ubuntu18.04使用harbor部署企业级私有镜像仓库

Harbor简介
Harbor是VMware公司的开源级的企业级DockerRegistry(仓库)项目,项目地址https://github.com/vmware/harbor
Harbor的目标是帮助用户迅速搭建一个企业级的DockerRegistry服务。
Harbor以docker公司开源的registry为基础,提供了管理UI,基于角色的访问控制(Role Based Access Control),AD/LDAP集成,以及审计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。
Harbor的每个组件都是以Docker容器的形式构建的,使用docker-compose来对它进行部署。用于部署Harbor的docker-compose模板位于/usr/local/bin/harbor/docker-compose.yml(自定义)
harbor的特性
1、基于角色控制:用户与Docker镜像仓库通过"项目"进行组织管理,一个用户可以对多个镜像仓库在统一命名空间(projec)里有不同的权限
2、图形化用户界面:用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间
3、审计管理:所有这怒地镜像仓库的错都可以被记录追溯,用于审计管理
4、基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制。
5、支持LDAP认证:Harbor的用户授权可以使用已经存在的用户。
6、镜像删除和垃圾回收:image可以被删除并且回收image占用的空间。
7、简单的部署功能:harbor提供了online、offline安装,此外还提供了virtualappliance安装
8、harbor和docker registry的关系:harbor实质上是对docker registry做了封装,扩展了自己的业务模板
harbor主要有6大模块,默认的每个harbor的组件都被封装成一个docker container,所以可以通过compose来部署harbor,总共分为8个容器运行,通过docker-compose ps来查看
Proxy: Harbor的registry、UI、token services等组件,都处在一个反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端服务上。
Registry: 负责存储Docker镜像,以及处理Docker push/pull请求。因为Harbor强制要求对镜像的访问做权限控制, 在每一次push/pull请求时,Registry会强制要求客户端从token service那里获得一个有效的token。
Core services: Harbor的核心功能,主要包括如下3个服务:
1)UI: 作为Registry Webhook, 以图像用户界面的方式辅助用户管理镜像。1) WebHook是在registry中配置的一种机制, 当registry中镜像发生改变时,就可以通知到Harbor的webhook endpoint。Harbor使用webhook来更新日志、初始化同步job等。 2) Token service会根据该用户在一个工程中的角色,为每一次的push/pull请求分配对应的token。假如相应的请求并没有包含token的话,registry会将该请求重定向到token service。 3) Database 用于存放工程元数据、用户数据、角色数据、同步策略以及镜像元数据。
2)Job services: 主要用于镜像复制,本地镜像可以被同步到远程Harbor实例上。
3)Log collector: 负责收集其他模块的日志到一个地方
harbor配置文件参数
vim /usr/local/harbor/harbor.cfg,关于 Harbor.cfg 配置文件中有两类参数:所需参数和可选参数
所需参数:这些参数需要在配置文件 Harbor.cfg 中设置。如果用户更新它们并运行 install.sh脚本重新安装 Harbour,参数将生效
具体参数如下:

hostname:用于访问用户界面和 register 服务。它应该是目标机器的IP地址或完全限定的域名(FQDN),不要使用 localhost 或 127.0.0.1 为主机名。
ui_url_protocol:(http 或 https,默认为 http)用于访问 UI 和令牌/通知服务的协议。如果公证处于启用状态,则此参数必须为 https。
max_job_workers:镜像复制作业线程
db_password:用于db_auth 的MySQL数据库root 用户的密码
customize_crt:该属性可设置为打开或关闭,默认打开,打开此属性时,准备脚本创建私钥和根证书,用于生成/验证注册表令牌,当由外部来源提供密钥和根证书时,将此属性设置为 off
ssl_cert:SSL 证书的路径,仅当协议设置为 https 时才应用
secretkey_path:用于在复制策略中加密或解密远程 register 密码的密钥路径,可选参数:这些参数对于更新是可选的,即用户可以将其保留为默认值,并在启动 Harbor 后在 Web UI 上进行更新。如果进入 Harbor.cfg,只会在第一次启动 Harbor 时生效,随后对这些参数 的更新,Harbor.cfg 将被忽略,如果选择通过UI设置这些参数,请确保在启动Harbour后立即执行此操作。具体来说,必须在注册或在 Harbor 中创建任何新用户之前设置所需的
auth_mode。当系统中有用户时(除了默认的 admin 用户),auth_mode 不能被修改。
Email:Harbor需要该参数才能向用户发送“密码重置”电子邮件,并且只有在需要该功能时才需要,注意,在默认情况下SSL连接时没有启用。如果SMTP服务器需要SSL,但不支持STARTTLS,那么应该通过设置启用SSL email_ssl = TRUE
harbour_admin_password:管理员的初始密码,只在Harbour第一次启动时生效。之后,此设置将被忽略,并且应 UI中设置管理员的密码,注意,默认的用户名/密码是 admin/Harbor12345。
auth_mode:使用的认证类型,默认情况下,它是 db_auth,即凭据存储在数据库中。对于LDAP身份验证,请将其设置为 ldap_auth
self_registration:启用/禁用用户注册功能。禁用时,新用户只能由 Admin 用户创建,只有管理员用户可以在 Harbour中创建新用户,注意:当 auth_mode 设置为 ldap_auth 时,自注册功能将始终处于禁用状态,并且该标志被忽略。
Token_expiration:由令牌服务创建的令牌的到期时间(分钟),默认为 30 分钟。
project_creation_restriction:用于控制哪些用户有权创建项目的标志。默认情况下, 每个人都可以创建一个项目,如果将其值设置为“adminonly”,那么只有 admin 可以创建项目。
verify_remote_cert:打开或关闭,默认打开。此标志决定了当Harbor与远程 register 实例通信时是否验证 SSL/TLS 证书,将此属性设置为 off 将绕过 SSL/TLS 验证,这在远程实例具有自签名或不可信证书时经常使用

