Harbor是VMware公司的开源级的企业级DockerRegistry(仓库)项目，项目地址https://github.com/vmware/harbor

Harbor的目标是帮助用户迅速搭建一个企业级的DockerRegistry服务。

Harbor以docker公司开源的registry为基础，提供了管理UI，基于角色的访问控制（Role Based Access Control），AD/LDAP集成，以及审计日志（Auditlogging）等企业用户需求的功能，同时还原生支持中文。

Harbor的每个组件都是以Docker容器的形式构建的，使用docker-compose来对它进行部署。用于部署Harbor的docker-compose模板位于/usr/local/bin/harbor/docker-compose.yml(自定义)
harbor具有以下特性

1、基于角色控制：用户与Docker镜像仓库通过"项目"进行组织管理,一个用户可以对多个镜像仓库在统一命名空间(projec)里有不同的权限

2、图形化用户界面：用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间

3、审计管理：所有这怒地镜像仓库的错都可以被记录追溯，用于审计管理

4、基于镜像的复制策略：镜像可以在多个Harbor实例之间进行复制。

5、支持LDAP认证：Harbor的用户授权可以使用已经存在的用户。

6、镜像删除和垃圾回收：image可以被删除并且回收image占用的空间。

7、简单的部署功能：harbor提供了online、offline安装，此外还提供了virtualappliance安装

8、harbor和docker registry的关系：harbor实质上是对docker registry做了封装，扩展了自己的业务模板

harbor主要有6大模块，默认的每个harbor的组件都被封装成一个docker container，所以可以通过compose来部署harbor，总共分为8个容器运行，通过docker-compose ps来查看

Proxy: Harbor的registry、UI、token services等组件，都处在一个反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端服务上。

Registry: 负责存储Docker镜像，以及处理Docker push/pull请求。因为Harbor强制要求对镜像的访问做权限控制， 在每一次push/pull请求时，Registry会强制要求客户端从token service那里获得一个有效的token。

Core services: Harbor的核心功能，主要包括如下3个服务:

1)UI: 作为Registry Webhook, 以图像用户界面的方式辅助用户管理镜像。1) WebHook是在registry中配置的一种机制， 当registry中镜像发生改变时，就可以通知到Harbor的webhook endpoint。Harbor使用webhook来更新日志、初始化同步job等。 2) Token service会根据该用户在一个工程中的角色，为每一次的push/pull请求分配对应的token。假如相应的请求并没有包含token的话，registry会将该请求重定向到token service。 3) Database 用于存放工程元数据、用户数据、角色数据、同步策略以及镜像元数据。

2)Job services: 主要用于镜像复制，本地镜像可以被同步到远程Harbor实例上。

3)Log collector: 负责收集其他模块的日志到一个地方

harbor配置文件参数
vim /usr/local/harbor/harbor.cfg，关于 Harbor.cfg 配置文件中有两类参数：所需参数和可选参数

所需参数：这些参数需要在配置文件 Harbor.cfg 中设置。如果用户更新它们并运行 install.sh脚本重新安装 Harbour，参数将生效

具体参数如下：

hostname：用于访问用户界面和 register 服务。它应该是目标机器的IP地址或完全限定的域名（FQDN），不要使用 localhost 或 127.0.0.1 为主机名。
ui_url_protocol：（http 或 https，默认为 http）用于访问 UI 和令牌/通知服务的协议。如果公证处于启用状态，则此参数必须为 https。
max_job_workers：镜像复制作业线程
db_password：用于db_auth 的MySQL数据库root 用户的密码
customize_crt：该属性可设置为打开或关闭，默认打开，打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌，当由外部来源提供密钥和根证书时，将此属性设置为 off
ssl_cert：SSL 证书的路径，仅当协议设置为 https 时才应用
secretkey_path：用于在复制策略中加密或解密远程 register 密码的密钥路径，可选参数：这些参数对于更新是可选的，即用户可以将其保留为默认值，并在启动 Harbor 后在 Web UI 上进行更新。如果进入 Harbor.cfg，只会在第一次启动 Harbor 时生效，随后对这些参数 的更新，Harbor.cfg 将被忽略，如果选择通过UI设置这些参数，请确保在启动Harbour后立即执行此操作。具体来说，必须在注册或在 Harbor 中创建任何新用户之前设置所需的
auth_mode。当系统中有用户时（除了默认的 admin 用户），auth_mode 不能被修改。
Email：Harbor需要该参数才能向用户发送“密码重置”电子邮件，并且只有在需要该功能时才需要，注意，在默认情况下SSL连接时没有启用。如果SMTP服务器需要SSL，但不支持STARTTLS，那么应该通过设置启用SSL email_ssl = TRUE
harbour_admin_password：管理员的初始密码，只在Harbour第一次启动时生效。之后，此设置将被忽略，并且应 UI中设置管理员的密码，注意，默认的用户名/密码是 admin/Harbor12345。
auth_mode：使用的认证类型，默认情况下，它是 db_auth，即凭据存储在数据库中。对于LDAP身份验证，请将其设置为 ldap_auth
self_registration：启用/禁用用户注册功能。禁用时，新用户只能由 Admin 用户创建，只有管理员用户可以在 Harbour中创建新用户，注意：当 auth_mode 设置为 ldap_auth 时，自注册功能将始终处于禁用状态，并且该标志被忽略。
Token_expiration：由令牌服务创建的令牌的到期时间（分钟），默认为 30 分钟。
project_creation_restriction：用于控制哪些用户有权创建项目的标志。默认情况下， 每个人都可以创建一个项目，如果将其值设置为“adminonly”，那么只有 admin 可以创建项目。
verify_remote_cert：打开或关闭，默认打开。此标志决定了当Harbor与远程 register 实例通信时是否验证 SSL/TLS 证书，将此属性设置为 off 将绕过 SSL/TLS 验证，这在远程实例具有自签名或不可信证书时经常使用

