搭建Harbor企業級docker倉庫

一、Harbor簡介

1、簡介

Harbor是一個用于存儲和分發Docker鏡像的企業級Registry服務器，通過添加一些企業必需的功能特性，例如安全、標識和管理等，擴展了開源Docker Distribution。作為一個企業級私有Registry服務器，Harbor提供了更好的性能和安全。提升用戶使用Registry構建和運行環境傳輸鏡像的效率。Harbor支持安裝在多個Registry節點的鏡像資源復制，鏡像全部保存在私有Registry中， 確保數據和知識產權在公司內部網絡中管控。另外，Harbor也提供了高級的安全特性，諸如用戶管理，訪問控制和活動審計等。

2、特性

（1）基于角色的訪問控制 ：用戶與Docker鏡像倉庫通過“項目”進行組織管理，一個用戶可以對多個鏡像倉庫在同一命名空間（project）里有不同的權限。

（2）鏡像復制 ： 鏡像可以在多個Registry實例中復制（同步）。尤其適合于負載均衡，高可用，混合云和多云的場景。

（3）圖形化用戶界面 ： 用戶可以通過瀏覽器來瀏覽，檢索當前Docker鏡像倉庫，管理項目和命名空間。

（4）AD/LDAP 支持 ： Harbor可以集成企業內部已有的AD/LDAP，用于鑒權認證管理。

（5）審計管理 ： 所有針對鏡像倉庫的操作都可以被記錄追溯，用于審計管理。

（6）國際化 ： 已擁有英文、中文、德文、日文和俄文的本地化版本。更多的語言將會添加進來。

（7）RESTful API ： RESTful API 提供給管理員對于Harbor更多的操控, 使得與其它管理軟件集成變得更容易。

（8）部署簡單 ： 提供在線和離線兩種安裝工具， 也可以安裝到vSphere平臺(OVA方式)虛擬設備。

3、組件

Harbor在架構上主要由6個組件構成：

（1）Proxy：Harbor的registry, UI, token等服務，通過一個前置的反向代理統一接收瀏覽器、Docker客戶端的請求，并將請求轉發給后端不同的服務。

（2）Registry： 負責儲存Docker鏡像，并處理docker push/pull 命令。由于我們要對用戶進行訪問控制，即不同用戶對Docker image有不同的讀寫權限，Registry會指向一個token服務，強制用戶的每次docker pull/push請求都要攜帶一個合法的token, Registry會通過公鑰對token 進行解密驗證。

（3）Core services： 這是Harbor的核心功能，主要提供以下服務：

1）UI：提供圖形化界面，幫助用戶管理registry上的鏡像（image）, 并對用戶進行授權。

2）webhook：為了及時獲取registry 上image狀態變化的情況， 在Registry上配置webhook，把狀態變化傳遞給UI模塊。

3）token 服務：負責根據用戶權限給每個docker push/pull命令簽發token. Docker 客戶端向Regi?stry服務發起的請求,如果不包含token，會被重定向到這里，獲得token后再重新向Registry進行請求。

（4）Database：為core services提供數據庫服務，負責儲存用戶權限、審計日志、Docker image分組信息等數據。

（5）Job Services：提供鏡像遠程復制功能，可以把本地鏡像同步到其他Harbor實例中。

（6）Log collector：為了幫助監控Harbor運行，負責收集其他組件的log，供日后進行分析。

各個組件之間的關系如下圖所示：

4、Harbor構建

Harbor的每個組件都是以Docker容器的形式構建的，官方也是使用Docker Compose來對它進行部署。用于部署Harbor的Docker Compose模板位于 harbor/docker-compose.yml,打開這個模板文件，發現Harbor是由7個容器組成的；

（1）nginx：nginx負責流量轉發和安全驗證，對外提供的流量都是從nginx中轉，所以開放https的443端口，它將流量分發到后端的ui和正在docker鏡像存儲的docker registry。

（2）harbor-jobservice：harbor-jobservice 是harbor的job管理模塊，job在harbor里面主要是為了鏡像倉庫之前同步使用的;

（3）harbor-ui：harbor-ui是web管理頁面，主要是前端的頁面和后端CURD的接口;

（4）registry：registry就是docker原生的倉庫，負責保存鏡像。

（5）harbor-adminserver：harbor-adminserver是harbor系統管理接口，可以修改系統配置以及獲取系統信息。

（6）harbor-db：harbor-db是harbor的數據庫，這里保存了系統的job以及項目、人員權限管理。由于本harbor的認證也是通過數據，在生產環節大多對接到企業的ldap中；

（7）harbor-log：harbor-log是harbor的日志服務，統一管理harbor的日志。通過inspect可以看出容器統一將日志輸出的syslog。

