背景
期望自定义 token service,因此探索下 harbor 的基本架构,得到自定义 token service 实现的具体可操作步骤。
Harbor 架构
上图看不懂?没关系,看下图
核心组件
Chartmuseum:chartmuseum 是 helm chart 的仓库,它的存储层支持 FileSystem 以及各大云厂商的对象存储中间件
Database:数据库组件
Redis: 缓存组件
Nginx:对外访问代理
Core: 核心组件,包括:token,webhook,
Clair: coreos 开源的容器漏洞扫描工具
Notary:一套 docker 镜像的签名工具, 用来保证镜像在 pull,push 和传输工程中的一致性和完整性
Portal:portal 是用 AngularJS 写的前端界面
Registry: docker registry 镜像存储组件
流程
Docker login
Token 鉴权为什么需要 LB 外部地址
参考 https://github.com/goharbor/harbor/blob/master/src/server/middleware/v2auth/auth.go#L112-L118
可以看到,此处在申请 service token 的时候,又一次 redirect 重定向操作。
func tokenSvcEndpoint(req *http.Request) (string, error) {
rawCoreURL := config.InternalCoreURL()
if match(req.Context(), req.Host, rawCoreURL) {
return rawCoreURL, nil
}
return config.ExtEndpoint()
}
Harbor 官方 token 实现
请求 registry 时 返回 401, redirect to token service, 注意下面的 detail 字段 会在 query scope 中传递。
HTTP/1.1 401 Unauthorized
Content-Type: application/json; charset=utf-8
Docker-Distribution-Api-Version: registry/2.0
Www-Authenticate: Bearer realm="https://auth.docker.io/token",service="registry.docker.io",scope="repository:samalba/my-app:pull,push"
Date: Thu, 10 Sep 2015 19:32:31 GMT
Content-Length: 235
Strict-Transport-Security: max-age=31536000
{"errors":[{"code":"UNAUTHORIZED","message":"access to the requested resource is not authorized","detail":[{"Type":"repository","Name":"samalba/my-app","Action":"pull"},{"Type":"repository","Name":"samalba/my-app","Action":"push"}]}]}
Token service 请求例子:/service/token?account=admin&client_id=docker&offline_token=true&service=harbor-registry
参考 https://github.com/goharbor/harbor/blob/master/src/core/service/token/token.go
func (h *Handler) Get() {
request := h.Ctx.Request
log.Debugf("URL for token request: %s", request.URL.String())
service := h.GetString("service")
tokenCreator, ok := creatorMap[service]
if !ok {
errMsg := fmt.Sprintf("Unable to handle service: %s", service)
log.Errorf(errMsg)
h.CustomAbort(http.StatusBadRequest, errMsg)
}
token, err := tokenCreator.Create(request)
if err != nil {
if _, ok := err.(*unauthorizedError); ok {
h.CustomAbort(http.StatusUnauthorized, "")
}
log.Errorf("Unexpected error when creating the token, error: %v", err)
h.CustomAbort(http.StatusInternalServerError, "")
}
h.Data["json"] = token
h.ServeJSON()
}
流程:
获取 Query 的 service params,并得到 tokenCreateor,不通的服务有不同的 token service
创建 token,创建核心是 JWT token, 参考 https://github.com/goharbor/harbor/blob/master/src/core/service/token/authutils.go#L112-L156
返回 token
Token verify
解析 token 入口: https://github.com/goharbor/harbor/blob/master/src/server/middleware/security/v2_token.go#L34-L60
解析token 函数:https://github.com/goharbor/harbor/blob/master/src/pkg/token/token.go#L47-L77
参考文档
VMware Harbor 组件原理分析
Chartmuseum 分析
Github 小 demo
从源码看 Docker Registry v2 中的 Token 认证实现机制(好文,重点看)
聊聊 Harbor 请求 registry 组件 API 的处理过程
https://www.v2ex.com/t/234806