概述

简介

加粗样式

  • 虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。
  • Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。
  • 它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制, AD/LDAP 集成,日志审核等功能,完全的支持中文。

主要功能

  • 基于角色的访问控制

用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。

  • 基于镜像的复制策略

镜像可以在多个Registry实例中复制(可以将仓库中的镜像同步到远程的Harbor,类似于MySQL主从同步功能),尤其适合于负载均衡,高可用,混合云和多云的场景。

  • 图形化用户界面

用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。

  • 支持 AD/LDAP

Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。

  • 镜像删除和垃圾回收

Harbor支持在Web删除镜像,回收无用的镜像,释放磁盘空间。image可以被删除并且回收image占用的空间。

  • 审计管理

所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。

  • RESTful API

RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

  • 部署简单

提供在线和离线两种安装工具, 也可以安装到vSphere平台(OVA方式)虚拟设备。
Harbor 的所有组件都在 Docker 中部署,所以 Harbor 可使用 Docker Compose 快速部署。
注意: 由于 Harbor 是基于 Docker Registry V2 版本,所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0

架构组件

架构组件图:

私有仓库 能用密钥吗 私人仓库的优点_Docker


1、Proxy:反向代理工具

2、Registry:负责存储docker镜像,处理上传/下载命令。对用户进行访问控制,它指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token,registry会通过公钥对token进行解密验证。

3、Core service:Harbor的核心功能:

  • UI:图形界面
  • Webhook:及时获取registry上image状态变化情况,在registry上配置 webhook,把状态变化传递给UI模块。
  • Token服务:复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向registry进行请求。

4、Database:提供数据库服务,存储用户权限,审计日志,docker image分组信息等数据
5、Log collector:为了帮助监控harbor运行,复责收集其他组件的log,供日后进行分析

安装方式

方式一:下载安装包

前提:

1、确保docker和docker-compose安装

安装流程

1、创建文件夹
[root@localhost opt]# mkdir harbor
2、下载harbor离线安装包
wget https://storage.googleapis.com/harbor-releases/release-1.9.0/harbor-offline-installer-v1.9.0.tgz

私有仓库 能用密钥吗 私人仓库的优点_Docker_02

3、解压
tar xvf harbor-offline-installer-v1.9.0.tgz
4、编辑harbor配置文件
# 切换到harbor
cd harbor/

# 编辑harbor.yml配置
vim harbor.yml

修改hostname,这里是不支持使用localhost和127.0.0.1的

私有仓库 能用密钥吗 私人仓库的优点_nginx_03


默认的密码是这样子的,因为是演示,所以暂时便不修改它

私有仓库 能用密钥吗 私人仓库的优点_nginx_04

如果要修改数据的话,可以参考这里,因为目前没有域名和https证书,所以这一块我们便不理会它

# hostname设置访问地址,可以使用ip、域名,不可以设置为127.0.0.1或localhost
hostname = 192.168.126.162

# 访问协议,默认是http,也可以设置https,如果设置https,则nginx ssl需要设置on
ui_url_protocol = http

# mysql数据库root用户默认密码root123,实际使用时修改下
db_password = 123456

max_job_workers = 3 

customize_crt = on

ssl_cert = /data/cert/server.crt
ssl_cert_key = /data/cert/server.key

secretkey_path = /data

admiral_url = NA
# 邮件设置,发送重置密码邮件时使用
email_identity = 

email_server = smtp.mydomain.com
email_server_port = 25
email_username = sample_admin@mydomain.com
email_password = abc
email_from = admin <sample_admin@mydomain.com>
email_ssl = false

# 启动Harbor后,管理员UI登录的密码,默认是Harbor12345
harbor_admin_password = 123456

# 认证方式,这里支持多种认证方式,如LADP、本次存储、数据库认证。默认是db_auth,mysql数据库认证
auth_mode = db_auth

# LDAP认证时配置项
ldap_url = ldaps://ldap.mydomain.com
#ldap_searchdn = uid=searchuser,ou=people,dc=mydomain,dc=com
#ldap_search_pwd = password
ldap_basedn = ou=people,dc=mydomain,dc=com
#ldap_filter = (objectClass=person)
ldap_uid = uid
ldap_scope = 3
ldap_timeout = 5

# 是否开启自注册
self_registration = on

# token有效时间,默认30分钟
token_expiration = 30

# 用户创建项目权限控制,默认是everyone(所有人),也可以设置为adminonly(只能管理员)
project_creation_restriction = everyone

verify_remote_cert = on
5、执行./install.sh

执行之后的结果,可以发现harbor依赖于不少的镜像

私有仓库 能用密钥吗 私人仓库的优点_私有仓库 能用密钥吗_05

6、访问刚刚设置的host,登录

访问刚刚设置域名和端口

我的url是这个

http://192.168.56.10/ 之后便显示这个了

私有仓库 能用密钥吗 私人仓库的优点_Docker_06

7、登录

账号:admin

密码为刚刚harbor.yml设置的

私有仓库 能用密钥吗 私人仓库的优点_nginx_07

登录进来之后便可以看到页面了

私有仓库 能用密钥吗 私人仓库的优点_Docker_08

推送镜像到私人仓库

前提

  • 安装好harbor

流程

1、设置daemon.json

{
  "registry-mirrors": ["https://mos5bnjx.mirror.aliyuncs.com"],   //我这里的是阿里云的镜像
  "insecure-registries":["192.168.56.10"]  //这边需要
}

2、重启docker和docker-compose

restart docker && docker-compose start

3、登录harbor

账号密码为yml中设置的,如果没有修改的话

[root@localhost harbor]# docker login 192.168.56.10
Username: admin
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

4、查看镜像

docker images

私有仓库 能用密钥吗 私人仓库的优点_nginx_09


可以查看到很多安装harbor的时候自己安装的镜像现在以goharbor/nginx-photon 为例子,为其打一个标签

私有仓库 能用密钥吗 私人仓库的优点_docker_10

5、打标签

[root@localhost harbor]# docker tag goharbor/nginx-photon:v1.9.0 192.168.56.10/nginx/nginx:v1

打完标签生成新镜像之后查看一下

docker images

私有仓库 能用密钥吗 私人仓库的优点_私有仓库 能用密钥吗_11

私有仓库 能用密钥吗 私人仓库的优点_私有仓库 能用密钥吗_12

6、推送

[root@localhost harbor]# docker push 192.168.56.10/nginx/nginx:v1

私有仓库 能用密钥吗 私人仓库的优点_私有仓库 能用密钥吗_13

之后在harbor中的nginx项目,就有一个镜像了

私有仓库 能用密钥吗 私人仓库的优点_Docker_14

其他指令

#删除harbors的镜像保留数据库和镜像数据
docker-compose down -v
 
#删除harbor的数据库和数据,相当于重装
rm -r /data/database
rm -r /data/registry

功能模块

用户

创建用户

私有仓库 能用密钥吗 私人仓库的优点_nginx_15

设置管理员

私有仓库 能用密钥吗 私人仓库的优点_Docker_16


私有仓库 能用密钥吗 私人仓库的优点_docker_17