Docker容器利用的开发和运行离不开牢靠的镜像治理,尽管Docker官网也提供了公共的镜像仓库,然而从平安和效率等方面思考,部署咱们公有环境内的Registry也是十分必要的。Harbor 是由VMware公司开源的企业级的Docker Registry治理我的项目,它包含权限治理(RBAC)、LDAP、日志审核、治理界面、自我注册、镜像复制和中文反对等性能。

Harbor 的所有组件都在 Dcoker 中部署,所以 Harbor 可应用 Docker Compose 疾速部署。

注: 因为 Harbor 是基于 Docker Registry V2 版本,所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0

Harbor的指标是帮忙用户迅速搭建一个企业级的Docker registry服务。它以Docker公司开源的registry为根底,额定提供了如下性能:

  • 基于角色的访问控制(Role Based Access Control)
  • 基于策略的镜像复制(Policy based image replication)
  • 镜像的破绽扫描(Vulnerability Scanning)
  • AD/LDAP集成(LDAP/AD support)
  • 镜像的删除和空间清理(Image deletion & garbage collection)
  • 敌对的治理UI(Graphical user portal)
  • 审计日志(Audit logging)
  • RESTful API
  • 部署简略(Easy deployment)

架构图

  • https://github.com/goharbor/harbor

Harbor的每个组件都是以Docker容器的模式构建的,能够应用Docker Compose来进行部署。如果环境中应用了kubernetes,Harbor也提供了kubernetes的配置文件。

Harbor大略须要以下几个容器组成:ui(Harbor的外围服务)、log(运行着rsyslog的容器,进行日志收集)、mysql(由官网mysql镜像形成的数据库容器)、Nginx(应用Nginx做反向代理)、registry(官网的Docker registry)、adminserver(Harbor的配置数据管理器)、jobservice(Harbor的工作治理服务)、redis(用于存储session)。

Harbor是一个用于存储和散发Docker镜像的企业级Registry服务器,整体架构还是很清晰的。上面借用了网上的架构图:

Harbor依赖的内部组件

  • -> Nginx(即Proxy代理层): Nginx前端代理,次要用于散发前端页面ui拜访和镜像上传和下载流量; Harbor的registry,UI,token等服务,通过一个前置的反向代理对立接管浏览器、Docker客户端的申请,并将申请转发给后端不同的服务。

  • -> Registry v2: 镜像仓库,负责存储镜像文件; Docker官网镜像仓库, 负责贮存Docker镜像,并解决docker push/pull命令。因为咱们要对用户进行访问控制,即不同用户对Docker image有不同的读写权限,Registry会指向一个token服务,强制用户的每次docker pull/push申请都要携带一个非法的token, Registry会通过公钥对token进行解密验证。

  • -> Database(MySQL或Postgresql):为core services提供数据库服务,负责贮存用户权限、审计日志、Docker image分组信息等数据。

Harbor自有组件

  • -> Core services(Admin Server): 这是Harbor的外围性能,次要提供以下服务:

    *   \-> UI:提供图形化界面,帮忙用户治理registry上的镜像(image), 并对用户进行受权。*   \-> webhook:为了及时获取registry 上image状态变动的状况, 在Registry上配置webhook,把状态变动传递给UI模块。*   \-> Auth服务:负责依据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发动的申请,如果不蕴含token,会被重定向到这里,取得token后再从新向Registry进行申请。*   \-> API: 提供Harbor RESTful API
  • -> Replication Job Service:提供多个 Harbor 实例之间的镜像同步性能。
  • -> Log collector:为了帮忙监控Harbor运行,负责收集其余组件的log,供日后进行剖析。

外围组件

  • Proxy:一个nginx的前端代理,代理Harbor的registry,UI, token等服务。-通过深蓝色先标识

  • db:负责贮存用户权限、审计日志、Dockerimage分组信息等数据。

  • UI:提供图形化界面,帮忙用户治理registry上的镜像, 并对用户进行受权。

  • jobsevice:jobsevice是负责镜像复制工作的,他和registry通信,从一个registry pull镜像而后push到另一个registry,并记录job\_log。通过紫色线标识

