搭建Harbor企业级docker仓库

一、Harbor简介

1、简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，通过添加一些企业必需的功能特性，例如安全、标识和管理等，扩展了开源Docker Distribution。作为一个企业级私有Registry服务器，Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制，镜像全部保存在私有Registry中， 确保数据和知识产权在公司内部网络中管控。另外，Harbor也提供了高级的安全特性，诸如用户管理，访问控制和活动审计等。

2、特性

（1）基于角色的访问控制 ：用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。

（2）镜像复制 ： 镜像可以在多个Registry实例中复制（同步）。尤其适合于负载均衡，高可用，混合云和多云的场景。

（3）图形化用户界面 ： 用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。

（4）AD/LDAP 支持 ： Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。

（5）审计管理 ： 所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

（6）国际化 ： 已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。

（7）RESTful API ： RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

（8）部署简单 ： 提供在线和离线两种安装工具， 也可以安装到vSphere平台(OVA方式)虚拟设备。

3、组件

Harbor在架构上主要由6个组件构成：

（1）Proxy：Harbor的registry, UI, token等服务，通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务。

（2）Registry： 负责储存Docker镜像，并处理docker push/pull 命令。由于我们要对用户进行访问控制，即不同用户对Docker image有不同的读写权限，Registry会指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token 进行解密验证。

（3）Core services： 这是Harbor的核心功能，主要提供以下服务：

1）UI：提供图形化界面，帮助用户管理registry上的镜像（image）, 并对用户进行授权。

2）webhook：为了及时获取registry 上image状态变化的情况， 在Registry上配置webhook，把状态变化传递给UI模块。

3）token 服务：负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发起的请求,如果不包含token，会被重定向到这里，获得token后再重新向Registry进行请求。

（4）Database：为core services提供数据库服务，负责储存用户权限、审计日志、Docker image分组信息等数据。

（5）Job Services：提供镜像远程复制功能，可以把本地镜像同步到其他Harbor实例中。

（6）Log collector：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析。

各个组件之间的关系如下图所示：

4、Harbor构建

Harbor的每个组件都是以Docker容器的形式构建的，官方也是使用Docker Compose来对它进行部署。用于部署Harbor的Docker Compose模板位于 harbor/docker-compose.yml,打开这个模板文件，发现Harbor是由7个容器组成的；

（1）nginx：nginx负责流量转发和安全验证，对外提供的流量都是从nginx中转，所以开放https的443端口，它将流量分发到后端的ui和正在docker镜像存储的docker registry。

（2）harbor-jobservice：harbor-jobservice 是harbor的job管理模块，job在harbor里面主要是为了镜像仓库之前同步使用的;

（3）harbor-ui：harbor-ui是web管理页面，主要是前端的页面和后端CURD的接口;

（4）registry：registry就是docker原生的仓库，负责保存镜像。

（5）harbor-adminserver：harbor-adminserver是harbor系统管理接口，可以修改系统配置以及获取系统信息。

（6）harbor-db：harbor-db是harbor的数据库，这里保存了系统的job以及项目、人员权限管理。由于本harbor的认证也是通过数据，在生产环节大多对接到企业的ldap中；

（7）harbor-log：harbor-log是harbor的日志服务，统一管理harbor的日志。通过inspect可以看出容器统一将日志输出的syslog。

这几个容器通过Docker link的形式连接在一起，这样，在容器之间可以通过容器名字互相访问。对终端用户而言，只需要暴露proxy （即Nginx）的服务端口。

二、环境准备

1、生产环境

2、暂时关闭防火墙和selinux

3、服务下载地址：

docker源：wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

docker-compose：https://github.com/docker/compose/releases/

Harbor：https://github.com/goharbor/harbor/releases

三、搭建服务

1、安装docker-ce

#安装

# wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

# yum install docker-ce -y

#卸载

# yum remove docker-ce -y

卸载后images，containers，volumes，configuration files 是不能自动删除的，为了删除all images，containers，and volumes，请执行如下命令：

