Docker Harbor私有倉庫簡介及部署

Harbor簡介

Harbor是一個用于存儲和分發(fā)Docker鏡像的企業(yè)級Registry服務器，通過添加一些企業(yè)必需的功能特性，例如安全、標識和管理等，擴展了開源Docker Distribution。作為一個企業(yè)級私有Registry服務器，Harbor提供了更好的性能和安全。提升用戶使用Registry構建和運行環(huán)境傳輸鏡像的效率。Harbor支持安裝在多個Registry節(jié)點的鏡像資源復制，鏡像全部保存在私有Registry中， 確保數(shù)據(jù)和知識產(chǎn)權在公司內(nèi)部網(wǎng)絡中管控。另外，Harbor也提供了高級的安全特性，諸如用戶管理，訪問控制和活動審計等。

Harbor特性

• 基于角色的訪問控制 ：用戶與Docker鏡像倉庫通過“項目”進行組織管理，一個用戶可以對多個鏡像倉庫在同一命名空間（project）里有不同的權限。

• 鏡像復制 ： 鏡像可以在多個Registry實例中復制（同步）。尤其適合于負載均衡，高可用，混合云和多云的場景。

• 圖形化用戶界面 ： 用戶可以通過瀏覽器來瀏覽，檢索當前Docker鏡像倉庫，管理項目和命名空間。

• AD/LDAP 支持 ： Harbor可以集成企業(yè)內(nèi)部已有的AD/LDAP，用于鑒權認證管理。

• 審計管理 ： 所有針對鏡像倉庫的操作都可以被記錄追溯，用于審計管理。

• 國際化 ： 已擁有英文、中文、德文、日文和俄文的本地化版本。更多的語言將會添加進來。

• RESTful API ： RESTful API 提供給管理員對于Harbor更多的操控, 使得與其它管理軟件集成變得更容易。

• 部署簡單 ： 提供在線和離線兩種安裝工具， 也可以安裝到vSphere平臺(OVA方式)虛擬設備。

Harbor組件

Harbor在架構上主要由6個組件構成：

• Proxy：Harbor的registry, UI, token等服務，通過一個前置的反向代理統(tǒng)一接收瀏覽器、Docker客戶端的請求，并將請求轉發(fā)給后端不同的服務。

• Registry： 負責儲存Docker鏡像，并處理docker push/pull 命令。由于我們要對用戶進行訪問控制，即不同用戶對Docker image有不同的讀寫權限，Registry會指向一個token服務，強制用戶的每次docker pull/push請求都要攜帶一個合法的token, Registry會通過公鑰對token 進行解密驗證。

• Core services： 這是Harbor的核心功能，主要提供以下服務：

• UI：提供圖形化界面，幫助用戶管理registry上的鏡像（image）, 并對用戶進行授權。

• webhook：為了及時獲取registry 上image狀態(tài)變化的情況， 在Registry上配置webhook，把狀態(tài)變化傳遞給UI模塊。

• token 服務：負責根據(jù)用戶權限給每個docker push/pull命令簽發(fā)token. Docker 客戶端向Regi?stry服務發(fā)起的請求,如果不包含token，會被重定向到這里，獲得token后再重新向Registry進行請求。

• Database：為core services提供數(shù)據(jù)庫服務，負責儲存用戶權限、審計日志、Docker image分組信息等數(shù)據(jù)。

• Job Services：提供鏡像遠程復制功能，可以把本地鏡像同步到其他Harbor實例中。

• Log collector：為了幫助監(jiān)控Harbor運行，負責收集其他組件的log，供日后進行分析。

各組件之間的關系

Harbor的實現(xiàn)

Harbor的每個組件都是以Docker容器的形式構建的，官方也是使用Docker Compose來對它進行部署。用于部署Harbor的Docker Compose模板位于 harbor/docker-compose.yml,打開這個模板文件，發(fā)現(xiàn)Harbor是由7個容器組成的；

# docker-compose ps

? ? ? Name ? ? ? ? ? ? ? ? ? ? Command ? ? ? ? ? ? ? State ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?Ports ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ------------------------------------------------------------------------------------------------------------------------------

harbor-adminserver ? /harbor/harbor_adminserver ? ? ? Up ? ?

harbor-db ? ? ? ? ? ?docker-entrypoint.sh mysqld ? ? ?Up ? ? ?3306/tcp ? ?

harbor-jobservice ? ?/harbor/harbor_jobservice ? ? ? ?Up ? ?

harbor-log ? ? ? ? ? /bin/sh -c crond && rm -f ?... ? Up ? ? ?127.0.0.1:1514->514/tcp

harbor-ui ? ? ? ? ? ?/harbor/harbor_ui ? ? ? ? ? ? ? ?Up ? ? ? ? ?