  • Adminserver:是零碎的配置管理核心附带查看存储用量,ui和jobserver启动时候回须要加载adminserver的配置。通过灰色线标识;

  • Registry:镜像仓库,负责存储镜像文件。当镜像上传完毕后通过hook告诉ui创立repository,上图通过红色线标识,当然registry的token认证也是通过ui组件实现。通过红色线标识

  • Log:为了帮忙监控Harbor运行,负责收集其余组件的log,供日后进行剖析。过docker的log-driver把日志汇总到一起,通过浅蓝色线条标识

    [![](/img/bVcReF4)](https://gitee.com/owen2016/pic-hub/raw/master/pics/20201215235702.png)

装置

1. 下载离线安装包

  • Harbor以容器的模式进行部署, 因而能够被部署到任何反对Docker的Linux发行版, 要应用Harbor,须要装置docker和docker-compose编排工具

  • 拜访harbor release page,下载Harbor软件tgz压缩包

  • 或执行如下命令 wget https://storage.googleapis.com/harbor-releases/release-2.0.0/harbor-offline-installer-latest.tgz

  • 解压tgz压缩包

    `tar xvf harbor-offline-installer-<version>.tgz`

2. 配置 harbor.cfg (harbor.yml)

注: 新版本是.yaml文件,之前版本是.conf 或者 .cfg文件

  • 解压后文件在当前目录下的harbor/目录下

    ````cd harbor/``vim harbor.cfg``harbor_admin_password = Harbor12345````

3. 启动 Harbor

  • 配置完后,执行装置脚本 ./install.sh

    ````#会拉取好几个镜像下来,及查看环境``Note: docker version: 1.12.5``Note: docker-compose version: 1.9.0``[Step 0]: checking installation environment ...``....``[Step 1]: loading Harbor images ...``....``[Step 2]: preparing environment ...``....``[Step 3]: checking existing instance of Harbor ...``....``[Step 4]: starting Harbor ...``✔ ----Harbor has been installed and started successfully.----``...``For more details, please visit https://github.com/vmware/harbor .````装置实现后,会发现解压目录harbor上面多了一个docker-compose.yml文件,外面蕴含了harbor依赖的镜像和对应容器创立的信息

  • 执行 docker-compose ps (执行docker-compose需在蕴含docker-compose.yml的目录) , 确保 container 的状态都是up (healthy).

  • 如果装置一切顺利,通过之前在harbor.cfg配置的hostname即能够拜访到前端了.

装置配置问题

Harbor装置 之后,须要用docker-compose ps 命令去查看状态,保障所有docker 容器都是 healthy, 否则 很可能login harbor 失败

如果那个service 启动不失常,就去查看/var/log/harbor/ 下对应的log

`owen@swarm-node-107:/disk/harbor_v2.0.0$ ls /var/log/harbor/ -lht``总用量 22M``-rw-r--r-- 1 10000 10000 3.5M 12月 15 23:03 registryctl.log``-rw-r--r-- 1 10000 10000 5.4M 12月 15 23:02 core.log``-rw-r--r-- 1 10000 10000 4.4M 12月 15 23:02 portal.log``-rw-r--r-- 1 10000 10000 4.9M 12月 15 23:02 registry.log``-rw-r--r-- 1 10000 10000 1.2M 12月 15 23:02 proxy.log``-rw-r--r-- 1 10000 10000 392K 12月 15 23:00 redis.log``-rw-r--r-- 1 10000 10000 1.6M 12月 15 23:00 jobservice.log``-rw-r--r-- 1 10000 10000  53K 12月 14 21:42 postgresql.log``-rw-r--r-- 1 10000 10000  65K 7月   7 23:35 clair.log``-rw-r--r-- 1 10000 10000 1.2K 7月   5 11:43 clair-adapter.log``-rw-r--r-- 1 10000 10000 1.4K 7月   5 11:38 chartmuseum.log`

