Docker-Harbor私有仓库部署与管理

Docker-Harbor私有仓库部署与管理

(1)什么是Harbor

Harbor是VMware公司开源的企业级Docker Registry 项目，其目标是帮助用户迅速搭建一个 企业级的Docker Registry服务。

Harbor以Docker 公司开源的Registry 为基础，提供了图形管理UI、基于角色的访问控制(Role Based AccessControl)、 AD/LDAP集成、以及审计日志(Auditlogging)等企业用户需求的功能，同时还原生支持中文。

Harbor的每个组件都是以Docker容器的形式构建的，使用docker-compose 来对它进行部署。用于部署Harbor的docker- compose模板位于harbor /docker- compose . yml。

(2) Harbor 的特性

1、基于角色控制:用户和仓库都是基于项目进行组织的，而用户在项目中可以拥有不同的权限。2、基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制(同步)3、支持LDAP/AD: Harbor 可以集成企业内部已有的AD/LDAP (类似数据库的一 张表)，用于对已经存在的用户认证和管理。4、镜像删除和垃圾回收:镜像可以被删除，也可以回收镜像占用的空间。5、图形化用户界面:用户可以通过浏览器来浏览，搜索镜像仓库以及对项目进行管理。6、审计管理:所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。7、支持RESTful API: RESTful API提供给管理员对于Harbor 更多的操控，使得与其它管理软件集成变得更容易。8、Harbor和docker registry的关系: Harbor实质上是对docker registry做了封装，扩展了自己的业务模板。

(3) Harbor的构成

Harbor在架构.上主要有==Proxy、 Registry、 Core services、 Database ( Harbor-db)、Log collector (Harbor-log) 、Job services==六个组件。

●Proxy:是一个nginx的前端代理，Harbor 的Registry、 UI、Token 服务等组件，都处在nginx 反向代理后边。该代理将来自浏览器、docker clients 的请求转发到后端不同的服务上。

●Registry:负责储存Docker 镜像，并处理Docker push/pull 命令。由于要对用户进行访问控制，即不同用户对Docker 镜像有不同的读写权限，Registry 会指向一个Token服务，强制用户的每次Docker pull/push 请求都要携带一个 合法的Token,Reqistry会通过公钥对Token进行解密验证。

●Core services: Harbor的核心功能，主要提供以下3个服务:1) UI (harbor-ui) :提供图形化界面，帮助用户管理Registry. 上的镜像( image)，并对用户进行授权。2) WebHook: 为了及时获取Registry.上image 状态变化的情况，在Registry. 上配置 Webhook， 把状态变化传递给UI模块。3) Token服务:负责根据用户权限给每个Docker push/pull 命令签发Token。 Docker 客户端向Registry 服务发起的请求，如果不包含Token，会被重定向到Token 服务，获得Token后再重新向Registry 进行请求。

●Database (harbor -db) :为core services提 供数据库服务，负责储存用户权限、审计日志、Docker 镜像分组信息等数据。

●Job services:主要用于镜像复制，本地镜像可以被同步到远程Harbor实例上。

Harbor 的每个组件都是以Docker 容器的形式构建的，因此，使用Docker Compose来对它进行部署。总共分为7个容器运行，通过在docker- compose. yml所在目录中执行docker-compose ps命令来查看, 名称分别为: nginx、 harbor- jobservice、harbor-ui、 harbor -db、harbor- adminserver、registry、 harbor-log。其中harbor-adminserver主要是作为一个后端的配置数据管理，并没有太多的其他功能。harbor-ui所要操作的所有数据都通过harbor-adminserver 这样一 个数据配置管理中心来完成。

Harbor部署

Harbor部署 Harbor服务器 192.168.11.18 1.部署Docker-Compose 服务 //下载或者上传Docker- Compose curl -L L Lgi thub. com/ docker/ compose/ releases/ download/1。21.1/docker-compose-、uname -s、- uname -m° -o /usr/ local /bin/docker- compose chmod +x /usr/local/bin/docker- compose docker-compose -V

2.部署Harbor服务 (1) 下载或上传Harbor 安装程序 wget L /harbor . orientsoft . cn/harbor = 1.2.2/harbor -offline - installer -v1.2.2. tgz tar zxvf harbor-offl ine- installer-v1.2.2.tgz -C /usr/ local/ (2)修改harbor安装的配置文件 vim /usr/ local/harbor/harbor. cfg --5行--修改，设置为Harbor服务器的IP地址或者域名 hostname = 192.168.11.18 --59行--指定管理员的初始密码，默认的用户名/密码是admin/Harbor12345 harbor_ admin_ password = Harbor12345