下面我们开始部署harbor，我使用的ubuntu18.04，harbor安装的目前最新版本2.2.3版，下载地址：https://github.com/goharbor/harbor/releases

首先我们需要安装docker,具体安装这里不再赘述，安装查看之前的教程https://sulao.cn/post/781.html

tar -zxvf harbor-offline-installer-v2.2.3.tgz
sudo mv harbor /usr/local/

创建harbor存储数据卷的目录和日至目录

sudo mkdir /data/harbor
sudo mkdir /data/log/harbor

修改harbor配置文件

cat harbor.yml.tmpl | egrep -v "^$|#" > harbor.yml
vim harbor.yml

最终配置如下

hostname: 192.168.122.198
http:
  port: 80
harbor_admin_password: Harbor12345
database:
  password: root123
  max_idle_conns: 50
  max_open_conns: 1000
data_volume: /data/harbor
trivy:
  ignore_unfixed: false
  skip_update: false
  insecure: false
jobservice:
  max_job_workers: 10
notification:
  webhook_job_max_retry: 10
chart:
  absolute_url: disabled
log:
  level: info
  local:
    rotate_count: 50
    rotate_size: 200M
    location: /data/log/harbor
_version: 2.2.0
proxy:
  http_proxy:
  https_proxy:
  no_proxy:
  components:
    - core
    - jobservice
    - trivy

然后我们进行安装

sudo ./install.sh
[Step 0]: checking if docker is installed ...
Note: docker version: 20.10.2
[Step 1]: checking docker-compose is installed ...
Note: docker-compose version: 1.17.1
✖ Need to upgrade docker-compose package to 1.18.0+.

看到提示docker-composr版本目前的版本低于最低要求，我们需要安装1.18.0以上版本，如果满足了最低版本要求以下安装docker-compose过程可以直接略过

我们这里直接下载1.29.2这个版本，最新版本以及安装教程可以参考这里https://docs.docker.com/compose/install/

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

备份旧版本的docker-compose

sudo mv /usr/bin/docker-compose /usr/bin/docker-compose_bak
sudo chmod +x /usr/local/bin/docker-compose
sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

这样就安装完成了，我们确认下docker-compose版本

docker-compose -v
docker-compose version 1.29.2, build 5becea4c

我们接下来继续安装harbor

sudo ./install.sh

安装完成以后直接访问http://192.168.122.198/，用户名密码是admin/Harbor12345

这里完成以后我们需要修改docker配置文件来使用私有仓库，这里的修改同时也是解决https的报错问题

sudo vim /etc/docker/daemon.json
{
    "registry-mirrors": [
        "http://hub-mirror.c.163.com"
    ],
    "insecure-registries": [ 
        "192.168.122.198"
    ]
}

保存，重启docker

sudo systemctl restart docker

然后我们回到harbor管理界面

在项目这里选择新建一个名为test的项目，然后去用户管理界面添加一个用户专门来测试镜像的上传和拉取

用户名密码我设置的sukki/Admin123!@，其他信息可以随便填写

然后回到项目，点击项目名称进入，切换到成员标签，把刚加的sukki添加到这个成员列表内，角色选择开发者就行了

我们返回终端，先拉取一个nginx镜像，然后传到私有harbor仓库试试

docker pull nginx

然后查看docker iamges有一个nginx:latest，我们将其修改下传到harbor仓库试试

docker tag nginx:latest 192.168.122.198/test/nginx:v1

这和之前的registry差不多，主要是中间的test是我刚才创建的项目名称，然后推入仓库

docker push 192.168.122.198/test/nginx:v1

这次报错

unauthorized: unauthorized to access repository: test/nginx, action: push: unauthorized to access repository: test/nginx, action: push

那是因为需要认证，所以我们需要先登陆

docker login 192.168.122.198
Username: sukki
Password: 
WARNING! Your password will be stored unencrypted in /home/sukki/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded

这样就登录成功了，我们再次测试下推入镜像

docker push 192.168.122.198/test/nginx:v1

看到推入成功了，然后我们去harbor页面的项目里面查看下

我们再试试拉取镜像

docker pull 192.168.122.198/test/nginx:v1

同样也是成功了

登出命令是

docker logout 192.168.122.198

然后最后是harbor启动和停止操作

cd /usr/local/harbor
docker-compose start
docker-compose stop