Docker-Harbor私有仓库部署

Docker-Harbor私有仓库部署

(1)什么是HarborHarbor是VMware公司开源的企业级Docker Registry 项目，其目标是帮助用户迅速搭建一个 企业级的Docker Registry服务。

Harbor以Docker 公司开源的Registry 为基础，提供了图形管理UI、基于角色的访问控制(Role Based AccessControl)、 AD/LDAP集成、以及审计日志(Auditlogging)等企业用户需求的功能，同时还原生支持中文。

Harbor的每个组件都是以Docker容器的形式构建的，使用docker-compose 来对它进行部署。用于部署Harbor的docker- compose模板位于harbor /docker- compose . yml。

(2) Harbor 的特性1、基于角色控制:用户和仓库都是基于项目进行组织的，而用户在项目中可以拥有不同的权限。2、基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制(同步)3、支持LDAP/AD: Harbor 可以集成企业内部已有的AD/LDAP (类似数据库的一 张表)，用于对已经存在的用户认证和管理。4、镜像删除和垃圾回收:镜像可以被删除，也可以回收镜像占用的空间。5、图形化用户界面:用户可以通过浏览器来浏览，搜索镜像仓库以及对项目进行管理。6、审计管理:所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。7、支持RESTful API: RESTful API提供给管理员对于Harbor 更多的操控，使得与其它管理软件集成变得更容易。8、Harbor和docker registry的关系: Harbor实质上是对docker registry做了封装，扩展了自己的业务模板。

(3) Harbor的构成Harbor在架构.上主要有Proxy、 Registry、 Core services、 Database ( Harbor-db)、Log collector (Harbor-log) 、Job services六个组件。

●Proxy:是一个nginx的前端代理，Harbor 的Registry、 UI、Token 服务等组件，都处在nginx 反向代理后边。该代理将来自浏览器、docker clients 的请求转发到后端不同的服务上。

●Registry:负责储存Docker 镜像，并处理Docker push/pull 命令。由于要对用户进行访问控制，即不同用户对Docker 镜像有不同的读写权限，Registry 会指向一个Token服务，强制用户的每次Docker pull/push 请求都要携带一个 合法的Token,Reqistry会通过公钥对Token进行解密验证。

●Core services: Harbor的核心功能，主要提供以下3个服务:

UI (harbor-ui) :提供图形化界面，帮助用户管理Registry. 上的镜像( image)，并对用户进行授权。WebHook: 为了及时获取Registry.上image 状态变化的情况，在Registry. 上配置 Webhook， 把状态变化传递给UI模块。Token服务:负责根据用户权限给每个Docker push/pull 命令签发Token。 Docker 客户端向Registry 服务发起的请求，如果不包含Token，会被重定向到Token 服务，获得Token后再重新向Registry 进行请求。●Database (harbor -db) :为core services提 供数据库服务，负责储存用户权限、审计日志、Docker 镜像分组信息等数据。

●Job services:主要用于镜像复制，本地镜像可以被同步到远程Harbor实例上。

Harbor 的每个组件都是以Docker 容器的形式构建的，因此，使用Docker Compose来对它进行部署。总共分为7个容器运行，通过在docker- compose. yml所在目录中执行docker-compose ps命令来查看,名称分别为: nginx、 harbor- jobservice、harbor-ui、 harbor -db、harbor- adminserver、registry、 harbor-log。其中harbor-adminserver主要是作为一个后端的配置数据管理，并没有太多的其他功能。harbor-ui所要操作的所有数据都通过harbor-adminserver 这样一 个数据配置管理中心来完成。

Harbor部署Harbor部署Harbor服务器192.168.11.18

1.部署Docker-Compose 服务//下载或者上传Docker- Composecurl -L L Lgi thub. com/ docker/ compose/ releases/ download/1。21.1/docker-compose-、uname -s、- uname -m° -o /usr/ local /bin/docker- compose

chmod +x /usr/local/bin/docker- compose

2.部署Harbor服务(1) 下载或上传Harbor 安装程序wget L /harbor . orientsoft . cn/harbor = 1.2.2/harbor -offline - installer -v1.2.2. tgztar zxvf harbor-offl ine- installer-v1.2.2.tgz -C /usr/ local/

关于Harbor.cfg配置文件中有两类参数:|所需参数和可选参数T1、所需参数:这些参数需要在配置文件Harbor.cfg 中设置。如果用户更新它们并运行install.sh 脚本重新安装Harbor,参数将生效。具体参数如下:

●hostname:用于访问用户界面和register 服务。它应该是目标机器的IP 地址或完全限定的域名(FQDN) ，例如192. 168.11.10或hub. kgc.cn。不要使用localhost 或127.0.0.1 为主机名。

●ui_ url protocol: (默认为job workers: 镜像复制作业线程。

●db password: 用于db auth的MySQL数据库root用户的密码。

●customize crt: 该属性可设置为打开或关闭，默认打开。打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌。当由外部来源提供密钥和根证书时，将此属性设置为off。

