共计 6961 个字符,预计需要花费 18 分钟才能阅读完成。
Docker 容器利用的开发和运行离不开牢靠的镜像治理,尽管 Docker 官网也提供了公共的镜像仓库,然而从平安和效率等方面思考,部署咱们公有环境内的 Registry 也是十分必要的。Harbor 是由 VMware 公司开源的企业级的 Docker Registry 治理我的项目,它包含权限治理(RBAC)、LDAP、日志审核、治理界面、自我注册、镜像复制和中文反对等性能。
Harbor 的所有组件都在 Dcoker 中部署,所以 Harbor 可应用 Docker Compose 疾速部署。
注:因为 Harbor 是基于 Docker Registry V2 版本,所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0
Harbor 的指标是帮忙用户迅速搭建一个企业级的 Docker registry 服务。它 以 Docker 公司开源的 registry 为根底
,额定提供了如下性能:
- 基于角色的访问控制(Role Based Access Control)
- 基于策略的镜像复制(Policy based image replication)
- 镜像的破绽扫描(Vulnerability Scanning)
- AD/LDAP 集成(LDAP/AD support)
- 镜像的删除和空间清理(Image deletion & garbage collection)
- 敌对的治理 UI(Graphical user portal)
- 审计日志(Audit logging)
- RESTful API
- 部署简略(Easy deployment)
架构图
- https://github.com/goharbor/harbor
Harbor 的每个组件都是以 Docker 容器的模式构建的,能够应用 Docker Compose 来进行部署。如果环境中应用了 kubernetes,Harbor 也提供了 kubernetes 的配置文件。
Harbor 大略须要以下几个容器组成:ui(Harbor 的外围服务)、log(运行着 rsyslog 的容器,进行日志收集)、mysql(由官网 mysql 镜像形成的数据库容器)、Nginx(应用 Nginx 做反向代理)、registry(官网的 Docker registry)、adminserver(Harbor 的配置数据管理器)、jobservice(Harbor 的工作治理服务)、redis(用于存储 session)。
Harbor 是一个用于存储和散发 Docker 镜像的企业级 Registry 服务器,整体架构还是很清晰的。上面借用了网上的架构图:
Harbor 依赖的内部组件
-
-> Nginx(即 Proxy 代理层): Nginx 前端代理,次要用于散发前端页面 ui 拜访和镜像上传和下载流量; Harbor 的 registry,UI,token 等服务,通过一个前置的反向代理对立接管浏览器、Docker 客户端的申请,并将申请转发给后端不同的服务。
-
-> Registry v2: 镜像仓库,负责存储镜像文件; Docker 官网镜像仓库, 负责贮存 Docker 镜像,并解决 docker push/pull 命令。因为咱们要对用户进行访问控制,即不同用户对 Docker image 有不同的读写权限,Registry 会指向一个 token 服务,强制用户的每次 docker pull/push 申请都要携带一个非法的 token, Registry 会通过公钥对 token 进行解密验证。
-
-> Database(MySQL 或 Postgresql):为 core services 提供数据库服务,负责贮存用户权限、审计日志、Docker image 分组信息等数据。
Harbor 自有组件
-
-> Core services(Admin Server): 这是 Harbor 的外围性能,次要提供以下服务:
* \-> UI:提供图形化界面,帮忙用户治理 registry 上的镜像(image), 并对用户进行受权。* \-> webhook:为了及时获取 registry 上 image 状态变动的状况,在 Registry 上配置 webhook,把状态变动传递给 UI 模块。* \-> Auth 服务:负责依据用户权限给每个 docker push/pull 命令签发 token. Docker 客户端向 Regiøstry 服务发动的申请, 如果不蕴含 token,会被重定向到这里,取得 token 后再从新向 Registry 进行申请。* \-> API: 提供 Harbor RESTful API
- -> Replication Job Service:提供多个 Harbor 实例之间的镜像同步性能。
- -> Log collector:为了帮忙监控 Harbor 运行,负责收集其余组件的 log,供日后进行剖析。
外围组件
-
Proxy:一个 nginx 的前端代理,代理 Harbor 的 registry,UI, token 等服务。- 通过深蓝色先标识
-
db:负责贮存用户权限、审计日志、Dockerimage 分组信息等数据。
-
UI:提供图形化界面,帮忙用户治理 registry 上的镜像, 并对用户进行受权。
-
jobsevice:jobsevice 是负责镜像复制工作的,他和 registry 通信,从一个 registry pull 镜像而后 push 到另一个 registry,并记录 job\_log。通过紫色线标识
-
Adminserver:是零碎的配置管理核心附带查看存储用量,ui 和 jobserver 启动时候回须要加载 adminserver 的配置。通过灰色线标识;
-
Registry:镜像仓库,负责存储镜像文件。当镜像上传完毕后通过 hook 告诉 ui 创立 repository,上图通过红色线标识,当然 registry 的 token 认证也是通过 ui 组件实现。通过红色线标识
-
Log:为了帮忙监控 Harbor 运行,负责收集其余组件的 log,供日后进行剖析。过 docker 的 log-driver 把日志汇总到一起,通过浅蓝色线条标识