下面我们开始部署harbor,我使用的ubuntu18.04,harbor安装的目前最新版本2.2.3版
首先我们需要安装docker,具体安装这里不再赘述,安装查看之前的教程https://sulao.cn/post/781.html

tar -zxvf harbor-offline-installer-v2.2.3.tgz
sudo mv harbor /usr/local/

创建harbor存储数据卷的目录和日至目录

sudo mkdir /data/harbor
sudo mkdir /data/log/harbor

修改harbor配置文件

cat harbor.yml.tmpl | egrep -v "^$|#" > harbor.yml
vim harbor.yml

最终配置如下

hostname: 192.168.122.198
http:
  port: 80
harbor_admin_password: Harbor12345
database:
  password: root123
  max_idle_conns: 50
  max_open_conns: 1000
data_volume: /data/harbor
trivy:
  ignore_unfixed: false
  skip_update: false
  insecure: false
jobservice:
  max_job_workers: 10
notification:
  webhook_job_max_retry: 10
chart:
  absolute_url: disabled
log:
  level: info
  local:
    rotate_count: 50
    rotate_size: 200M
    location: /data/log/harbor
_version: 2.2.0
proxy:
  http_proxy:
  https_proxy:
  no_proxy:
  components:
    - core
    - jobservice
    - trivy

然后我们进行安装

sudo ./install.sh
[Step 0]: checking if docker is installed ...
Note: docker version: 20.10.2
[Step 1]: checking docker-compose is installed ...
Note: docker-compose version: 1.17.1
✖ Need to upgrade docker-compose package to 1.18.0+.

看到提示docker-composr版本目前的版本低于最低要求,我们需要安装1.18.0以上版本,如果满足了最低版本要求以下安装docker-compose过程可以直接略过
我们这里直接下载1.29.2这个版本,最新版本以及安装教程可以参考这里https://docs.docker.com/compose/install/

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

备份旧版本的docker-compose

sudo mv /usr/bin/docker-compose /usr/bin/docker-compose_bak
sudo chmod +x /usr/local/bin/docker-compose
sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

这样就安装完成了,我们确认下docker-compose版本

docker-compose -v
docker-compose version 1.29.2, build 5becea4c

我们接下来继续安装harbor

sudo ./install.sh

安装完成以后直接访问http://192.168.122.198/,用户名密码是admin/Harbor12345

harbor_web.png
这里完成以后我们需要修改docker配置文件来使用私有仓库,这里的修改同时也是解决https的报错问题

sudo vim /etc/docker/daemon.json
{
    "registry-mirrors": [
        "http://hub-mirror.c.163.com"
    ],
    "insecure-registries": [ 
        "192.168.122.198"
    ]
}

保存,重启docker

sudo systemctl restart docker

然后我们回到harbor管理界面
在项目这里选择新建一个名为test的项目,然后去用户管理界面添加一个用户专门来测试镜像的上传和拉取

harbor_web2.png

用户名密码我设置的sukki/Admin123!@,其他信息可以随便填写
然后回到项目,点击项目名称进入,切换到成员标签,把刚加的sukki添加到这个成员列表内,角色选择开发者就行了
我们返回终端,先拉取一个nginx镜像,然后传到私有harbor仓库试试

docker pull nginx

然后查看docker iamges有一个nginx:latest,我们将其修改下传到harbor仓库试试

docker tag nginx:latest 192.168.122.198/test/nginx:v1

这和之前的registry差不多,主要是中间的test是我刚才创建的项目名称,然后推入仓库

docker push 192.168.122.198/test/nginx:v1

这次报错

unauthorized: unauthorized to access repository: test/nginx, action: push: unauthorized to access repository: test/nginx, action: push

那是因为需要认证,所以我们需要先登陆

docker login 192.168.122.198
Username: sukki
Password: 
WARNING! Your password will be stored unencrypted in /home/sukki/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded

这样就登录成功了,我们再次测试下推入镜像

docker push 192.168.122.198/test/nginx:v1

push_image_to_harbor.png

看到推入成功了,然后我们去harbor页面的项目里面查看下
我们再试试拉取镜像

docker pull 192.168.122.198/test/nginx:v1

pull_images_from_harbor.png

同样也是成功了
登出命令是

docker logout 192.168.122.198

然后最后是harbor启动和停止操作

cd /usr/local/harbor
docker-compose start
docker-compose stop


内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://sulao.cn/post/786.html

我要评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。