harbor简介
Harbor 是一个企业级 Registry 服务。它对开源的 Docker Registry 服务进行了扩展,添加了更多企业用户需要的功能。Harbor 被设计用于部署一套组织内部使用的私有环境,这个私有 Registry 服务对于非常关心安全的组织来说是十分重要的。另外,私有 Registry 服务可以通过避免从公域网下载镜 像而提高企业生产力。这对于没有良好的 Internet 连接状态,使用 Docker Container 的用户是一个福音。
- 基于角色的访问控制:用户与 Docker 镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。
- 图形化用户界面:用户可以通过浏览器来浏览,检索当前 Docker 镜像仓库,管理项目和命名空间。
- 审计管理 :所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
- 国际化:基于英文与中文语言进行了本地化。可以增加更多的语言支持。
- RESTful API - RESTful API :提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易。
主要组件
- Proxy:Harbor 的 registry, UI, token 等服务,通过一个前置的反向代理统一接收浏览器、Docker 客户端的请求,并将请求转发给后端不同的服务。
- Registry:负责储存 Docker 镜像,并处理 docker push/pull 命令。由于我们要对用户进行访问控制,即不同用户对 Docker image 有不同的读写权限,Registry 会指向一个 token 服务,强制用户的每次 docker pull/push 请求都要携带一个合法的 token, Registry 会通过公钥对 token 进行解密验证。
- Core services:这是 Harbor 的核心功能,主要提供以下服务: UI:提供图形化界面,帮助用户管理 registry 上的镜像(image),并对用户进行授权;
- webhook:为了及时获取 registry 上 image 状态变化的情况, 在 Registry 上配置 webhook,把状态变化传递给 UI 模块;
- token 服务:负责根据用户权限给每个 docker push/pull 命令签发 token。Docker 客户端向Registry 服务发起的请求,如果不包含 token,会被重定向到这里,获得 token 后再重新向 Registry进行请求;
- Database:为 core services 提供数据库服务,负责储存用户权限、审计日志、Docker image 分组信息等数据。
- Log collector:为了帮助监控 Harbor 运行,负责收集其他组件的 log,供日后进行分析。
harbor部署、使用
(1)下载离线安装包、解压
在github下载harbor;
下载链接:https://storage.googleapis.com/harbor-releases/release-1.4.0/harbor-offline-installer-v1.4.0.tgz
node02 IP:192.168.3.201/24
[root@node02 ~]# tar xf harbor-offline-installer-v1.4.0.tgz -C /usr/local/ #解压到/usr/local/
[root@node02 ~]# systemctl stop docker-distribution.service #如果主机上有docker distribution,要先停掉
[root@node02 ~]# cd /usr/local/harbor/
[root@node02 harbor]# vim harbor.cfg
...
hostname = 192.168.3.201 #文件中这一项要修改,其他的看个人需求,只能写ip,写主机名不行,写进hosts文件也不行
...
(2)安装
安装docker-compose
[root@node02 harbor]# yum install epel-release -y #docker-compose在epel仓库中,要先装epel
[root@node02 harbor]# yum -y install docker-compose
安装harbor:
[root@node02 harbor]# ./install.sh
...
----Harbor has been installed and started successfully.---- #最后看到这一行,证明安装成功
...
查看端口,harbor直接用的就是80端口:
[root@node02 harbor]# netstat -ntlp |grep "80"
harbor的操作命令:
-
- 如果需要修改Harbor的配置文件harbor.cfg,因为Harbor是基于docker-compose服务编排的,我们可以使用docker-compose命令重启Harbor。
- 重启Harbor命令:docker-compose start | stop | restart
- 暂停、恢复:docker-compose pause 、 docker-compose unpause
- 帮助:docker-compose --help
(3)web页面访问
用浏览器直接访问:192.168.3.201
默认账号、密码:admin Harbor12345
(4)将镜像推送到harbor
比如要把node01上的镜像推送到Harbor:
修改node01的配置文件:
[root@node01 ~]# vim /etc/docker/daemon.json
{
"registry-mirrors": ["https://fwas9x15.mirror.aliyuncs.com","https://registry.docker-cn.com"],
"hosts": ["tcp://0.0.0.0:2375","unix:///var/run/docker.sock"],
"insecure-registries": ["192.168.3.201"] #因为Harbor默认监听的80端口,所以不用写端口;而且只能写ip,写主机名不行,写进hosts文件也不行
}
“我的这里只能写IP,写主机名不行,修改hosts文件也不行”
[root@node01 ~]# systemctl restart docker #重启docker
[root@node01 ~]# docker login 192.168.3.201 #登录harbor(node02:192.168.3.201)
这里登陆的账号信息,会保存在本机的/root/.docker/config.json中
推送:
在harbor上新建一个项目叫weiyiming;
查看推送命令:
[root@node01 ~]# docker tag busybox 192.168.3.201/weiyiming/busybox:latest #打标一个镜像,
[root@node01 ~]# docker push 192.168.3.201/weiyiming/busybox #推送,这里的weiyiming是新建的项目
可以看到已经推送到harbor了,如下图:
