搭建Harbor企业级docker仓库

smith88

　　一、Harbor简介
　　1、简介
　　Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，通过添加一些企业必需的功能特性，例如安全、标识和管理等，扩展了开源Docker Distribution。作为一个企业级私有Registry服务器，Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制，镜像全部保存在私有Registry中， 确保数据和知识产权在公司内部网络中管控。另外，Harbor也提供了高级的安全特性，诸如用户管理，访问控制和活动审计等。
　　2、特性
　　（1）基于角色的访问控制 ：用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。
　　（2）镜像复制 ： 镜像可以在多个Registry实例中复制（同步）。尤其适合于负载均衡，高可用，混合云和多云的场景。
　　（3）图形化用户界面 ： 用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。
　　（4）AD/LDAP 支持 ： Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。
　　（5）审计管理 ： 所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。
　　（6）国际化 ： 已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。
　　（7）RESTful API ： RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。
　　（8）部署简单 ： 提供在线和离线两种安装工具， 也可以安装到vSphere平台(OVA方式)虚拟设备。
　　3、组件
　　Harbor在架构上主要由6个组件构成：
　　（1）Proxy：Harbor的registry, UI, token等服务，通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务。
　　（2）Registry： 负责储存Docker镜像，并处理docker push/pull 命令。由于我们要对用户进行访问控制，即不同用户对Docker image有不同的读写权限，Registry会指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token 进行解密验证。
　　（3）Core services： 这是Harbor的核心功能，主要提供以下服务：
　　1）UI：提供图形化界面，帮助用户管理registry上的镜像（image）, 并对用户进行授权。
　　2）webhook：为了及时获取registry 上image状态变化的情况， 在Registry上配置webhook，把状态变化传递给UI模块。
　　3）token 服务：负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发起的请求,如果不包含token，会被重定向到这里，获得token后再重新向Registry进行请求。
　　（4）Database：为core services提供数据库服务，负责储存用户权限、审计日志、Docker image分组信息等数据。
　　（5）Job Services：提供镜像远程复制功能，可以把本地镜像同步到其他Harbor实例中。
　　（6）Log collector：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析。
　　各个组件之间的关系如下图所示：

　　4、Harbor构建
　　Harbor的每个组件都是以Docker容器的形式构建的，官方也是使用Docker Compose来对它进行部署。用于部署Harbor的Docker Compose模板位于 harbor/docker-compose.yml,打开这个模板文件，发现Harbor是由7个容器组成的；
　　（1）nginx：nginx负责流量转发和安全验证，对外提供的流量都是从nginx中转，所以开放https的443端口，它将流量分发到后端的ui和正在docker镜像存储的docker registry。
　　（2）harbor-jobservice：harbor-jobservice 是harbor的job管理模块，job在harbor里面主要是为了镜像仓库之前同步使用的;
　　（3）harbor-ui：harbor-ui是web管理页面，主要是前端的页面和后端CURD的接口;
　　（4）registry：registry就是docker原生的仓库，负责保存镜像。
　　（5）harbor-adminserver：harbor-adminserver是harbor系统管理接口，可以修改系统配置以及获取系统信息。
　　（6）harbor-db：harbor-db是harbor的数据库，这里保存了系统的job以及项目、人员权限管理。由于本harbor的认证也是通过数据，在生产环节大多对接到企业的ldap中；
　　（7）harbor-log：harbor-log是harbor的日志服务，统一管理harbor的日志。通过inspect可以看出容器统一将日志输出的syslog。
　　这几个容器通过Docker link的形式连接在一起，这样，在容器之间可以通过容器名字互相访问。对终端用户而言，只需要暴露proxy （即Nginx）的服务端口。
　　二、环境准备
　　1、生产环境

名称	版本
系统环境	CentOS Linux release 7.5.1804 (Core)
docker-ce	Docker version 18.09.0
docker-compose	1.22.0
Harbor	v1.6.0
安装位置	/usr/local/harbor

　　2、暂时关闭防火墙和selinux
　　3、服务下载地址：
　　docker源：wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
　　docker-compose：https://github.com/docker/compose/releases/
　　Harbor：https://github.com/goharbor/harbor/releases
　　三、搭建服务
　　1、安装docker-ce
　　#安装
　　# wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
　　# yum install docker-ce -y

