Harbor简介:
Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目,它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。

Harbor下载:
国外下载地址:https://github.com/goharbor/harbor/releases
国内下载地址:http://harbor.orientsoft.cn/
docker-compose,下载地址,https://github.com/docker/compose/releases

注:Harbo需要安装docker,及docker-compose,安装方法这里不再细说。

1、解压及修改配置文件

# tar zxvf harbor-offline-installer-v1.5.1.tgz
# cd harbor
# vim harbor.cfg

根据需要配置相应的访问ip,密码等

2、准备配置文件

# ./prepare

3、安装
# ./install.sh

安装成功后,访问配置ip即可
Harbor安装与Https配置_第1张图片

4、端口修改
因为harbor默认端口为80,而大多数时候是不希望使用80端口的,修改端口方法如下:
在harbor目录下
(1)、修改docker-compose.yml文件

# vim docker-compose.yml

proxy:
    image: vmware/nginx-photon:v1.5.1
    container_name: nginx
    restart: always
    volumes:
      - ./common/config/nginx:/etc/nginx:z
    networks:
      - harbor
    ports:
      - 8070:80
      - 443:443

(2)\修改common/templates/registry/config.yml文件

# vim common/templates/registry/config.yml
auth:
  token:
    issuer: harbor-token-issuer
    realm: $public_url:8070/service/token
    rootcertbundle: /etc/registry/root.crt
service: harbor-registry

5、镜像推送
# docker login 192.168.xxx.xx:xx

在此之前在harbor创建用户及项目,并在项目中添加对应用户。
镜像打包时候需要按一定规则tag:(test为新建项目名称)

# docker tag mysql 192.168.100.127:8070/test/mysql_test
# docker pull 192.168.100.127:8070/test/mysql_test

游览器打开Harbor即可看到推送的镜像~

备注:
若推送镜像报以下错误:

Error response from daemon: Get https://192.168.100.xxx/v1/users/: http: server gave HTTP response to HTTPS client

原因为,docker默认使用的是https协议,而搭建的Harbor是http提供服务的,所以要配置可信任。PS:如果Harbor是https的就不会报该错误,https配置见最后。

方法1、修改docker配置文件:

# vim /usr/lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --insecure-registry=192.168.100.127:8070

修改完毕后按安装步骤走一遍即可。

方法2、

# vim /etc/docker/daemon.json

{
 "registry-mirrors": ["http://xxx0.m.daocloud.io"]
 "insecure-registries":["192.168.100.127:8070"]
}    

配置完以后重启一下docker

6、删除镜像及垃圾回收:

若知识在Harbor客户端删除,只是删除了标记,存储文件仍然存在,删除实际的文件存储库使用注册中心的垃圾收集(GC)。GC运行时如果有人推一个镜像,还存在一种风险,即镜像的层将被错误删除导致镜像损坏。在GC运行之前,首选的方法是先停止Harbor

# docker-compose stop

# docker run -it --name gc --rm --volumes-from registry goharbor/registry:2.6.2-photon garbage-collect --dry-run /etc/registry/config.yml

# docker-compose stop

官方用户手册:
https://github.com/goharbor/harbor/blob/master/docs/user_guide.md

7、Htpps配置harbor:

因为测试使用,使用自签名证书:

(1)、创建CA证书:

# openssl req -newkey rsa:4096 -sha256 -keyout ca.key -x509 -days 365 -out ca.crt

其中:(req:申请证书签署请求;-newkey 新密钥 ;-x509:可以用来显示证书的内容,转换其格式,给CSR签名等X.509证书的管理工作,这里用来自签名。)

(2) 、生成证书签名请求:

# openssl req -nodes -newkey rsa:4096 -sha256 -keyout yourdomain.com.key -out yourdomain.com.csr

(3)、生成证书:

# openssl x509 -req -days 365 -in yourdomain.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out yourdomain.com.crt

备注:若需要添加多个地址(允许链接的ip等)

 # echo subjectAltName = IP:192.168.100.xx > extfile.cnf

 # openssl x509 -req -days 365 -in yourdomain.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out yourdomain.com.crt

(4)、配置harbor.cfg:

    #set hostname
  hostname = xxxx     #域名或ip
  #set ui_url_protocol
  uiurlprotocol = https    #这里改为https****
  ......
  #The path of cert and key files for nginx, they are applied only the protocol is set to https 
  ssl_cert = /cert/yourdomain.com.crt     #crt位置
  ssl_cert_key = /cert/yourdomain.com.key  #key的位置

(5)、配置启动harbor:

    # docker-compose down
    # ./prepare
    #  docker-compose up –d

(6)、测试

1、访问,https://配置的ip或域名(若nginx的443配置了其他端口需要加上对应端口号)
2、# docker login xxxx

若报错x509: certificate signed by unknown authority:

Harbor安装与Https配置

需要把之前制作的ca证书添加到信任(因为是自签名证书):

# mkdir –p /etc/docker/certs.d/hostname
# cp ca.crt /etc/docker/certs.d/hostname/ca.crt
# systemc   restart docker.service

再次测试docker login xxxx,成功登陆~

Harbor安装与Https配置_第2张图片