批改harbor的运行配置,须要如下步骤:

`# 进行 harbor` `docker-compose down -v``# 批改配置` `vim harbor.cfg``# 执行./prepare已更新配置到docker-compose.yml文件` `./prepare``# 启动 harbor` `docker-compose up -d`

问题-1 服务启动异样

ubuntu@172-20-16-51:/opt/harbor$ docker login 192.20.16.51
Username: admin
Password:
Error response from daemon: login attempt to http://192.20.16.51/v2/ failed with status: 502 Bad Gateway

Harbor-db service 不能失常启动,最初查看postgresql.log 发现上面 message.

 `| initdb: directory "/var/lib/postgresql/data" exists but is not empty` `| If you want to create a new database system, either remove or empty` `| the directory "/var/lib/postgresql/data" or run initdb` `| with an argument other than "/var/lib/postgresql/data".`

因为过后/data/datebase 目录下,的确不是empty, 手动改了docker-compose.yml ,而后 docker-compose up -d 重新启动容器,服务失常

 `postgresql:` `image: goharbor/harbor-db:v2.0.0` `container_name: harbor-db` `restart: always` `cap_drop:` `- ALL` `cap_add:` `- CHOWN` `- DAC_OVERRIDE` `- SETGID` `- SETUID` `volumes:` `- /data/database:/var/lib/postgresql/data:z`

问题-2- dial tcp xxx.xxx.xxx.xxx:443: connect: connection refused

`# docker login 192.20.16.51:80``Username: admin``Password:``Error response from daemon: Get https://192.20.16.51:80/v2/: http: server gave HTTP response to HTTPS client``或者``Error response from daemon: Get https://192.168.31.107/v2/: dial tcp 192.168.31.107:443: connect: connection refused`

docker1.3.2版本开始默认docker registry应用的是https,·Harbor默认装置应用的是HTTP协定·,所以当执行用docker login、pull、push等命令操作非https的docker regsitry的时就会报错。

长期解决办法:须要在每一台harbor客户端机器都要设置"insecure-registries" (彻底解决须要启动Harbor HTTPS证书)

  • 如果零碎是MacOS,则能够点击“Preference”外面的“Advanced”在“Insecure Registry”里加上hostname (e.g. docker.bksx.com),重启Docker客户端就能够了。

  • 如果零碎是Ubuntu,则批改配置文件/lib/systemd/system/docker.service,批改[Service]下ExecStart参数,减少–insecure-registry hostname (e.g. docker.bksx.com)

  • 如果零碎是Centos,能够批改配置/etc/sysconfig/docker,将OPTIONS减少 –insecure-registry hostname (e.g. docker.bksx.com)

如果是新版本的docker在/etc/sysconfig/ 没有docker这个配置文件的状况下。

`#在daemon.json中增加以下参数``[root@localhost harbor]# cat /etc/docker/daemon.json``{` `"insecure-registries": [` `"hostname"` `]``}`

留神:该文件必须合乎 json 标准,否则 Docker 将不能启动。另外hostname 必须与harbor.cfg 里的hostname 统一。

增加完了后重新启动 docker:systemctl daemon-reload && systemctl enable docker && systemctl restart docker

登录后,账号信息都保留到本机的~/.docker/config.json

`owen@swarm-manager-105:~/gitee/vnote_notebooks$ docker login 192.168.31.107``Username: admin``Password:` `WARNING! Your password will be stored unencrypted in /home/owen/.docker/config.json.``Configure a credential helper to remove this warning. See``https://docs.docker.com/engine/reference/commandline/login/#credentials-store``Login Succeeded``owen@swarm-manager-105:~/gitee/vnote_notebooks$ cat ~/.docker/config.json` `{` `"auths": {` `"192.168.31.107": {` `"auth": "YWRtaW46SGFyYm9yMTIzNDU="` `}` `},` `"HttpHeaders": {` `"User-Agent": "Docker-Client/19.03.14 (linux)"` `}`

问题-3 避免容器过程没有权限读取生成的配置