Docker harbor私有仓库

Docker harbor私有仓库部署与管理，搭建本地私有仓库，但是本地私有仓库的管理和使用比较麻烦，这个原生的私有仓库并不好用，所以我们采用harbor也叫私服，更加人性化。

目录

一、Harbor概述

二、Harbor的特性

三、Harbor的构成

四、Harbor部署

五、测试

六、维护管理Harbor

七、远程同步　　

八、总结

 

 

 

 

 

 

 

一、Harbor概述　

　　1.Harbor

　　Harbor是VWware 公司开源的企业级Docker Registry项目，其目标是帮助用户迅速搭建一个企业级的Docker Registry服务。

Harbor以Docker 公司开源的Registry 为基础，提供了图形管理UI、基于角色的访问控制（Role Based AccessControl）、AD/LDAI们成以心宙计日志（Auditlogging）等企业用户需求的功能，同时还原生支持中文。

　　Harbor的每个组件都是以Docker 容器的形式构建的，使用docker-compose来对它进行部署。用于部署Harbor的docker-compose模板位于harbor/docker-compose.yml

二、Harbor的特性

　　1.harbor的特性　　

　　　　1.基于角色控制： 用户和仓库都是基于项目进行组织的，而用户在项目中可以拥有不同的权限。
　　　　2.基于镜像的复制策略： 镜像可以在多个Harbor实例之间进行复制（同步）。
　　　　3.支持LDAP/AD： Harbor可以集成企业内部已有的AD/LDAP（类似数据库的一张表），用于对已经存在的用户认证和管理。
　　　　4.镜像删除和垃圾回收： 镜像可以被删除，也可以回收镜像占用的空间。
　　　　5.图形化用户界面： 用户可以通过浏览器来浏览，搜索镜像仓库以及对项目进行管理。
　　　　6.审计管理： 所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。
　　　　7.支持 RESTful API： RESTful API 提供给管理员对于Harbor更多的操控，使得与其它管理软件集成变得更容易。
　　　　8.Harbor和docker registry的关系： Harbor实质上是对docker registry做了封装，扩展了自己的业务模板。

三、Harbor的构成

　　1.Harbor的构成

　　

 　　Harbor 在架构上主要有 proxy、Registry、Core services、Database（Harbor-db）、Log collector（Harbor-log）、Job services六个组件。

　　

　　（1）Proxy：是一个nginx的前端代理，Harbor的Registry、UI、Token服务等组件，都处在nginx反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端不同的服务上。

　　（2）Registry：负责储存Docker镜像，并处理Docker push/pull命令。由于要对用户进行访问控制，即不同用户对Docker镜像有不同的读写权限，Registry会指向一个Token服务，强制用户的每次Docker pull/push 请求都要携带一个合法的Token，Registry会通过公钥对Token进行解密验证。

　　（3）Core services：Harbor的核心功能，主要提供以下3个服务：

1.UI（harbor-ui）：提供图形化界面，帮助用户管理Registry 上的镜像（image），并对用户进行授权。

2.WebHook：为了及时获取Registry 上image 状态变化的情况，在Registry 上配置 Webhook，把状态变化传递给 UI模块。

3.Token 服务：负责根据用户权限给每个Docker push/pull 命令签发Token。Docker 客户端向Reqistry服务发起的请求，如果不包含Docke Token，会被重定向到Token服务，获得Token后再重新向Registry进行请求。

　　

　　（4）Database（harbor-db）：为core services提供数据库服务，负责储存用户权限、审计日志、Docker镜像分组信息等数据。docker数据存储在文件系统，但是分组信息存储在数据库
　　（5）Job services：主要用于镜像复制，本地镜像可以被同步到远程Harbor实例上。
　　（6）Log collector（harbor-1og）：负责收集其他组件的日志到一个地方。　　

 

　　2. Harbor的核心组件

　　①Proxy
　　通过一个前置的反向代理统一接收浏览器、Docker 客户端的请
　　求，并将请求转发给后端不同的服务
　　这是一个反向代理组件
　　②Registry
　　负责储存 Docker 镜像
　　处理 docker push/pull 命令来上传和下载
　　③Core services
　　Harbor 的核心功能，包括UI、webhook、 token 服务
　　webhook：网站的一些服务功能
　　token：令牌，提供身份验证服务
　　④Database
　　为 core services 提供数据库服务
　　数据库记录镜像的元信息及用户的身份信息
　　⑤Log collector
　　负责收集其他组件的日志，以供然后进行分析
　　健康检查等

