1.1 什么是 Harbor
Harbor 是 VMware 公司开源的企业级 Docker Registry 项目,其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务。
Harbor以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。
Harbor 的每个组件都是以 Docker 容器的形式构建的,使用 docker-compose 来对它进行部署。用于部署 Harbor 的 docker-compose 模板位于 harbor/docker-compose.yml。
1.2 Harbor优势
基于角色控制:用户和仓库都是基于项目进行组织的,而用户在项目中可以拥有不同的权限。
基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制(同步)。
支持 LDAP/AD:Harbor 可以集成企业内部已有的 AD/LDAP(类似数据库的一张表),用于对已经存在的用户认证和管理。
镜像删除和垃圾回收:镜像可以被删除,也可以回收镜像占用的空间。
图形化用户界面:用户可以通过浏览器来浏览,搜索镜像仓库以及对项目进行管理。
审计管理:所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
支持 RESTful API:RESTful API 提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易。
Harbor和docker registry的关系:Harbor实质上是对docker registry做了封装,扩展了自己的业务模板。
1.3 Harbor构成
Harbor 在架构上主要有 Proxy、Registry、Core services、Database(Harbor-db)、Log collector(Harbor-log)、Job services 六个组件。
官 方 :Harbor
Github:https://github.com/goharbor/harbor
1.4 Harbor的误区
误区一: Harbor是负责存储容器镜像的 (Harbor是镜像仓库,那么它就应当是存储镜像的)
其实关于镜像的存储,Harbor使用的是官方的docker registry服务去完成,至于registry是用本地存储或者s3都是可以的,Harbor的功能是在此之上提供用户权限管理、镜像复制等功能,提高使用的registry的效率。
误区二:Harbor镜像复制是存储直接复制 (镜像的复制,很多人以为应该是镜像分层文件的直接拷贝)
其实Harbor镜像复制采用了一个更加通用、高屋建瓴的做法,通过docker registry 的API去拷贝,这不是省事,这种做法屏蔽了繁琐的底层文件操作、不仅可以利用现有docker registry功能不必重复造轮子,而且可以解决冲突和一致性的问题。
二、Harbor 安装(http)
2.1 两种方式
• 在线安装:从Docker Hub下载Harbor相关镜像,因此安装软件包非常小
• 离线安装:安装包包含部署的相关镜像,因此安装包比较大
2.2 具体安装步骤
2.2.1 先安装Docker和Docker Compose
https://github.com/docker/compose/releases
[root@offline-client harbor]# ll
total 500940
-rw-r--r-- 1 root root 12254032 May 15 19:02 docker-compose-Linux-x86_64
-rw-r--r-- 1 root root 500705880 May 15 18:45 harbor-offline-installer-v2.0.0.tgz
[root@offline-client harbor]#
[root@offline-client harbor]#
[root@offline-client harbor]# mv docker-compose-Linux-x86_64 /usr/bin/docker-compose
[root@offline-client harbor]# chmod +x /usr/bin/docker-compose
[root@offline-client harbor]#
2.2.2 下载Harbor
使用 tar 包的安装离线安装,下载上传到服务器。
https://github.com/goharbor/harbor/archive/refs/tags/v2.5.0.tar.gz
## 使用离线下载的 tar包安装
[root@offline-client harbor]# docker-compose --help
[root@offline-client harbor]# ll
total 491056
-rw-r--r-- 1 root root 3361 May 11 2020 common.sh
-rw-r--r-- 1 root root 502808042 May 11 2020 harbor.v2.0.0.tar.gz
-rw-r--r-- 1 root root 7816 May 11 2020 harbor.yml.tmpl
-rwxr-xr-x 1 root root 2523 May 11 2020 install.sh
-rw-r--r-- 1 root root 11347 May 11 2020 LICENSE
-rwxr-xr-x 1 root root 1856 May 11 2020 prepare
[root@offline-client harbor]#
[root@offline-client harbor]# cp harbor.yml.tmpl harbor.yml
[root@offline-client harbor]#
[root@offline-client harbor]#
2.2.3 harbor.yml 的hostname
先注释掉 https 的连接方式
服务器登录成功, 输入用户名和密码,可以创建客户分配对应的项目权限
进入项目,点击镜像仓库 我们可以看到对应的镜像推送命令
2.2.8 镜像推送
查看是否推送成功
三、Harbor部署Https
3.1 生成SSL证书
cfssl 下载地址:harbor-https-cfssl生成证书_harbor证书生成-kubernetes文档类资源-CSDN下载
分别执行 cfssl.sh 和 certs.sh 脚本 生成证书。"harbor.winnerinf.com"仓库地址换成自己的。
### 下面的证书生成工具可以自己下载,并移动到 /usr/bin目录
[root@docker-harbor ca]# cat cfssl.sh
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl*
mv cfssl_linux-amd64 /usr/bin/cfssl
mv cfssljson_linux-amd64 /usr/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo
### 生成相应的证书
[root@docker-harbor ca]# cat certs.sh
