一、Harbor简介

1、简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。

2、特性

(1)基于角色的访问控制 :用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。

(2)镜像复制 : 镜像可以在多个Registry实例中复制(同步)。尤其适合于负载均衡,高可用,混合云和多云的场景。

(3)图形化用户界面 : 用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。

(4)AD/LDAP 支持 : Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。

(5)审计管理 : 所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。

(6)国际化 : 已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。

(7)RESTful API : RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

(8)部署简单 : 提供在线和离线两种安装工具, 也可以安装到vSphere平台(OVA方式)虚拟设备。

3、组件

Harbor在架构上主要由6个组件构成:

(1)Proxy:Harbor的registry, UI, token等服务,通过一个前置的反向代理统一接收浏览器、Docker客户端的请求,并将请求转发给后端不同的服务。

(2)Registry: 负责储存Docker镜像,并处理docker push/pull 命令。由于我们要对用户进行访问控制,即不同用户对Docker image有不同的读写权限,Registry会指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token 进行解密验证。

(3)Core services: 这是Harbor的核心功能,主要提供以下服务:

1)UI:提供图形化界面,帮助用户管理registry上的镜像(image), 并对用户进行授权。

2)webhook:为了及时获取registry 上image状态变化的情况, 在Registry上配置webhook,把状态变化传递给UI模块。

3)token 服务:负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向Registry进行请求。

(4)Database:为core services提供数据库服务,负责储存用户权限、审计日志、Docker image分组信息等数据。

(5)Job Services:提供镜像远程复制功能,可以把本地镜像同步到其他Harbor实例中。

(6)Log collector:为了帮助监控Harbor运行,负责收集其他组件的log,供日后进行分析。

各个组件之间的关系如下图所示:

1.png

4、Harbor构建

Harbor的每个组件都是以Docker容器的形式构建的,官方也是使用Docker Compose来对它进行部署。用于部署Harbor的Docker Compose模板位于 harbor/docker-compose.yml,打开这个模板文件,发现Harbor是由7个容器组成的;

(1)nginx:nginx负责流量转发和安全验证,对外提供的流量都是从nginx中转,所以开放https的443端口,它将流量分发到后端的ui和正在docker镜像存储的docker registry。

(2)harbor-jobservice:harbor-jobservice 是harbor的job管理模块,job在harbor里面主要是为了镜像仓库之前同步使用的;

(3)harbor-ui:harbor-ui是web管理页面,主要是前端的页面和后端CURD的接口;

(4)registry:registry就是docker原生的仓库,负责保存镜像。

(5)harbor-adminserver:harbor-adminserver是harbor系统管理接口,可以修改系统配置以及获取系统信息。

(6)harbor-db:harbor-db是harbor的数据库,这里保存了系统的job以及项目、人员权限管理。由于本harbor的认证也是通过数据,在生产环节大多对接到企业的ldap中;

(7)harbor-log:harbor-log是harbor的日志服务,统一管理harbor的日志。通过inspect可以看出容器统一将日志输出的syslog。

这几个容器通过Docker link的形式连接在一起,这样,在容器之间可以通过容器名字互相访问。对终端用户而言,只需要暴露proxy (即Nginx)的服务端口。

二、环境准备

1、生产环境

名称

版本

系统环境

CentOS Linux release 7.5.1804 (Core)

docker-ce

Docker version 18.09.0

docker-compose

1.22.0

Harbor

v1.6.0

安装位置

/usr/local/harbor

2、暂时关闭防火墙和selinux

3、服务下载地址:

docker源:wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

docker-compose:https://github.com/docker/compose/releases/

Harbor:https://github.com/goharbor/harbor/releases

三、搭建服务

1、安装docker-ce

#安装

# wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

# yum install docker-ce -y

2.png

#卸载

# yum remove docker-ce -y

卸载后images,containers,volumes,configuration files 是不能自动删除的,为了删除all images,containers,and volumes,请执行如下命令:

