镜像仓库Harbor的搭建与理解

简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。

  • 基于角色的访问控制 - 用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。
  • 镜像复制 - 镜像可以在多个Registry实例中复制(同步)。尤其适合于负载均衡,高可用,混合云和多云的场景。
  • 图形化用户界面 - 用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。
  • AD/LDAP 支持 - Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。
  • 审计管理 - 所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。
    国际化 - 已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。
  • RESTful API - RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。
  • 部署简单 - 提供在线和离线两种安装工具, 也可以安装到vSphere平台(OVA方式)虚拟设备。
    摘自于——Harbor简介

注:对于以下的操作,建议在linux系统上进行,如Ubuntu,CentOS等;若你要在mac上进行,也建议你在mac上启动的一个linux的docker容器中进行安装,即使mac对于开发人员来说的确方便了很多,但是在部署一个平台的时候,总是会遇到各种各样的坑;windows用户同样在docker中搭建;我在mac上部署harbor时遇到很多坑,本文不会提及这些坑,也不会有写相应的解决方法解决这些坑

Harbor的安装

Harbor在github上的地址,从readme.md中可以知道安装的方式分为

  • Online installer(这是harbor的一种安装方式,与本文标题线上搭建无关联)
  • Offline installer(本文主讲)
  • OVA installer

至于Online installer和OVA installer这两种搭建方式,本文不会提及,有兴趣的同学可以自己尝试,相信在看完本文之后你也可以完成自己的Harbor仓库的搭建。

Offline installer

在官方的发布版本中,找到一个最新的发布版本(本文写与2018.06.29,官方version为1.5.1)
下载之后会得到一个类似于harbor-offline-installer-v1.5.1.tgz的文件,用命令

tar zxvf harbor-offline-installer-vx.x.x.tgz harbor

将其解压到harbor文件中。

harbor文件夹分析

打开解压之后的harbor文件,会发现主要有以下一些文件

  • 几个docker-compose开头,.yml为后缀的文件;其作用是用docker-compose启动Harbor
  • common文件夹;其中存放的是harbor下几个容器的配置文件,其中的templates是配置文件的模板
  • ha文件夹;ha是High Availability(高可用)的简称,在其下可以搭建一个HA模式的harbor镜像仓库
  • harbor.cfg;启动harbor时使用的配置文件
  • prepare和install.sh;prepare由python写成,而install.sh则是一个shell脚本,在配置好harbor.cfg之后,执行sudo ./prepare命令会在common文件夹下生成一个config文件夹,里面存放的则是docker-compose.yml中的那些services所需要的配置文件
配置harbor.cfg

由于harbor.cfg配置内容众多,不同版本的harbor.cfg也不尽相同,所以此处不列出来,只提一些重要的,以及在部署中会用到的做讲解。

  • hostname:配置harbor的访问域名
  • ui_url_protocol:配置访问的方式是http或https;如果是http,则可以忽略ssl的两个属性
  • ssl_cert和ssl_cert_key:如果是通过https来访问harbor,则这两个属性一定要有可用证书
  • secretkey_path:secretkey的存储path,它被于docker-compose.yml中service为ui所用,这在docker-compose.yml中可以查看
  • email,db和redis的配置:作为开发人员一看就懂,不做赘述
  • 其他:ldap的配置此文不讲,因为我也只知道它是一个轻量级目录访问协议而已

注:secretkey_path的值对于新手来说不建议更改,否则在启动harbor时会发现部分容器的状态始终为unhealthy,若要修改也是可以的,文章后会提及

安装
  • 在配置好了harbor.cfg之后,执行sudo ./prepare命令,为harbor启动的容器生成一些必要的文件(环境)
  • 再执行命令sudo ./install.sh以pull镜像并启动容器

如果一切顺利,此时你访问你所配置的hostname,应该能顺利访问harbor的主页面了,密码如果没有在harbor.cfg里面更改过,那么账号密码默认是admin/Harbor12345

Https的配置
  • 线下https的配置:关于harbor.cfg中ui_url_protocol的配置,如果是https,那么会涉及到https证书的问题,在linux系统中,都有一个工具openssl,可以用它为你的域名生成ssl证书,这里可以参照官方给出的教程;这一些列完成之后,记得修改hosts文件中添加dns解析
  • 线上https的配置:如果你想要在线上部署harbor,那么你得有一台服务器和一个域名,然后到阿里云(此处只是举例,也可以是其他的云服务平台)上做dns解析,你可以申请一个免费ssl证书,使用nginx的证书,下载之后挂在到harbor.cfg下的ssl_cert和ssl_cert_key上面, 重新执行安装的两个步骤

理解

这里主要理解harbor下的ui服务,它会对我们之后使用docker-compose进行项目部署有很好的启发作用,尤其是前后端分离的项目,以及多个容器之间的数据交互。

打开harbor项目所在的目录,使用命令

docker-compose ps

可看到类似于如下内容


harbor.png

可以看到harbor-ui这个容器的Command是/harbor/start.sh,我们用命令

docker-compose exec ui /bin/bash

进入harbor-ui容器看看它这个start.sh做了些什么;注意这里的命令使用ui而不是harbor-ui的原因是因为docker-compose exec进入的是一个service,而harbor-ui这个容器在docker-compose.yml中是一个名为ui的service


/harbor/start.sh
  • 可以看到这个shell的主要功能是为/etc/ui目录下的所有文件赋予可读权限,然后以管理员的身份执行/harbor/harbor_ui这个二进制文件

  • 而/etc/ui下的文件是ui的一些配置文件和证书等等之类的文件,这点可以在docker-compose.yml的ui下的volumes可以查看

  • 同时可以在docker-compose.yml的ui下发现ui根本没挂载过任何静态文件,所以上图中看到的/harbor文件下的所有都是打包在了镜像里面(也就是vmware/harbor-ui:v1.5.1里面)

  • 而对于/harbor/harbor_ui这个二进制文件的作用,大致可以推测出来,是将static下的文件以一个端口的形式暴露出来,以容器外部能正常访问这些静态文件。这点对之后用docker-compose部署项目很有帮助

  • 从harbor.png中看到harbor-ui并未对外开放任何端口,这里的对外是指对docker-compose中的一个network外;也就是说,harbor-ui其实开放了8080端口的,这点可以在harbor-ui容器中的/etc/ui/app.conf中查看,这个开放的端口在docker-compose下的一组servcies下的其他容器是可以访问的,其实就是这几个容器组成了一个内网,相互之间都可以通过service_name:port的形式访问其他容器中的服务

这就是harbor的搭建和理解,由这篇文章衍生的docker-compose的项目部署已写好

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,029评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,395评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,570评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,535评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,650评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,850评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,006评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,747评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,207评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,536评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,683评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,342评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,964评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,772评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,004评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,401评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,566评论 2 349

推荐阅读更多精彩内容