這幾個容器通過Docker link的形式連接在一起，這樣，在容器之間可以通過容器名字互相訪問。對終端用戶而言，只需要暴露proxy （即Nginx）的服務端口。

二、環境準備

1、生產環境

2、暫時關閉防火墻和selinux

3、服務下載地址：

docker源：wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

docker-compose：https://github.com/docker/compose/releases/

Harbor：https://github.com/goharbor/harbor/releases

三、搭建服務

1、安裝docker-ce

#安裝

# wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

# yum install docker-ce -y

#卸載

# yum remove docker-ce -y

卸載后images，containers，volumes，configuration files 是不能自動刪除的，為了刪除all images，containers，and volumes，請執行如下命令：

# rm -rf /var/lib/docker

2、安裝docker-compose

方法一：二進制

（1）下載包

# wget  https://github.com/docker/compose/releases/download/1.22.0/docker-compose-Linux-x86_64

（2）安裝服務

# mv docker-compose-Linux-x86_64 docker-compose

# cp docker-compose /usr/local/bin/

# chmod u+x /usr/local/bin/docker-compose

（3）根據自己的情況決定是否安裝命令補全功能

# yum install bash-completion

（4）查看

# docker-compose

# docker-compose  version

（5）卸載

# rm  /usr/local/bin/docker-compose

方法二：pip

（1）安裝

# yum install python-pip

# pip install  docker-compose

（2）卸載：

# pip uninstall  docker-compose

3、安裝Harbor

（1）下載

# cd /usr/local/src/

# wget  https://storage.googleapis.com/harbor-releases/release-1.6.0/harbor-online-installer-v1.6.0.tgz

（2）解壓文件

# tar -xvf harbor-online-installer-v1.6.0.tgz -C /usr/local/

# cd /usr/local/harbor/

（3）修改配置文件

# vim harbor.cfg

#域名配置

hostname = www.jiangjj.com

#郵箱配置

email_server = smtp.qq.com

email_server_port = 25

email_username = jiangjj@qq.com

email_password = 123456

email_from = admin <sample_admin@mydomain.com>

email_ssl = false

email_insecure = false

#禁止用戶注冊

self_registration = off

#設置只有管理員可以創建項目

project_creation_restriction = adminonly

（4）執行腳本

# ./prepare

# ./install.sh

（5）查看

# docker ps

或者

# docker-compose ps

（6）Harbor的啟動和停止

啟動Harbor

# docker-compose start

停止Harbor

# docker-comose stop

重啟Harbor

# docker-compose restart

4、訪問

在瀏覽器輸入www.jiangjj.com，因為我配置的域名為www.jiangjj.com。

默認賬號密碼： admin / Harbor12345 登錄后修改密碼

http://www.jiangjj.com/

四、Harbor配置TLS證書

上面對Harbor的配置都是使用的http協議訪問，但是為了安全性我們工作中一般都是配置https訪問。在此，做一個簡單的配置如下：

1、修改harbor配置文件（購買證書）

hostname = www.jiangjj.com

ui_url_protocol = https

ssl_cert = /etc/certs/jiangjj.com.crt

ssl_cert_key = /etc/certs/jiangjj.com.key

2、創建自簽名證書key文件

# mkdir /etc/certs

# openssl genrsa -out /etc/certs/jiangjj.com.key 2048

3、創建自簽名證書crt文件

# openssl req -x509 -new -nodes -key /etc/certs/jiangjj.com.key -subj "/CN=www.jiangjj.com" -days 5000 -out /etc/certs/jiangjj.com.crt

4、重新安裝harbor

# ./prepare

./install.sh

5、配置客戶端證書

# mkdir -p /etc/docker/certs.d/www.jiangjj.com

#把crt證書拷貝到新建目錄下，重啟docker即可

6、測試

五、測試上傳下載鏡像

1、在各個客戶端修改docker

# vim /usr/lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --insecure-registry www.jiangjj.com

增加 --insecure-registry  www.jiangjj.com 即可。

重啟docker：

# systemctl daemon-reload

# systemctl  restart docker

或者

創建/etc/docker/daemon.json文件，在文件中指定倉庫地址

# cat > /etc/docker/daemon.json << EOF

{ "insecure-registries":["www.jiangjj.com"] }

EOF

然后重啟docker就可以。

# systemctl  restart docker

2、上傳鏡像

如果不是自己的鏡像需要打包

# docker tag centos:7.4.1708 www.jiangjj.com/jiangjj/centos:7.4.1708

#授權

# docker login www.jiangjj.com

#上傳

# docker push www.jiangjj.com/jiangjj/centos:7.4.1708

在harbor查看如下圖：

3、客戶端拉去鏡像

# docker pull www.jiangjj.com/jiangjj/centos:7.4.1708

即可