[![](/img/bVcReF4)](https://gitee.com/owen2016/pic-hub/raw/master/pics/20201215235702.png)
装置
1. 下载离线安装包
-
Harbor 以容器的模式进行部署, 因而能够被部署到任何反对 Docker 的 Linux 发行版, 要应用 Harbor,须要装置 docker 和 docker-compose 编排工具
-
拜访 harbor release page,下载 Harbor 软件 tgz 压缩包
-
或执行如下命令
wget https://storage.googleapis.com/harbor-releases/release-2.0.0/harbor-offline-installer-latest.tgz
-
解压 tgz 压缩包
`tar xvf harbor-offline-installer-<version>.tgz`
2. 配置 harbor.cfg(harbor.yml)
注:新版本是.yaml 文件,之前版本是.conf 或者 .cfg 文件
-
解压后文件在当前目录下的
harbor/
目录下``` `cd harbor/` `vim harbor.cfg` `harbor_admin_password = Harbor12345` ```
3. 启动 Harbor
-
配置完后,执行装置脚本
./install.sh
``` `# 会拉取好几个镜像下来,及查看环境 ` `Note: docker version: 1.12.5` `Note: docker-compose version: 1.9.0` `[Step 0]: checking installation environment ...` `....` `[Step 1]: loading Harbor images ...` `....` `[Step 2]: preparing environment ...` `....` `[Step 3]: checking existing instance of Harbor ...` `....` `[Step 4]: starting Harbor ...` `✔ ----Harbor has been installed and started successfully.----` `...` `For more details, please visit https://github.com/vmware/harbor .` ``` 装置实现后,会发现解压目录 harbor 上面多了一个 docker-compose.yml 文件,外面蕴含了 harbor 依赖的镜像和对应容器创立的信息
-
执行 docker-compose ps (执行 docker-compose 需在蕴含 docker-compose.yml 的目录) , 确保 container 的状态都是 up (healthy).
-
如果装置一切顺利,通过之前在 harbor.cfg 配置的 hostname 即能够拜访到前端了.
装置配置问题
Harbor 装置 之后,须要用docker-compose ps
命令去查看状态,保障所有 docker 容器都是 healthy, 否则 很可能 login harbor 失败
如果那个 service 启动不失常,就去查看 /var/log/harbor/ 下对应的 log
`owen@swarm-node-107:/disk/harbor_v2.0.0$ ls /var/log/harbor/ -lht`
` 总用量 22M`
`-rw-r--r-- 1 10000 10000 3.5M 12 月 15 23:03 registryctl.log`
`-rw-r--r-- 1 10000 10000 5.4M 12 月 15 23:02 core.log`
`-rw-r--r-- 1 10000 10000 4.4M 12 月 15 23:02 portal.log`
`-rw-r--r-- 1 10000 10000 4.9M 12 月 15 23:02 registry.log`
`-rw-r--r-- 1 10000 10000 1.2M 12 月 15 23:02 proxy.log`
`-rw-r--r-- 1 10000 10000 392K 12 月 15 23:00 redis.log`
`-rw-r--r-- 1 10000 10000 1.6M 12 月 15 23:00 jobservice.log`
`-rw-r--r-- 1 10000 10000 53K 12 月 14 21:42 postgresql.log`
`-rw-r--r-- 1 10000 10000 65K 7 月 7 23:35 clair.log`
`-rw-r--r-- 1 10000 10000 1.2K 7 月 5 11:43 clair-adapter.log`
`-rw-r--r-- 1 10000 10000 1.4K 7 月 5 11:38 chartmuseum.log`
批改 harbor 的运行配置,须要如下步骤:
`# 进行 harbor`
`docker-compose down -v`
`# 批改配置 `
`vim harbor.cfg`
`# 执行./prepare 已更新配置到 docker-compose.yml 文件 `
`./prepare`
`# 启动 harbor`
`docker-compose up -d`
问题 -1 服务启动异样
ubuntu@172-20-16-51:/opt/harbor$ docker login 192.20.16.51
Username: admin
Password:
Error response from daemon: login attempt to http://192.20.16.51/v2/ failed with status: 502 Bad Gateway
Harbor-db service 不能失常启动,最初查看 postgresql.log 发现上面 message.