# rm -rf /var/lib/docker

2、安装docker-compose

方法一:二进制

(1)下载包

# wget  https://github.com/docker/compose/releases/download/1.22.0/docker-compose-Linux-x86_64

(2)安装服务

# mv docker-compose-Linux-x86_64 docker-compose

# cp docker-compose /usr/local/bin/

# chmod u+x /usr/local/bin/docker-compose

(3)根据自己的情况决定是否安装命令补全功能

# yum install bash-completion

(4)查看

# docker-compose

# docker-compose  version

3.png

(5)卸载

# rm  /usr/local/bin/docker-compose

方法二:pip

(1)安装

# yum install python-pip

# pip install  docker-compose

(2)卸载:

# pip uninstall  docker-compose

3、安装Harbor

(1)下载

# cd /usr/local/src/

# wget  https://storage.googleapis.com/harbor-releases/release-1.6.0/harbor-online-installer-v1.6.0.tgz

(2)解压文件

# tar -xvf harbor-online-installer-v1.6.0.tgz -C /usr/local/

# cd /usr/local/harbor/

(3)修改配置文件

# vim harbor.cfg

#域名配置

hostname = www.jiangjj.com

#邮箱配置

email_server = smtp.qq.com

email_server_port = 25

email_username = jiangjj@qq.com

email_password = 123456

email_from = admin <sample_admin@mydomain.com>

email_ssl = false

email_insecure = false

#禁止用户注册

self_registration = off

#设置只有管理员可以创建项目

project_creation_restriction = adminonly

(4)执行脚本

# ./prepare

4.png

# ./install.sh

5.png

(5)查看

# docker ps

6.png

或者

# docker-compose ps

7.png

(6)Harbor的启动和停止

启动Harbor

# docker-compose start

停止Harbor

# docker-comose stop

重启Harbor

# docker-compose restart

4、访问

在浏览器输入www.jiangjj.com,因为我配置的域名为www.jiangjj.com。

默认账号密码: admin / Harbor12345 登录后修改密码

http://www.jiangjj.com/

8.png

四、Harbor配置TLS证书

上面对Harbor的配置都是使用的http协议访问,但是为了安全性我们工作中一般都是配置https访问。在此,做一个简单的配置如下:

1、修改harbor配置文件(购买证书)

hostname = www.jiangjj.com

ui_url_protocol = https

ssl_cert = /etc/certs/jiangjj.com.crt

ssl_cert_key = /etc/certs/jiangjj.com.key

2、创建自签名证书key文件

# mkdir /etc/certs

# openssl genrsa -out /etc/certs/jiangjj.com.key 2048

3、创建自签名证书crt文件

# openssl req -x509 -new -nodes -key /etc/certs/jiangjj.com.key -subj "/CN=www.jiangjj.com" -days 5000 -out /etc/certs/jiangjj.com.crt

4、重新安装harbor

# ./prepare

./install.sh

9.png

5、配置客户端证书

# mkdir -p /etc/docker/certs.d/www.jiangjj.com

#把crt证书拷贝到新建目录下,重启docker即可

6、测试

10.png

五、测试上传下载镜像

1、在各个客户端修改docker

# vim /usr/lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --insecure-registry www.jiangjj.com

增加 --insecure-registry  www.jiangjj.com 即可。

重启docker:

# systemctl daemon-reload

# systemctl  restart docker

或者

创建/etc/docker/daemon.json文件,在文件中指定仓库地址

# cat > /etc/docker/daemon.json << EOF

{ "insecure-registries":["www.jiangjj.com"] }

EOF

然后重启docker就可以。

# systemctl  restart docker

2、上传镜像

如果不是自己的镜像需要打包

# docker tag centos:7.4.1708 www.jiangjj.com/jiangjj/centos:7.4.1708

#授权

# docker login www.jiangjj.com

#上传

# docker push www.jiangjj.com/jiangjj/centos:7.4.1708

在harbor查看如下图:

11.png

3、客户端拉去镜像

# docker pull www.jiangjj.com/jiangjj/centos:7.4.1708

即可