部署企业私有仓库往往是很有必要的, 他可以帮助你管理企业的一些敏感镜像同时由于Docker Hub的下载速度和GFW的原因, 往往需要将一些无法直接下载的镜像导入本地私有仓库而Harbor就是部署企业私有仓库的一个不二之选。1.
1 .什么是harbor?
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器。
镜像的存储harbor使用的是官方的docker registry(v2命名是distribution)服务去完成。
harbor在docker distribution的基础上增加了一些安全、访问控制、管理的功能以满足企业对于镜像仓库的需求。
harbor以docker-compose的规范形式组织各个组件,并通过docker-compose工具进行启停。
docker的registry用本地存储或者s3都可以的,harbor的功能是在此之上提供用户权限管理、镜像复制等功能,提高使用的registry的效率。Harbor的镜像拷贝功能是通过docker registry的API去拷贝,这种做法屏蔽了繁琐的底层文件操作、不仅可以利用现有docker registry功能不必重复造轮子,而且可以解决冲突和一致性的问题。
Harbor是VMware公司开源了企业级Registry项目, 其的目标是帮助用户迅速搭建一个企业级的Docker registry服务。
它以Docker公司开源的registry为基础,额外提供了如下功能:
基于角色的访问控制(Role Based Access Control)
基于策略的镜像复制(Policy based image replication)
镜像的漏洞扫描(Vulnerability Scanning)
AD/LDAP集成(LDAP/AD support)
镜像的删除和空间清理(Image deletion & garbage collection)
友好的管理UI(Graphical user portal)
审计日志(Audit logging)
RESTful API
部署简单(Easy deployment)
2.Harbor的架构
Harbor依赖的外部组件
Nginx(Proxy): Harbor的registry,UI,token等服务,通过一个前置的反向代理统一接收浏览器、Docker客户端的请求,并将请求转发给后端不同的服务。
Registry v2: Docker官方镜像仓库, 负责储存Docker镜像,并处理docker push/pull命令。由于我们要对用户进行访问控制,即不同用户对Docker image有不同的读写权限,Registry会指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token进行解密验证。
Database(MySQL):为core services提供数据库服务,负责储存用户权限、审计日志、Docker image分组信息等数据。
Harbor自己组件
Core services(Admin Server): 这是Harbor的核心功能,主要提供以下服务:
UI:提供图形化界面,帮助用户管理registry上的镜像(image), 并对用户进行授权。
webhook:为了及时获取registry 上image状态变化的情况, 在Registry上配置webhook,把状态变化传递给UI模块。
Auth服务:负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regi?stry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向Registry进行请求。
API: 提供Harbor RESTful API
Replication Job Service:提供多个 Harbor 实例之间的镜像同步功能。
3.主要组件的汇总
| Proxy | 对应启动组件nginx。它是一个nginx反向代理,代理Notary client(镜像认证)、Docker client(镜像上传下载等)和浏览器的访问请求(Core Service)给后端的各服务 |
|---|---|
| UI(Core Service)对应启动组件harbor-ui。底层数据存储使用mysql数据库,主要提供了四个子功能: | UI:一个web管理页面ui;API:Harbor暴露的API服务;Auth:用户认证服务,decode后的token中的用户信息在这里进行认证;auth后端可以接db、ldap、uaa三种认证实现; |
| Token服务(上图中未体现) | 负责根据用户在每个project中的role来为每一个docker push/pull命令issuing一个token,如果从docker client发送给registry的请求没有带token,registry会重定向请求到token服务创建token |
| Registry | 对应启动组件registry。负责存储镜像文件,和处理镜像的pull/push命令。Harbor对镜像进行强制的访问控制,Registry会将客户端的每个pull、push请求转发到token服务来获取有效的token |
| Admin Service | 对应启动组件harbor-adminserver。是系统的配置管理中心附带检查存储用量,ui和jobserver启动时候需要加载adminserver的配置 |
| Job Sevice | 对应启动组件harbor-jobservice。负责镜像复制工作的,他和registry通信,从一个registry pull镜像然后push到另一个registry,并记录job_log |
| Log Collector | 对应启动组件harbor-log。日志汇总组件,通过docker的log-driver把日志汇总到一起 |
| Volnerability Scanning | 对应启动组件clair。负责镜像扫描 |
| Notary | 对应启动组件notary。负责镜像认证 |
| DB | 对应启动组件harbor-db,负责存储project、 user、 role、replication、image_scan、access等的metadata数据 |
4. harbor部署准备
[root@server1 ~]# ls
harbor-offline-installer-v1.10.1.tgz
解压到/opt目录
[root@server1 opt]# ls
containerd docker harbor registry
[root@server1 opt]# cd harbor/
[root@server1 harbor]# ls
common.sh harbor.v1.10.1.tar.gz harbor.yml install.sh LICENSE prepare
[root@server1 harbor]# vim harbor.yml
修改配置文件的主机名和密码
5. 安装docker-compose
arbor依赖docker-compose 做单机编排。所以我们需要安装docker-compose
[root@server1 harbor]# mv /usr/local/bin/docker-compose-Linux-x86_64-1.24.1 /usr/local/bin/docker-compose #改名
[root@server1 harbor]# chmod +x /usr/local/bin/docker-compose #给执行权限
[root@server1 harbor]# cd /usr/local/bin/
[root@server1 bin]# ll
total 15792
-rwxr-xr-x 1 root root 16168192 Jul 26 22:06 docker-compose
6. 启动harbor
修改配置文件
[root@server1 harbor]# ./prepare #更新配置文件
[root@server1 harbor]# ./install.sh #安装
在真机中解析
浏览器中访问https://westos.org/
登陆之后可以查看仓库里面的镜像,可以上传和删除镜像
也可以创建用户
[root@server1 ~]# docker tag westos.org/nginx:latest westos.org/nginx/nginx
[root@server1 ~]# docker push westos.org/nginx/nginx
The push refers to repository [westos.org/nginx/nginx]
e3135447ca3e: Pushed
b85734705991: Pushed
988d9a3509bb: Pushed
59b01b87c9e7: Pushed
7c0b223167b9: Pushed
814bff734324: Pushed
latest: digest: sha256:3f13b4376446cf92b0cb9a5c46ba75d57c41f627c4edb8b635fa47386ea29e20 size: 1570
还可以进行删除创建用户等等操作。