Harbor 简介
Harbor是VMware公司开源的企业级DockerRegistry项目,其目标是帮助用户迅速搭建一个企业级的Dockerregistry服务。
它以Docker公司开源的registry为基础,提供了管理UI,基于角色的访问控制(Role Based Access Control),AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。
架构及组件
- 主要组件包括proxy,他是一个nginx前端代理,主要是分发前端页面ui访问和镜像上传和下载流量,上图通过深蓝色线标志;
- ui提供了一个web管理页面,当然还包括了一个前端页面和后端API,底层使用mysql数据库;
- registry是镜像仓库,负责存储镜像文件,当镜像上传完毕后通过hook通知ui创建repositry,上图通过红色线标志,当然registry的token认证也是通过ui组件完成;
- adminserver是系统的配置管理中心附带检查存储用量,ui个jobservice启动时候需要加载adminserver的配置,通过灰色线标志;
- jobservice是负责镜像复制工作的,他和registry通信,从一个registry pull镜像然后push到另一个registry,并记录job_log,上图通过紫色线标志;log是日志汇总组件,通过docker的log-dirver把日志汇总到一起,通过蓝色线条标志。
依赖 & 部署
- 底座环境: K8s/K3s
- 软件依赖: Helm3 & Git
- 存储依赖: Rook Ceph
# 配置 helm 源
helm repo add harbor https://helm.goharbor.io
helm repo update
helm pull harbor/harbor
tar xf harbor-x.x.x.tgz
- 配置 PV & PVC
云原生的存储类可以有多种选择,nfs 或者 ceph 等多种类型的存储,本文选择 rook 已经在集群中配置好的存储类进行服务访问,查看本地可用的 sc :
kubectl get sc
- 部署检查
# 0 部署
helm install harbor harbor
# 1 查看 pv & pvc
kubectl get pv -A | grep harbor
kubectl get pvc -A | grep harbor
# 2 查看 pod
kubectl get pod -A | grep harbor
# 3 查看 svc
kubectl get svc -A | grep harbor
# 4 查看 ingress
kubectl get ingress -A | grep harbor
- Ingress 配置
备注:helm 部署 harbor 以后,默认的 Ingress 是不可用的,需要结合实际情况进行配置,比如需要考虑到的问题有 Ingress-nginx 还是 treafik 的控制器控制的服务访问,正如我的集群环境使用到的正是基于 K3s 集群的 treafik 负载均衡器,所以配置方式如下:
kubectl get ingress -n default harbor-harbor-ingress -oyaml > harbor-core-ingress.yaml
kubectl get ingress -n default harbor-harbor-ingress-notary -oyaml > harbor-harbor-notary-ingress.yaml
编辑 ingress 的负载映射如下:
kubectl apply -f harbor-core-ingress.yaml
kubectl apply -f harbor-harbor-notary-ingress.yaml
强调说明: 删除无用信息,增加控制器字段,不要名称冲突即可。
- 浏览器访问
配置访问主机hosts:
插件 & 使用
- docker添加harbor证书
对于需要使用harbor仓库的节点,都要添加harbor证书:
kubectl get secrets harbor-harbor-ingress -o jsonpath="{.data.ca\.crt}" | base64 --decode
在边缘节点添加证书,进行登录验证:
# 添加证书验证路径
mkdir -p /etc/docker/certs.d/core.harbor.domain
# 追加上文证书到证书文件中
vi /etc/docker/certs.d/core.harbor.domain/ca.crt
# 追加域名到 /etc/hosts
vi /etc/hosts
[root@vm3290 tmp]# docker login core.harbor.domain -u admin
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
- push插件
[root@vm3290 tmp]# helm plugin install https://github.com/chartmuseum/helm-push
Downloading and installing helm-push v0.9.0 ...
https://github.com/chartmuseum/helm-push/releases/download/v0.9.0/helm-push_0.9.0_linux_amd64.tar.gz
Installed plugin: push
[root@vm3290 tmp]# helm plugin ls
W0215 05:21:14.927672 4760 loader.go:223] Config not found: /etc/rancher/k3s/k3s.yaml
NAME VERSION DESCRIPTION
push 0.9.0 Push chart package to ChartMuseum
拓展阅读
- harbor 进行 helm 管理:
$helm plugin install https://github.com/chartmuseum/helm-push
$helm repo add mylibrary http://core.harbor.domain/chartrepo/library --ca-file /etc/docker/certs.d/core.harbor.domain/ca.crt
$helm repo list
NAME URL
stable https://kubernetes.oss-cn-hangzhou.aliyuncs.com/charts
local http://127.0.0.1:8879/charts
mylibrary http://xxxx/chartrepo/library
bitnami https://charts.bitnami.com
- harbor 上传 charts (helm3 不一定可行,需要结合不同的 helm 版本进行分析):
helm fetch stable/redis-ha #下载charts
helm push redis-ha-2.0.1.tgz mylibrary #上传到私有仓库