2、可选参数:这些参数对于更新是可选的，即用户可以将其保留为默认值，并在启动Harbor后在WebUI.上进行更新。如果进入

Harbor.cfg，只会在第一次启动 Harbor 时生效，随后对这些参数的更新，Harbor.cfg 将被忽略。

注意:如果选择通过UI设置这些参数，请确保在启动Harbor 后立即执行此操作。具体来说，必须在注册或在Harbor中创建任何新用户之前设置所需的auth mode。当系统中有用户时(除了默认的admin 用户)，auth mode不能被修改。

具体参数如下:●Email: Harbor需要该参数才能向用户发送“密码重置"电子邮件，并且只有在需要该功能时才启用。请注意，在默认情况下SSL连接时没有启用。如果SMTP 服务器需要SSL， 但不支持STARTTLS， 那么应该通过设置启用SSL email_ _ssl = TRUE。

●harbor_ admin password: 管理员的初始密码，只在Harbor第一次启动时生效。之后，此设置将 被忽略，并且应在UI中设置管理员的密码。请注意，默认的用户名/密码是admin/ Harbor12345。

●auth mode:使用的认证类型，默认情况下，它是db auth， 即凭据存储在数据库中。对于LDAP身份验证，请将其设置为ldap_ auth。

●self_ registration: 启用/禁用用户注册功能。禁用时，新用户只能由Admin 用户创建，只有管理员用户可以在Harbor中创建新用户。注意:当auth_mode设置为ldap_auth时，自注册功能将始终处于禁用状态，并且该标志被忽略。

●Token_ expiration:由令牌服务创建的令牌的到期时间(分钟)，默认为30分钟。

●project creation restriction: 用于控制哪些用户有权创建项目的标志。默认情况下，每个人都可以创建一个项目。如果将其值设置为“adminonly"，那么只有admin 可以创建项目。

●verify remote cert:打开或关闭，默认打开。此标志决定了当Harbor与远程register 实例通信时是否验证SSL/TLS 证书。将此属性设置为off将绕过SSL/TLS验证，这在远程实例具有自签名或不可信证书时经常使用。

另外，默认情况下，Harbor将镜像存储在本地文件系统上。在生产环境中，可以考虑使用其他存储后端而不是本地文件系统，如S3、Openstack Swif、Ceph等对象存储。但需要更新common/ templates/registry/config.yml文件。Harbor的默认镜像存储路径在/data/ registry目录下，映射到docker容器里面的/storage 目录下。这个参数是在docker-compose. yml中指定的，在docker-compose up -d运行之前修改。如果希望将Docker镜像存储到其他的磁盘路径，可以修改这个参数。

3.启动Harborcd /usr/ local/harbor/在配置好了harbor.cfg 之后，执行./prepare 命令，为harbor启动的容器生成一些必要的文件 (环境)再执行命令. /install.sh以pull 镜像并启动容器

（4）此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下，Registry 服务器在端口 80 上侦听。//登录 Harbordocker login [-u admin -p Harbor12345] pull nginx

//将镜像打标签格式：docker tag 镜像:标签 仓库IP/项目名称/镜像名:标签docker tag nginx:latest 127.0.0.1/myproject-kgc/nginx:v1

//上传镜像到 Harbordocker push 127.0.0.1/myproject-kgc/nginx:v1

6.在其他客户端.上传镜像以上操作都是在Harbor 服务器本地操作。如果其他客户端登录到Harbor， 就会报如下错误。出现这问题的原因为Docker Registry交互默认使用的是HTTPS，但是搭建私有镜像默认使用的是HTTP服务，所以与私有镜像交互时出现以下错误。

docker login -u admin -p Harbor12345 168.11.18WARNING! Using --password via the CLI is insecure. Use --password-stdin.Error response from daemon: Get /192.168.80.10/v2/: dial tcp 192.168.11.18:443: connect: connection refused

(1)在Docker客户端配置操作//解决办法是:在Docker server启动的时候，增加启动参数，默认使用HTTP 访问。vim /usr/lib/ systemd/ system/ docker . service--13行--修改ExecStart=/usr/bin/dockerd -H fd:// -- insecure-registry 192.168.11.18 -- containerd=/ run/ containerd/ containerd. sockExecStart=/usr/bin/dockerd -- insecure- registry 192.168.11.18

//重启Docker， 再次登录sys temctl daemon- reloadsystemctl restart docker

//再次登录Harbordocker login -u admin -p Harbor12345 /192.168.11.18WARNING! Using --password via the CLI is insecure. Use --password-stdin.WARNING! Your password will be stored unencrypted in / root/ . docker/config. json.Login Succeeded

//将自动保存凭据到/root/.docker/config.json，下次登录时可直接使用凭据登录Harbor

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。