Harbor介绍

  • 虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。
  • Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。
  • 它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制, AD/LDAP 集成,日志审核等功能,完全的支持中文。
    image.png

Harbor 的主要功能

  • 基于角色的访问控制
    用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。
  • 基于镜像的复制策略
    镜像可以在多个Registry实例中复制(可以将仓库中的镜像同步到远程的Harbor,类似于MySQL主从同步功能),尤其适合于负载均衡,高可用,混合云和多云的场景。
  • 图形化用户界面
    用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。
  • 支持 AD/LDAP
    Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。
  • 镜像删除和垃圾回收
    Harbor支持在Web删除镜像,回收无用的镜像,释放磁盘空间。image可以被删除并且回收image占用的空间。
  • 审计管理
    所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
  • RESTful API
    RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。
  • 部署简单
    提供在线和离线两种安装工具, 也可以安装到vSphere平台(OVA方式)虚拟设备。

Harbor 架构组件

image.png

  • Proxy:反向代理工具
  • Registry:负责存储docker镜像,处理上传/下载命令。对用户进行访问控制,它指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token,registry会通过公钥对token进行解密验证。
  • Core service:Harbor的核心功能:
  • 图形界面
    • Webhook:及时获取registry上image状态变化情况,在registry上配置 webhook,把状态变化传递给UI模块。
    • Token服务:复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向registry进行请求。
  • Database:提供数据库服务,存储用户权限,审计日志,docker image分组信息等数据
  • Log collector:为了帮助监控harbor运行,复责收集其他组件的log,供日后进行分析

Harbor 部署

环境、软件准备

OS:Centos 7.9(2 CPU,4 GB Mem,40 GB Disk)
Docker engine:Version 17.06.0-ce+ or higher
Docker Compose:Version 1.18.0 or higher
Harbor:Version 2.3.0

Docker & Docker Compose

安装Docker

# Set up repository
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak

curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo

yum makecache


# Prerequisites install 
yum install -y yum-utils device-mapper-persistent-data lvm2


# Use Aliyun docker repo
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

yum makecache fast


# Install Docker
yum install -y docker-ce


# Enable & Start Docker
systemctl enable docker
systemctl start docker

安装 Docker-Compose

curl -L https://get.daocloud.io/docker/compose/releases/download/1.29.2/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

Docker 参考博文:Docker 实践

安装 Harbor

## 在线安装包
wget https://github.com/goharbor/harbor/releases/download/v2.3.2/harbor-online-installer-v2.3.2.tgz
tar zxvf harbor-online-installer-v2.3.2.tgz

## 离线安装包
wget https://github.com/goharbor/harbor/releases/download/v2.3.2/harbor-offline-installer-v2.3.2.tgz
tar xzvf harbor-offline-installer-v2.3.2.tgz -C /usr/local/

安装包较大,github 速度不稳定,推荐下载事先下载好离线包

配置 Harbor

image.png

cd /usr/local/harbor

cp harbor.yml.tmpl  harbor.yml

# 用于存放harbor的持久化数据
mkdir -p /opt/data/harbor

harbor.yml 配置文件主要参数

# 需要写IP地址或者域名
hostname: 192.168.66.100
# http 配置
http:
# port for http, default is 80. If https enabled, this port will redirect to https port
port: 80                       

# https配置(如不需要可不配置)
# https related config
# https:
# https port for harbor, default is 443
# port: 443
# The path of cert and key files for nginx
# certificate: /your/certificate/path
# private_key: /your/private/key/path

# admin密码
harbor_admin_password: Harbor12345

# 数据库配置
database:
# The password for the root user of Harbor DB. Change this before any production use.
password: root123
# The maximum number of connections in the idle connection pool. If it <=0, no idle connections are retained.
max_idle_conns: 50
# The maximum number of open connections to the database. If it <= 0, then there is no limit on the number of open connections.
# Note: the default number of connections is 100 for postgres.
max_open_conns: 100

# 持久化数据目录
data_volume: /opt/data/harbor

安装并启动 Harbor

./install.sh

image.png
安装完成后查看下正在运行的docker容器:
image.png
访问 harbor WEB 界面
image.png
image.png

Harbor 的使用(上传下载镜像)

服务管理

cd /usr/local/harbor

docker-compose stop
docker-compose start

登录 harbor

docker login 192.168.66.100

Docker自从1.3.X之后docker registry交互默认使用的是HTTPS,但是我们搭建私有镜像默认使用的是HTTP服务,所以与私有镜像交时出现以上错误。
报错解决:修改Docker的配置文件/etc/docker/daemon.json

vi /etc/docker/daemon.json 

{
    ...
    "insecure-registries":["192.168.66.100"]
}

systemctl restart docker

在Harbor上创建新项目供上传使用

image.png

给构建好的镜像打标签并上传到 harbor

image.png

下载镜像

image.png

image.png

以上就是基于Harbor组建企业级私有镜像仓库的全部过程。