`| initdb: directory "/var/lib/postgresql/data" exists but is not empty`
`| If you want to create a new database system, either remove or empty`
`| the directory "/var/lib/postgresql/data" or run initdb`
`| with an argument other than "/var/lib/postgresql/data".`
因为过后 /data/datebase 目录下,的确不是 empty, 手动改了 docker-compose.yml,而后 docker-compose up -d
重新启动容器,服务失常
`postgresql:`
`image: goharbor/harbor-db:v2.0.0`
`container_name: harbor-db`
`restart: always`
`cap_drop:`
`- ALL`
`cap_add:`
`- CHOWN`
`- DAC_OVERRIDE`
`- SETGID`
`- SETUID`
`volumes:`
`- /data/database:/var/lib/postgresql/data:z`
问题 -2- dial tcp xxx.xxx.xxx.xxx:443: connect: connection refused
`# docker login 192.20.16.51:80`
`Username: admin`
`Password:`
`Error response from daemon: Get https://192.20.16.51:80/v2/: http: server gave HTTP response to HTTPS client`
` 或者 `
`Error response from daemon: Get https://192.168.31.107/v2/: dial tcp 192.168.31.107:443: connect: connection refused`
docker1.3.2 版本开始默认 docker registry 应用的是 https,·Harbor 默认装置应用的是 HTTP 协定·,所以当执行用 docker login、pull、push 等命令操作 非 https 的 docker regsitry
的时就会报错。
长期解决办法:须要在每一台 harbor 客户端机器都要设置 ”insecure-registries” (彻底解决须要启动 Harbor HTTPS 证书)
-
如果零碎是 MacOS,则能够点击“Preference”外面的“Advanced”在“Insecure Registry”里加上 hostname (e.g. docker.bksx.com),重启 Docker 客户端就能够了。
-
如果零碎是
Ubuntu
,则批改配置文件/lib/systemd/system/docker.service
,批改[Service] 下 ExecStart 参数,减少–insecure-registry hostname
(e.g. docker.bksx.com) -
如果零碎是
Centos
,能够批改配置/etc/sysconfig/docker
,将 OPTIONS 减少–insecure-registry hostname
(e.g. docker.bksx.com)
如果是新版本的 docker 在 /etc/sysconfig/ 没有 docker 这个配置文件的状况下。
`# 在 daemon.json 中增加以下参数 `
`[root@localhost harbor]# cat /etc/docker/daemon.json`
`{`
`"insecure-registries": [`
`"hostname"`
`]`
`}`
留神:该文件必须合乎 json 标准,否则 Docker 将不能启动。另外 hostname 必须与 harbor.cfg 里的 hostname 统一。
增加完了后重新启动 docker:systemctl daemon-reload && systemctl enable docker && systemctl restart docker
登录后,账号信息都保留到本机的~/.docker/config.json
`owen@swarm-manager-105:~/gitee/vnote_notebooks$ docker login 192.168.31.107`
`Username: admin`
`Password:`
`WARNING! Your password will be stored unencrypted in /home/owen/.docker/config.json.`
`Configure a credential helper to remove this warning. See`
`https://docs.docker.com/engine/reference/commandline/login/#credentials-store`
`Login Succeeded`
`owen@swarm-manager-105:~/gitee/vnote_notebooks$ cat ~/.docker/config.json`
`{`
`"auths": {`
`"192.168.31.107": {`
`"auth": "YWRtaW46SGFyYm9yMTIzNDU="`
`}`
`},`
`"HttpHeaders": {`
`"User-Agent": "Docker-Client/19.03.14 (linux)"`
`}`
问题 -3 避免容器过程没有权限读取生成的配置