Harbor是什么
Harbor是VMware公司开源的企业级DockerRegistry项目,其目标是帮助用户迅速搭建一个企业级的Dockerregistry服务。
它以Docker公司开源的registry为基础,提供了管理UI,基于角色的访问控制(Role Based Access Control),AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。
简单说来,Harbor封装了Docker的registry v2,帮用户提供了许多便捷管理的特性,方便用户操作。
Harbor提供的特性
- 基于角色控制
用户和仓库都是基于项目进行组织的, 而用户基于项目可以拥有不同的权限。 - 基于镜像的复制策略
镜像可以在多个Harbor实例之间进行复制。 - 支持LDAP
Harbor的用户授权可以使用已经存在LDAP用户。 - 镜像删除 & 垃圾回收
Image可以被删除并且回收Image占用的空间。 - 友好UI
用户可以轻松的浏览、搜索镜像仓库以及对项目进行管理。 - 便于扩展
绝大部分的用户操作API, 方便用户对系统进行扩展。 - 轻松部署
Harbor提供了online、offline安装,除此之外还提供了virtualappliance安装。
Harbor的安装与配置
Harbor的github主页上已经讲得很详细了,在此不再赘述。
Harbor使用过程中的坑
- 配置文件修改
第一次安装Harbor后,mysql的数据会存储在/data/database文件夹下。如果你想修改mysql root密码的话(不管你有没有重装),都要先把/data/database删掉,否则UI容器会一直报“Access denied”的错误,即便是重下镜像也无法解决。(这个问题花费了我大半天的时间,最后终于在官方issues里找到了解决方案T_T)
当然在自己的测试环境里边可以随便玩,但如果想把Harbor部署到生产环境中,强烈建议预先配置好各类环境参数,避免改动。 - Nginx端口修改
Harbor的Nginx端口映射到宿主机的80端口上了,一般情况下我们不希望80端口被占用,所以需要修改docker-compose.yml文件:
proxy:
image: nginx:1.9
container_name: nginx
restart: always
volumes:
-./common/config/nginx:/etc/nginx
ports:
- 9999:80
- 443:443
depends_on:
- mysql
- registry
- ui
- log
然后再修改common/templates/registry/config.yml文件:
auth:
token:
issuer:registry-token-issuer
realm: $ui_url:9999/service/token
rootcertbundle:/etc/registry/root.crt
service: token-service
修改完成后执行sudo ./prepare重新生成配置文件
Registry端口修改(非必需)
按照惯例,开放5000端口给registry使用,则修改docker-compose.yml文件,为registry节点添加posts属性,步骤与修改Nginx配置一样,不再赘述。设置信赖列表
默认情况下,docker对registry的操作是基于https协议的,而Harbor默认是以http协议访问的,如果这时候执行docker login的操作,会得到这样的错误信息:
Error response from daemon: Get https://xx.xxx.xx.xx/v1/users/: dial tcp xx.xxx.xx.xx:443:getsockopt: connection refused
这时候需要修改docker的启动文件(Ubuntu16.04下,这个文件是/lib/systemd/system/docker.service),如下所示:
# Modified,origin: ExecStart=/usr/bin/dockerd -H fd://
ExecStart=/usr/bin/docker daemon -H fd:// --insecure-registry xx.xxx.xx.xx:5000
然后执行命令:
sudo systemctl daemon-reload
sudo systemctl restart docker
Harbor使用
万事俱备,下面我们来试试上传镜像。以docker的官方镜像hello-world为例,先下载好镜像,然后给镜像打tag:
docker tag hello-world xx.xx.xx.xx:5000/test/hello-world
其中“test”为项目名,如果预先没有创建test项目的话,push的时候会提示:
denied: requested access to the resource is denied
那么现在Harbor UI里新建一个test项目,然后执行:
docker push xx.xx.xx.xx:5000/test/hello-world
大功告成!
再来看拉取镜像,启动另一台虚拟机(CentOS系统),然后输入:
docker pull xx.xx.xx.xx:5000/test/hello-world
开个玩笑,你不会真的直接这样输入吧?会报错的:
http: server gave HTTP response to HTTPS client
解决的方法也很简单,在/etc/docker/daemon.json(如果没有就新建)中添加以下代码:
{ "insecure-registries":["xx.xx.xx.xx:5000"] }
仅限于Docker 1.12+,如果使用较低版本的docker,请自行查找解决方案:)