# rm -rf /var/lib/docker

2、安装docker-compose

方法一：二进制

（1）下载包

# wget  https://github.com/docker/compose/releases/download/1.22.0/docker-compose-Linux-x86_64

（2）安装服务

# mv docker-compose-Linux-x86_64 docker-compose

# cp docker-compose /usr/local/bin/

# chmod u+x /usr/local/bin/docker-compose

（3）根据自己的情况决定是否安装命令补全功能

# yum install bash-completion

（4）查看

# docker-compose

# docker-compose  version

（5）卸载

# rm  /usr/local/bin/docker-compose

方法二：pip

（1）安装

# yum install python-pip

# pip install  docker-compose

（2）卸载：

# pip uninstall  docker-compose

3、安装Harbor

（1）下载

# cd /usr/local/src/

# wget  https://storage.googleapis.com/harbor-releases/release-1.6.0/harbor-online-installer-v1.6.0.tgz

（2）解压文件

# tar -xvf harbor-online-installer-v1.6.0.tgz -C /usr/local/

# cd /usr/local/harbor/

（3）修改配置文件

# vim harbor.cfg

#域名配置

hostname = www.jiangjj.com

#邮箱配置

email_server = smtp.qq.com

email_server_port = 25

email_username = jiangjj@qq.com

email_password = 123456

email_from = admin <sample_admin@mydomain.com>

email_ssl = false

email_insecure = false

#禁止用户注册

self_registration = off

#设置只有管理员可以创建项目

project_creation_restriction = adminonly

（4）执行脚本

# ./prepare

# ./install.sh

（5）查看

# docker ps

或者

# docker-compose ps

（6）Harbor的启动和停止

启动Harbor

# docker-compose start

停止Harbor

# docker-comose stop

重启Harbor

# docker-compose restart

4、访问

在浏览器输入www.jiangjj.com，因为我配置的域名为www.jiangjj.com。

默认账号密码： admin / Harbor12345 登录后修改密码

http://www.jiangjj.com/

四、Harbor配置TLS证书

上面对Harbor的配置都是使用的http协议访问，但是为了安全性我们工作中一般都是配置https访问。在此，做一个简单的配置如下：

1、修改harbor配置文件（购买证书）

hostname = www.jiangjj.com

ui_url_protocol = https

ssl_cert = /etc/certs/jiangjj.com.crt

ssl_cert_key = /etc/certs/jiangjj.com.key

2、创建自签名证书key文件

# mkdir /etc/certs

# openssl genrsa -out /etc/certs/jiangjj.com.key 2048

3、创建自签名证书crt文件

# openssl req -x509 -new -nodes -key /etc/certs/jiangjj.com.key -subj "/CN=www.jiangjj.com" -days 5000 -out /etc/certs/jiangjj.com.crt

4、重新安装harbor

# ./prepare

./install.sh

5、配置客户端证书

# mkdir -p /etc/docker/certs.d/www.jiangjj.com

#把crt证书拷贝到新建目录下，重启docker即可

6、测试

五、测试上传下载镜像

1、在各个客户端修改docker

# vim /usr/lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --insecure-registry www.jiangjj.com

增加 --insecure-registry  www.jiangjj.com 即可。

重启docker：

# systemctl daemon-reload

# systemctl  restart docker

或者

创建/etc/docker/daemon.json文件，在文件中指定仓库地址

# cat > /etc/docker/daemon.json << EOF

{ "insecure-registries":["www.jiangjj.com"] }

EOF

然后重启docker就可以。

# systemctl  restart docker

2、上传镜像

如果不是自己的镜像需要打包

# docker tag centos:7.4.1708 www.jiangjj.com/jiangjj/centos:7.4.1708

#授权

# docker login www.jiangjj.com

#上传

# docker push www.jiangjj.com/jiangjj/centos:7.4.1708

在harbor查看如下图：

3、客户端拉去镜像

# docker pull www.jiangjj.com/jiangjj/centos:7.4.1708

即可