　　#卸载
　　# yum remove docker-ce -y
　　卸载后images，containers，volumes，configuration files 是不能自动删除的，为了删除all images，containers，and volumes，请执行如下命令：
　　# rm -rf /var/lib/docker
　　2、安装docker-compose
　　方法一：二进制
　　（1）下载包
　　# wget  https://github.com/docker/compose/releases/download/1.22.0/docker-compose-Linux-x86_64
　　 （2）安装服务
　　# mv docker-compose-Linux-x86_64 docker-compose
　　# cp docker-compose /usr/local/bin/
　　# chmod u+x /usr/local/bin/docker-compose
　　（3）根据自己的情况决定是否安装命令补全功能
　　# yum install bash-completion
　　（4）查看
　　# docker-compose
　　# docker-compose  version

　　（5）卸载
　　# rm  /usr/local/bin/docker-compose
　　方法二：pip
　　（1）安装
　　# yum install python-pip
　　# pip install  docker-compose
　　（2）卸载：
　　# pip uninstall  docker-compose
　　3、安装Harbor
　　（1）下载
　　# cd /usr/local/src/
　　# wget  https://storage.googleapis.com/harbor-releases/release-1.6.0/harbor-online-installer-v1.6.0.tgz
　　 （2）解压文件
　　# tar -xvf harbor-online-installer-v1.6.0.tgz -C /usr/local/
　　# cd /usr/local/harbor/
　　（3）修改配置文件
　　# vim harbor.cfg
　　#域名配置
　　hostname = www.jiangjj.com
　　#邮箱配置
　　email_server = smtp.qq.com
　　email_server_port = 25
　　email_username = jiangjj@qq.com
　　email_password = 123456
　　email_from = admin
　　email_ssl = false
　　email_insecure = false
　　#禁止用户注册
　　self_registration = off
　　#设置只有管理员可以创建项目
　　project_creation_restriction = adminonly
　　（4）执行脚本
　　# ./prepare

　　# ./install.sh

　　（5）查看
　　# docker ps

　　或者
　　# docker-compose ps

　　（6）Harbor的启动和停止
　　启动Harbor
　　# docker-compose start
　　停止Harbor
　　# docker-comose stop
　　重启Harbor
　　# docker-compose restart
　　4、访问
　　在浏览器输入www.jiangjj.com，因为我配置的域名为www.jiangjj.com。
　　默认账号密码： admin / Harbor12345 登录后修改密码
　　http://www.jiangjj.com/

　　四、Harbor配置TLS证书
　　上面对Harbor的配置都是使用的http协议访问，但是为了安全性我们工作中一般都是配置https访问。在此，做一个简单的配置如下：
　　1、修改harbor配置文件（购买证书）
　　hostname = www.jiangjj.com
　　ui_url_protocol = https
　　ssl_cert = /etc/certs/jiangjj.com.crt
　　ssl_cert_key = /etc/certs/jiangjj.com.key
　　2、创建自签名证书key文件
　　# mkdir /etc/certs
　　# openssl genrsa -out /etc/certs/jiangjj.com.key 2048
　　3、创建自签名证书crt文件
　　# openssl req -x509 -new -nodes -key /etc/certs/jiangjj.com.key -subj "/CN=www.jiangjj.com" -days 5000 -out /etc/certs/jiangjj.com.crt
　　4、重新安装harbor
　　# ./prepare
　　./install.sh

　　5、配置客户端证书
　　# mkdir -p /etc/docker/certs.d/www.jiangjj.com
　　#把crt证书拷贝到新建目录下，重启docker即可
　　6、测试

　　五、测试上传下载镜像
　　1、在各个客户端修改docker
　　# vim /usr/lib/systemd/system/docker.service
　　ExecStart=/usr/bin/dockerd --insecure-registry www.jiangjj.com
　　增加 --insecure-registry  www.jiangjj.com 即可。
　　重启docker：
　　# systemctl daemon-reload
　　# systemctl  restart docker
　　或者
　　创建/etc/docker/daemon.json文件，在文件中指定仓库地址
　　# cat > /etc/docker/daemon.json