cat > ca-config.json < { "signing": { "default": { "expiry": "87600h" }, "profiles": { "kubernetes": { "expiry": "87600h", "usages": [ "signing", "key encipherment", "server auth", "client auth" ] } } } } EOF cat > ca-csr.json < { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "Beijing", "ST": "Beijing" } ] } EOF cfssl gencert -initca ca-csr.json | cfssljson -bare ca - cat > harbor.winnerinf.com-csr.json < { "CN": "harbor.winnerinf.com", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "ST": "BeiJing" } ] } EOF cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes harbor.winnerinf.com-csr.json | cfssljson -bare harbor.winnerinf.com 3.2 Harbor启用HTTPS 编辑 harbor.yml 启用 https 放开 [root@docker-harbor ca]# pwd /hadoop/software/harbor/ca [root@docker-harbor ca]# ll total 44 -rw-r--r-- 1 root root 294 May 28 12:11 ca-config.json -rw-r--r-- 1 root root 960 May 28 12:11 ca.csr -rw-r--r-- 1 root root 212 May 28 12:11 ca-csr.json -rw------- 1 root root 1679 May 28 12:11 ca-key.pem -rw-r--r-- 1 root root 1273 May 28 12:11 ca.pem -rw-r--r-- 1 root root 1022 May 28 11:30 certs.sh -rwxr-xr-x 1 root root 313 May 28 11:30 cfssl.sh -rw-r--r-- 1 root root 972 May 28 12:11 harbor.winnerinf.com.csr -rw-r--r-- 1 root root 193 May 28 12:11 harbor.winnerinf.com-csr.json -rw------- 1 root root 1679 May 28 12:11 harbor.winnerinf.com-key.pem -rw-r--r-- 1 root root 1322 May 28 12:11 harbor.winnerinf.com.pem [root@docker-harbor ca]# [root@docker-harbor ca]# vim harbor.yml https: port: 443 certificate: /hadoop/software/harbor/ca/harbor.winnerinf.com.pem private_key: /hadoop/software/harbor/ca/harbor.winnerinf.com-key.pem 3.3 重新配置并部署Harbor [root@offline-client harbor]# ./prepare ### [root@offline-client harbor]# docker-compose down [root@offline-client harbor]# docker-compose up -d Creating network "harbor_harbor" with the default driver Creating harbor-log ... done Creating harbor-portal ... done Creating harbor-db ... done Creating registryctl ... done Creating redis ... done Creating registry ... done Creating harbor-core ... done Creating harbor-jobservice ... done Creating nginx ... done [root@offline-client harbor]# 重启后访问就要使用https访问 3.4 将数字证书复制到Docker主机 此时 如果使用其他的docker主机登录 Harbor ,需要将证书分发到对应的docker主机 登录offline-dn03 docker服务器 [root@offline-dn03 ~]# mkdir /etc/docker/certs.d/harbor.winnerinf.com 登录offline-client docker服务器将证书发送到到offline-dn03 docker服务器 [root@offline-client ssl]# cp harbor.winnerinf.com.pem harbor.winnerinf.com.crt [root@offline-client ssl]# ll total 48 -rw-r--r-- 1 root root 294 May 15 20:43 ca-config.json -rw-r--r-- 1 root root 960 May 15 20:43 ca.csr -rw-r--r-- 1 root root 212 May 15 20:43 ca-csr.json -rw------- 1 root root 1679 May 15 20:43 ca-key.pem -rw-r--r-- 1 root root 1273 May 15 20:43 ca.pem -rw-r--r-- 1 root root 1022 May 15 20:43 certs.sh -rwxr-xr-x 1 root root 313 May 15 20:43 cfssl.sh -rw-r--r-- 1 root root 1322 May 15 20:56 harbor.winnerinf.com.crt -rw-r--r-- 1 root root 972 May 15 20:43 harbor.winnerinf.com.csr -rw-r--r-- 1 root root 193 May 15 20:43 harbor.winnerinf.com-csr.json -rw------- 1 root root 1679 May 15 20:43 harbor.winnerinf.com-key.pem -rw-r--r-- 1 root root 1322 May 15 20:43 harbor.winnerinf.com.pem [root@offline-client ssl]# [root@offline-client ssl]# scp harbor.winnerinf.com.crt offline-dn03:/etc/docker/certs.d/harbor.winnerinf.com/ harbor.winnerinf.com.crt 100% 1322 1.3MB/s 00:00 [root@offline-client ssl]# 拷贝到需要访问 harbor的 docker 服务器 就可以 访问 harbor 镜像仓库了。