
- 先关闭harbor仓库:docker-compose down -v
- 拷贝harbor数据:
#持久数据,如镜像,数据库等在宿主机的/data/目录下,日志在宿主机的/var/log/Harbor/目录下
#/data/database/ 数据库内容,比如身份验证数据
#/data/registry/ 镜像文件内容
- 将数据直接拉取到目标服务器的相应目录下重新部署即可