 

　　3.docker Harbor私有仓库操作的过程

　　　　1.所有的请求或认为的操作都会首先交给proxy（反向代理）
　　　　2.proxy会先将请求转发给后端Core services，Core services 中包含 3.UI、token（身份验证服务）、webhook（网站的一些服务功能）
　　　　4.转发给registry（镜像存储），若需要下载镜像等权限操作，需要通过Core services中的token令牌的身份验证服务才行
　　　　5.每一次下载和上传都产生操作记录，生成日志，保存至database中
　　　　6.database记录保存镜像的元信息及用户与组的身份信息，通过验证授权才能允许相关操作

四、Harbor部署

 前提准备：关闭防火墙，安装好docker

　　部署Docker Compose

#上传下载好的docker-compose文件
docker-compose 

mv  docker-compose  /usr/local/bin/docker-compose
chmod  +x /usr/local/bin/docker-compose

#或者从github下载
curl -L https://github.com/docker/compose/releases/download/v2.0.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose

 下载Harbor软件包

#软件包下载地址  https://github.com/goharbor/harbor/releases/download/
#上传软件包到/opt/目录
ls harbor-offline-installer-v1.2.2.tgz 
#解压到/usr/local/目录
tar vxf harbor-offline-installer-v1.2.2.tgz  -C /usr/local/

 修改harbor安装的配置文件

vim /usr/local/harbor/harbor.cfg
#第5行，修改，设置Harbor的IP地址或者域名。如果设置为域名,则需要做域名映射
5// hostname = 192.168.140.111
#59行，指定管理员的初始密码的，默认的用户名/密码是 admin/Harbor12345
59// harbor_admin_password = Harbor12345

#在配置好了 harbor.cfg 之后，执行 ./prepare 命令，为 harbor 启动的容器生成一些必要的文件（环境）
cd /usr/local/harbor/
./prepare

 启动 Harbor

./install.sh
#以 pull (获取)镜像并启动容器

 

 查看 Harbor 启动镜像

docker-compose ps

 

 镜像控制

docker-compose up -d      #后台启动
docker-compose stop       #停止
docker-compose restart    #重新启动

创建一个新项目

（1）浏览器访问：http://192.168.140.111 登录 Harbor WEB UI 界面，默认的管理员用户名和密码是 admin/Harbor12345

（2）输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮

（3）填写项目名称为“myproject-hjp”，点击“确定”按钮，创建新项目

（4）此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下，Registry 服务器在端口 80 上监听。

 

 命令行登录 Harbor 【两种登录方式】

1.docker login http://127.0.0.1

2.docker login -u admin -p Harbor12345 http://127.0.0.1  

　　1.输入用户和密码登录仓库

 　　2.免交互直接登录仓库

五、测试

　　1.下载镜像进行推送测试

 将镜像打标签

#格式：docker tag 镜像:标签 仓库IP/项目名称/镜像名:标签
docker tag nginx:latest 127.0.0.1/myproject-hjp/nginx:v1

上传镜像到 Harbor 

docker push 127.0.0.1/myproject-hjp/nginx:v1
#在 Harbor 界面 myproject-zzh 目录下可看见此镜像及相关信息

 

 

　　

　2.其他客户端上传镜像

 以上操作都是在Harbor服务器本地操作。如果其他客户端登录到 Harbor，就会报如下错误。出现这问题的原因为Docker Registry 交互默认使用的是 HTTPS，但是搭建私有镜像默认使用的是 HTTP 服务，所以与私有镜像交互时出现以下错误。 

在 Docker 客户端配置操作【192.168.140.111】

 重启 Docker，再次登录

systemctl daemon-reload
systemctl restart docker

 再次登录 Harbor

docker login -u admin -p Harbor12345 http://192.168.140.111
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Login Succeeded

 自动保存类似ip和密码，下次直接登录　　

 下载镜像进行测试

docker pull 192.168.140.111/myproject-hjp/nginx:v1
docker images
REPOSITORY                                TAG       IMAGE ID       CREATED        SIZE
192.168.140.111/myproject-hjp/nginx   v1        605c77e624dd   6 months ago   141MB

 上传镜像进行测试

docker pull centos
docker tag centos:latest 192.168.140.111/myproject-hjp/centos:v1
docker push 192.168.140.111/myproject-hjp/centos:v1

 

 上传镜像

 

　　

