四、harbor配置段的概述

harbor配置段的概述

必需参数

hostname：

目标主机的主机名，用于访问UI和注册表服务。它应该是目标机器的IP地址或完全限定域名（FQDN），例如192.168.1.10或reg.yourdomain.com。不要使用localhost或127.0.0.1为主机名 - 注册表服务需要外部客户端访问！

---

ui_url_protocol：

（http或https。默认为http）用于访问UI和令牌/通知服务的协议。如果启用公证，则此参数必须为https。默认情况下，这是http。要设置https协议，请参阅使用HTTPS访问配置港口。

---

db_password：

用于db_auth的MySQL数据库的根密码。更改此密码以供任何生产用途！

---

max_job_workers：

（默认值为3）作业服务中的最大复制工作数。对于每个映像复制作业，工作程序将存储库的所有标签同步到远程目标。增加此数字允许系统中更多的并发复制作业。但是，由于每个工作人员都会消耗一定数量的网络/ CPU / IO资源，请根据主机硬件资源选择该属性的值。

---

customize_crt：

（打开或关闭，默认为打开）当此属性打开时，准备脚本将为注册表令牌的生成/验证创建私钥和根证书。当密钥和根证书由外部源提供时，将此属性设置为off。有关详细信息，请参阅自定义密钥和港口令牌服务证书。

---

ssl_cert：

SSL证书的路径，仅当协议设置为https时才应用

---

ssl_cert_key：

SSL密钥的路径，仅当协议设置为https时才应用
secretkey_path：用于在复制策略中加密或解密远程注册表的密码的密钥路径。

---

可选参数

电子邮件设置：Harbor需要这些参数才能向用户发送“密码重设”电子邮件，只有在需要该功能时才需要这些参数。另外，请注意，在默认情况下SSL连接时没有启用-如果你的SMTP服务器需要SSL，但不支持STARTTLS，那么你应该通过设置启用SSL

email_ssl = TRUE。有关“email_identity”的详细说明，请参考rfc2595

email_server = smtp.mydomain.com

email_server_port = 25

email_identity =

email_username = [email protected]

email_password = abc

mail_from = admin [email protected]

email_ssl = false

---

harbor_admin_password：

管理员的初始密码。该密码仅在港口第一次启动时生效。之后，此设置将被忽略，并且应在UI中设置管理员的密码。请注意，默认用户名/密码为admin / Harbor12345。

---

auth_mode：

使用的身份验证类型。默认情况下，它是db_auth，即凭据存储在数据库中。对于LDAP身份验证，请将其设置为ldap_auth。
重要提示：从现有的港口实例升级时，必须确保auth_modeharbor.cfg在启动新版本的Harbor之前是一样的。否则，升级后用户可能无法登录。

---

ldap_url：

LDAP端点URL（例如ldaps://ldap.mydomain.com）。 仅当auth_mode设置为ldap_auth时才使用。

---

ldap_searchdn：

具有搜索LDAP / AD服务器权限的用户的DN（例如uid=admin,ou=people,dc=mydomain,dc=com）。

---

ldap_search_pwd：

由ldap_searchdn指定的用户的密码。

---

LDAP_BASEDN：基本DN查找用户，如ou=people,dc=mydomain,dc=com。 仅当auth_mode设置为ldap_auth时才使用。

LDAP_FILTER：

用于查找用户，例如，搜索过滤器(objectClass=person)。

---

ldap_uid：

用于在LDAP搜索期间匹配用户的属性，它可以是uid，cn，电子邮件或其他属性。

---

ldap_scope：

搜索用户的范围，1-LDAP_SCOPE_BASE，2-LDAP_SCOPE_ONELEVEL，3-LDAP_SCOPE_SUBTREE。默认值为3。

---

self_registration：

（开或关，默认为开）启用/禁用用户注册自己的能力。禁用时，只能由管理员用户创建新用户，只有管理员用户才能在海港创建新用户。 注意：当auth_mode设置为ldap_auth时，自注册功能始终被禁用，并且该标志被忽略。

---

token_expiration：

令牌服务创建的令牌的到期时间（以分钟为单位），默认值为30分钟。

---

project_creation_restriction：

用于控制用户有权创建项目的标志。默认情况下，每个人都可以创建一个项目，设置为“adminonly”，以便只有admin才能创建项目。

---

verify_remote_cert :

( 打开或关闭默认设置）此标志确定当Harbour与远程注册表实例进行通信时是否验证SSL / TLS证书。将此属性设置为off可绕过SSL / TLS验证，SSL / TLS验证通常在远程实例具有自签名或不受信任的证书时使用。

---

配置存储后端（可选）

默认情况下，Harbor将映像存储在本地文件系统上。在生产环境中，您可以考虑使用其他存储后端而不是本地文件系统，如S3，Openstack Swift，Ceph等。您需要更新的是storage文件中的部分common/templates/registry/config.yml。例如，如果您使用Openstack Swift作为存储后端，则该部分可能如下所示：

storage:
  swift:
    username: admin
    password: ADMIN_PASS
    authurl: http://keystone_addr:35357/v3/auth
    tenant: admin
    domain: default
    region: regionOne
    container: docker_images

---