nginx ? ? ? ? ? ? ? ?nginx -g daemon off; ? ? ? ? ? ? Up ? ? ?0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp, 0.0.0.0:80->80/tcp

registry ? ? ? ? ? ? /entrypoint.sh serve /etc/ ... ? Up ? ? ?5000/tcp

nginx：nginx負責流量轉發(fā)和安全驗證，對外提供的流量都是從nginx中轉，所以開放https的443端口，它將流量分發(fā)到后端的ui和正在docker鏡像存儲的docker registry。

harbor-jobservice：harbor-jobservice 是harbor的job管理模塊，job在harbor里面主要是為了鏡像倉庫之前同步使用的;

harbor-ui：harbor-ui是web管理頁面，主要是前端的頁面和后端CURD的接口;

registry：registry就是docker原生的倉庫，負責保存鏡像。

harbor-adminserver：harbor-adminserver是harbor系統(tǒng)管理接口，可以修改系統(tǒng)配置以及獲取系統(tǒng)信息。

這幾個容器通過Docker link的形式連接在一起，在容器之間通過容器名字互相訪問。對終端用戶而言，只需要暴露proxy （即Nginx）的服務端口。

harbor-db：harbor-db是harbor的數(shù)據(jù)庫，這里保存了系統(tǒng)的job以及項目、人員權限管理。由于本harbor的認證也是通過數(shù)據(jù)，在生產(chǎn)環(huán)節(jié)大多對接到企業(yè)的ldap中；

harbor-log：harbor-log是harbor的日志服務，統(tǒng)一管理harbor的日志。通過inspect可以看出容器統(tǒng)一將日志輸出的syslog。

這幾個容器通過Docker link的形式連接在一起，這樣，在容器之間可以通過容器名字互相訪問。對終端用戶而言，只需要暴露proxy （即Nginx）的服務端口。

安裝及部署

安裝harbor之前，需要安裝好docker engine、docker-compose

一、安裝docker

請參閱鏈接：二進制安裝Docker

二、安裝docker-compose

Docker Compose是一個用來定義和運行復雜應用的Docker工具。一個使用Docker容器的應用，通常由多個容器組成。使用Docker Compose不再需要使用shell腳本來啟動容器。

Compose 通過一個配置文件來管理多個Docker容器，在配置文件中，所有的容器通過services來定義，然后使用docker-compose腳本來啟動，停止和重啟應用，和應用中的服務以及所有依賴服務的容器，非常適合組合使用多個容器進行開發(fā)的場景。

官方網(wǎng)址：Docker compose

#? curl -L "https://github.com/docker/compose/releases/download/1.24.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/bin/docker-compose

# chmod +x /usr/bin/docker-compose

三、安裝harbor

我這里是下載離線安裝包，進行安裝的

# tar xf harbor-offline-installer-v1.6.2.tgz

# mv harbor /usr/local/

# cd /usr/local/harbor/

# vi harbor.cfg

# ./install.sh

打開網(wǎng)址：http://172.20.20.176

輸入默認的用戶名及密碼：admin/Harbor12345

最后成功如下：

配置Harbor支持HTTPS訪問鏈接

# mkdir -p /data/cert && cd /data/cert

• 創(chuàng)建CA證書

# openssl genrsa -out ca.key 2048

• 生成自簽名證書（使用已由私鑰ca.key自行簽發(fā)根證書）

# openssl ?req -x509 -new -nodes -key ca.key -days 3650 -out ca.crt -subj "/CN=harbor-ca"

• 生成服務器端私鑰和csr簽名請求

# openssl req -newkey rsa:4096 -nodes -sha256 -keyout server.key -out server.csr

• 簽發(fā)服務器證書

# echo subjectAltName = IP:172.20.20.176 > extfile.cnf

# openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -extfile extfile.cnf -out server.crt

• 修改harbor的配置文件，harbor.cfg

# cd /usr/local/harbor/

# vi harbor.cfg

# mkdir -p /etc/docker/certs.d/172.20.20.176

# cp /data/cert/ca.crt /etc/docker/certs.d/172.20.20.176/

修改/etc/sysconfig/docker或修改/etc/docker/daemon.json【任選一種】

第一種：

修改/etc/sysconfig/docker

將

OPTIONS='--selinux-enabled=false --log-driver=journald --signature-verification=false --insecure-registry registry:5000

改為：

OPTIONS='--selinux-enabled=false --log-driver=journald --signature-verification=false --insecure-registry www.node175.com

第二種：

# cat > /etc/docker/daemon.json << EOF

{ "insecure-registries":["www.node175.com"] }

EOF

• 啟動Harbor

# systemctl restart docker

# cd /usr/local/harbor/

# docker-compose ?down

# ./prepare

## docker-compose ?up -d

• 訪問測試

https://172.20.20.176/

遇到問題摘要：

在其他docker節(jié)點上，進行docker login harbor地址時，出現(xiàn)

Error response from daemon: Get https://www.node175.com/v2/: x509: certificate is not valid for any names, but wanted to match www.node175.com 等錯誤信息

解決方法：

將harbor的ca.crt及daemon.json拷貝到其他docker節(jié)點的相應位置：

例如：

1.harbor的ca.crt路徑為：/etc/docker/certs.d/www.node175.com

拷貝到其他docker節(jié)點的 /etc/docker/certs.d/www.node175.com，沒有則新建

2.拷貝harbor的/etc/docker/daemon.json ?到其他docker的/etc/docker目錄

3.重啟docker服務即可