六、维护管理Harbor　　

　　1.通过 Harbor Web 创建项目

　　在 Harbor 仓库中，任何镜像在被 push 到 regsitry 之前都必须有一个自己所属的项目。

　　单击“+项目”，填写项目名称，项目级别若设置为"私有"，则不勾选。如果设置为公共仓库，则所有人对此项目下的镜像拥有读权限，命令行中不需要执行"Docker login"即可下载镜像，镜像操作与 Docker Hub 一致。　　

　　2.创建 Harbor 用户　　

　　在 Web 管理界面中单击系统管理 -> 用户管理 -> +用户，填写用户名为“zhangsan”，邮箱为“2498143565@qq.com”，全名为“zhangsan”，密码为“ Abc123456 ”，注释为“管理员”（可省略）。

　　附：用户创建成功后，单击左侧“…”按钮可将上述创建的用户设置为管理员角色或进行删除操作，本例不作任何设置。

　　角色 权限说明
　　访客 对于指定项目拥有只读权限
　　开发人员 对于指定项目拥有读写权限，但没用删除权限
　　维护人员 对于指定项目拥有读写权限，也能对修改其它配置，比如创建 Webhooks
　　项目管理员 除了读写权限，同时拥有用户管理/镜像扫描等管理权限

 　　创建用户成功

 

 　　3.添加项目成员

　　　　单击项目 -> myproject-zhangsan-> 成员 -> + 成员，填写上述创建的用户zhangsan并分配角色为“开发人员”。

 

　　4.在客户端上使用普通账户操作镜像

#删除上述打标签的本地镜像
docker rmi 5d0da3dc9764 -f
#使用上述创建的账户登录
docker login -u zhangsan -p Abc123456 http://192.168.140.111

#下载和上传镜像进行测试
docker pull 192.168.140.111/myproject-zhangsan/nginx:v2

 

docker tag 192.168.140.111/myproject-zhangsan/nginx:v1 192.168.140.111/myproject-zhangsan/nginx:v2
docker push 192.168.140.111/myproject-zhangsan/nginx:v2

　　　打标签，上传成功

 　　5.查看日志

　

 　　6.修改 Harbor.cfg 配置文件

要更改 Harbor的配置文件中的可选参数时，请先停止现有的 Harbor实例并更新 Harbor.cfg；然后运行 prepare 脚本来填充配置； 最后重新创建并启动 Harbor 的实例。

使用 docker-compose 管理 Harbor 时，必须在与 docker-compose.yml 相同的目录中运行。
cd /usr/local/harbor
docker-compose down -v

vim harbor.cfg			#只能修改可选参数

　

 

　

./prepare

docker-compose up -d
//如果有以下报错，需要开启防火墙 firewalld 服务解决
Creating network "harbor_harbor" with the default driver
ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule:  (iptables failed: iptables --wait -t nat -I DOCKER -i br-b53c314f45e8 -j RETURN: iptables: No chain/target/match by that name.
 (exit status 1))
重启docker

systemctl restart firewalld.service
docker-compose up -d

 　7. harbor迁移

 移除 Harbor 服务容器同时保留镜像数据/数据库，并进行迁移

//在Harbor服务器上操作
（1）移除 Harbor 服务容器
cd /usr/local/harbor
docker-compose down -v

 

（2）把项目中的镜像数据进行打包
//持久数据，如镜像，数据库等在宿主机的/data/目录下，日志在宿主机的/var/log/Harbor/目录下
ls /data/registry/docker/registry/v2/repositories/
cd /data/registry/docker/registry/v2/repositories/myproject-hjp
tar zcvf hjp-registry.tar.gz ./*

　

 

 

　8.重新部署harbor

如需重新部署，需要移除 Harbor 服务容器全部数据
cd /usr/local/harbor
docker-compose down -v
rm -r /data/database
rm -r /data/registry

　　　

七、远程同步

　　1.安装第二台harbor

　　安装上面的安装步骤在客户端安装harbor服务，做第二台harbor服务器

 　　

　　2.配置同步

　　在源harbor：192.168.140.111

 

  模板harbor：192.168.140.223

 

 同步完成

 

八、总结

　　Harbor是一个开源的企业级Docker镜像仓库，用于管理和存储Docker镜像。它提供了强大的安全性、访问控制、镜像复制和多租户支持等功能。Harbor可以帮助组织建立自己的私有镜像仓库，提供了集中的镜像管理、版本控制和审计跟踪，以提高开发团队的效率和安全性。总之，Harbor是一个可靠的解决方案，用于构建和管理容器镜像，并满足企业级的安全和管理需求。