Harbor介绍
- 虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。
- Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。
- 它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制, AD/LDAP 集成,日志审核等功能,完全的支持中文。
Harbor 的主要功能
- 基于角色的访问控制
用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。 - 基于镜像的复制策略
镜像可以在多个Registry实例中复制(可以将仓库中的镜像同步到远程的Harbor,类似于MySQL主从同步功能),尤其适合于负载均衡,高可用,混合云和多云的场景。 - 图形化用户界面
用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。 - 支持 AD/LDAP
Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。 - 镜像删除和垃圾回收
Harbor支持在Web删除镜像,回收无用的镜像,释放磁盘空间。image可以被删除并且回收image占用的空间。 - 审计管理
所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。 - RESTful API
RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。 - 部署简单
提供在线和离线两种安装工具, 也可以安装到vSphere平台(OVA方式)虚拟设备。
Harbor 架构组件
- Proxy:反向代理工具
- Registry:负责存储docker镜像,处理上传/下载命令。对用户进行访问控制,它指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token,registry会通过公钥对token进行解密验证。
- Core service:Harbor的核心功能:
- 图形界面
- Webhook:及时获取registry上image状态变化情况,在registry上配置 webhook,把状态变化传递给UI模块。
- Token服务:复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向registry进行请求。
- Database:提供数据库服务,存储用户权限,审计日志,docker image分组信息等数据
- Log collector:为了帮助监控harbor运行,复责收集其他组件的log,供日后进行分析
Harbor 部署
环境、软件准备
OS:Centos 7.9(2 CPU,4 GB Mem,40 GB Disk)
Docker engine:Version 17.06.0-ce+ or higher
Docker Compose:Version 1.18.0 or higher
Harbor:Version 2.3.0
Docker & Docker Compose
安装Docker
# Set up repository
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
yum makecache
# Prerequisites install
yum install -y yum-utils device-mapper-persistent-data lvm2
# Use Aliyun docker repo
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum makecache fast
# Install Docker
yum install -y docker-ce
# Enable & Start Docker
systemctl enable docker
systemctl start docker
安装 Docker-Compose
curl -L https://get.daocloud.io/docker/compose/releases/download/1.29.2/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
Docker 参考博文:Docker 实践
安装 Harbor
## 在线安装包
wget https://github.com/goharbor/harbor/releases/download/v2.3.2/harbor-online-installer-v2.3.2.tgz
tar zxvf harbor-online-installer-v2.3.2.tgz
## 离线安装包
wget https://github.com/goharbor/harbor/releases/download/v2.3.2/harbor-offline-installer-v2.3.2.tgz
tar xzvf harbor-offline-installer-v2.3.2.tgz -C /usr/local/
安装包较大,github 速度不稳定,推荐下载事先下载好离线包
配置 Harbor
cd /usr/local/harbor
cp harbor.yml.tmpl harbor.yml
# 用于存放harbor的持久化数据
mkdir -p /opt/data/harbor
harbor.yml 配置文件主要参数
# 需要写IP地址或者域名
hostname: 192.168.66.100
# http 配置
http:
# port for http, default is 80. If https enabled, this port will redirect to https port
port: 80
# https配置(如不需要可不配置)
# https related config
# https:
# https port for harbor, default is 443
# port: 443
# The path of cert and key files for nginx
# certificate: /your/certificate/path
# private_key: /your/private/key/path
# admin密码
harbor_admin_password: Harbor12345
# 数据库配置
database:
# The password for the root user of Harbor DB. Change this before any production use.
password: root123
# The maximum number of connections in the idle connection pool. If it <=0, no idle connections are retained.
max_idle_conns: 50
# The maximum number of open connections to the database. If it <= 0, then there is no limit on the number of open connections.
# Note: the default number of connections is 100 for postgres.
max_open_conns: 100
# 持久化数据目录
data_volume: /opt/data/harbor
安装并启动 Harbor
./install.sh
安装完成后查看下正在运行的docker容器:
访问 harbor WEB 界面
Harbor 的使用(上传下载镜像)
服务管理
cd /usr/local/harbor
docker-compose stop
docker-compose start
登录 harbor
docker login 192.168.66.100
Docker自从1.3.X之后docker registry交互默认使用的是HTTPS,但是我们搭建私有镜像默认使用的是HTTP服务,所以与私有镜像交时出现以上错误。
报错解决:修改Docker的配置文件/etc/docker/daemon.json
vi /etc/docker/daemon.json
{
...
"insecure-registries":["192.168.66.100"]
}
systemctl restart docker
在Harbor上创建新项目供上传使用
给构建好的镜像打标签并上传到 harbor
下载镜像
以上就是基于Harbor组建企业级私有镜像仓库的全部过程。