关于Harbor.cfg配置文件中有两类参数:|所需参数和可选参数T 1、所需参数:这些参数需要在配置文件Harbor.cfg 中设置。如果用户更新它们并运行install.sh 脚本重新安装Harbor, 参数将生效。具体参数如下: ●hostname:用于访问用户界面和register 服务。它应该是目标机器的IP 地址或完全限定的域名(FQDN) ，例如192. 168.11.10或 hub. kgc.cn。不要使用localhost 或127.0.0.1 为主机名。 ●ui_ _url_ protocol: (默认为http)用于访问UI和令牌/通知服务的协议。如果公证处于启用状态，则此参数必须为 https。 ●max_ job_ workers: 镜像复制作业线程。 ●db_ password: 用于db_ auth的MySQL数据库root用户的密码。 ●customize crt: 该属性可设置为打开或关闭，默认打开。打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌。当由 外部来源提供密钥和根证书时，将此属性设置为off。 2、可选参数:这些参数对于更新是可选的，即用户可以将其保留为默认值，并在启动Harbor后在WebUI.上进行更新。如果进入 Harbor.cfg，只会在第一次启动 Harbor 时生效，随后对这些参数的更新，Harbor.cfg 将被忽略。 注意:如果选择通过UI设置这些参数，请确保在启动Harbor 后立即执行此操作。具体来说，必须在注册或在Harbor 中创建任何新用户之前设置所需的auth_ mode。当系统中有用户时(除了默认的admin 用户)，auth_ mode不能被修改。 具体参数如下: ●Email: Harbor 需要该参数才能向用户发送“密码重置"电子邮件，并且只有在需要该功能时才启用。请注意，在默认情况下SSL 连接时没有启用。如果SMTP 服务器需要SSL， 但不支持STARTTLS， 那么应该通过设置启用SSL email_ _ssl = TRUE。 ●harbor_ _admin_ password: 管理员的初始密码，只在Harbor第一次启动时生效。之后，此设置将 被忽略，并且应在UI 中设置管理员的密码。请注意，默认的用户名/密码是admin/ Harbor12345。 ●auth_ mode:使用的认证类型，默认情况下，它是db_ auth， 即凭据存储在数据库中。对于LDAP身份验证，请将其设置为ldap_ auth。 ●self_ registration: 启用/禁用用户注册功能。禁用时，新用户只能由Admin 用户创建，只有管理员用户可以在Harbor 中创建新用户。注意:当auth_mode设置为ldap_auth时，自注册功能将始终处于禁用状态，并且该标志被忽略。 ●Token_ expiration: 由令牌服务创建的令牌的到期时间(分钟)，默认为30分钟。 ●project_ creation_ restriction: 用于控制哪些用户有权创建项目的标志。默认情况下，每个人都可以创建一个项目。如果将其值设置为“adminonly"，那么只有admin 可以创建项目。 ●verify_ remote_ cert:打开或关闭，默认打开。此标志决定了当Harbor与远程register 实例通信时是否验证SSL/TLS 证书。 将此属性设置为off将绕过SSL/TLS验证，这在远程实例具有自签名或不可信证书时经常使用。 另外，默认情况下，Harbor将镜像存储在本地文件系统上。在生产环境中，可以考虑使用其他存储后端而不是本地文件系统，如 S3、Openstack Swif、Ceph等对象存储。但需要更新common/ templates/registry/config.yml文件。 Harbor的默认镜像存储路径在/data/ registry目录下，映射到docker容器里面的/storage 目录下。 这个参数是在docker-compose. yml中指定的，在docker-compose up -d运行之前修改。 如果希望将Docker镜像存储到其他的磁盘路径，可以修改这个参数。

3.启动Harbor cd /usr/ local/harbor/ 在配置好了harbor.cfg 之后，执行./prepare 命令，为harbor启动的容器生成一些必要的文件 (环境) 再执行命令. /install.sh以pull 镜像并启动容器

4. 查看 Harbor 启动镜像 cd /usr/local/harbor/ docker-compose ps

6.在其他客户端.上传镜像 以上操作都是在Harbor 服务器本地操作。如果其他客户端登录到Harbor， 就会报如下错误。出现这问题的原因为Docker Registry 交互默认使用的是HTTPS，但是搭建私有镜像默认使用的是HTTP服务，所以与私有镜像交互时出现以下错误。 docker login -u admin -p Harbor12345 168.11.18 WARNING! Using --password via the CLI is insecure. Use --password-stdin. Error response from daemon: Get /192.168.80.10/v2/: dial tcp 192.168.11.18:443: connect: connection refused (1)在Docker客户端配置操作 //解决办法是:在Docker server启动的时候，增加启动参数，默认使用HTTP 访问。 vim /usr/lib/ systemd/ system/ docker . service --13行--修改 ExecStart=/usr/bin/dockerd -H fd:// -- insecure-registry 192.168.11.18 -- containerd=/ run/ containerd/ containerd. sock ExecStart=/usr/bin/dockerd -- insecure- registry 192.168.11.18 //重启Docker， 再次登录 sys temctl daemon- reload systemctl restart docker //再次登录Harbor docker login -u admin -p Harbor12345 /192.168.11.18 WARNING! Using --password via the CLI is insecure. Use --password-stdin. WARNING! Your password will be stored unencrypted in / root/ . docker/config. json. Login Succeeded //将自动保存凭据到/root/.docker/config.json，下次登录时可直接使用凭据登录Harbor

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。