一、 实验背景

docker中要使用镜像，一般会从本地、docker Hup公共仓库和其它第三方公共仓库中下载镜像，一般出于安全和外网(墙)资源下载速率的原因考虑企业级上不会轻易使用。

那么有没有一种办法可以存储自己的镜像又有安全认证的仓库呢? 

 企业级环境中基于Harbor搭建自己的安全认证仓库。

Harbor是VMware公司最近开源的企业级Docker Registry项目, 其目标是帮助用户迅速搭建一个企业级的Docker registry服务。

*提供了管理UI

*基于角色的访问控制(Role Based Access Control)

*AD/LDAP集成

*审计日志(Audit logging)

*原生支持中文

二、 相关介绍

Harbor在架构上主要由五个组件构成：

*Proxy：Harbor的registry, UI, token等服务，通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务。

*Registry： 负责储存Docker镜像，并处理docker push/pull 命令。由于我们要对用户进行访问控制，即不同用户对Docker image有不同的读写权限，Registry会指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token 进行解密验证。

*Core services： 这是Harbor的核心功能，主要提供以下服务：

*UI：提供图形化界面，帮助用户管理registry上的镜像（image）, 并对用户进行授权。

*webhook：为了及时获取registry 上image状态变化的情况， 在Registry上配置webhook，把状态变化传递给UI模块。

*token 服务：负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Registry服务发起的请求,如果不包含token，会被重定向到这里，获得token后再重新向Registry进行请求。

*Database：为core services提供数据库服务，负责储存用户权限、审计日志、Docker image分组信息等数据。

*Log collector：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析。

各个组件之间的关系如下图所示：

Harbor的每个组件都是以Docker容器的形式构建的，所以使用Docker Compose来对它进行部署。

用于部署Harbor的Docker Compose 模板位于 /Deployer/docker-compose.yml. 打开这个模板文件，会发现Harbor由5个容器组成：

*proxy: 由Nginx 服务器构成的反向代理。

*registry:由Docker官方的开源registry 镜像构成的容器实例。

*ui: 即架构中的core services, 构成此容器的代码是Harbor项目的主体。

*mysql: 由官方MySql镜像构成的数据库容器。

*log: 运行着rsyslogd的容器，通过log-driver的形式收集其他容器的日志。

这几个容器通过Docker link的形式连接在一起，这样，在容器之间可以通过容器名字互相访问。对终端用户而言，只需要暴露proxy （即Nginx）的服务端口。

Harbor的认证流程

A、首先，请求被代理容器监听拦截，并跳转到指定的认证服务器。

B、如果认证服务器配置了权限认证，则会返回401。通知dockerclient在特定的请求中需要带上一个合法的token。而认证的逻辑地址则指向架构图中的core services。

C、 当docker client接受到错误code。client就会发送认证请求(带有用户名和密码)到coreservices进行basic auth认证。

D、 当C的请求发送给ngnix以后，ngnix会根据配置的认证地址将带有用户名和密码的请求发送到core serivces。

E、 coreservices获取用户名和密码以后对用户信息进行认证(自己的数据库或者介入LDAP都可以)。成功以后，返回认证成功的信息。

Harbor的安装方式

*在线online安装  --> 由于国内墙和网速率的原因，体验不好

*离线offline安装  --> 下载包较大 [ 包含了相关依赖镜像 ]，从官网下载效果不理想

三、实验准备

操作系统： CentOS7.3 Minimal

HarborServer：192.168.1.102

Client(docker)：192.168.1.109

harbor-offline-installer-v1.1.1.tgz

百度云：https://pan.baidu.com/s/1o7LC2d8

Harbor 主机

IP：192.168.1.102

Hostname：www.michael.com

# cat /etc/hosts

192.168.1.102 www.michael.com

docker主机（用来实验向Harbor registry拉取和推送镜像）

IP：192.168.1.109

四、搭建CA，创建相关证书

在Harbor 主机：

1.搭建CA，实现加密传输

安装openssl相关包

# yum -y install pcre pcre-devel zlib-devel openssl openssl-devel

2.创建证书

创建证书存放目录

# mkdir -p /data/cert

# cd /data/cert/

3.创建 CA 根证书

#openssl req  -newkey rsa:4096 \

> -nodes -sha256 -keyout ca.key -x509 -days 365 \

> -out ca.crt -subj "/C=CN/L=Shenzhen/O=Harbor/CN=www.harbor.com"

#  ls

ca.crt    ca.key

4.生成证书签名, 设置访问域名为 www.michael.com

openssl req -newkey rsa:4096 \

> -nodes -sha256 -keyout www.michael.com.key \

> -out www.michael.com.csr -subj "/C=CN/L=Shenzhen/O=XXX/CN=www.michael.com"

# ls

ca.crt  ca.key www.michael.com.csr  www.michael.com.key

5.生成主机的证书

# openssl x509 -req -days 365 -in www.michael.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out www.michael.com.crt

Signature ok

subject=/C=CN/L=Shenzhen/O=XXX/CN=www.michael.com

Getting CA Private Key

# ls

ca.crt  

ca.key  

ca.srl 

www.michael.com.crt

www.michael.com.key

www.michael.com.csr  

五、Harbor安装部署

在Harbor 主机：

1.安装docker 

# yum  -y install docker 

# systemctl start  docker.service

# systemctl enable docker.service

2.安装 docker-compose

#  yum -y  install python-setuptools

# easy_install pip 

#  pip install docker-compose

#  pip install backports.ssl_match_hostname

3.将 harbor-offline-installer-v1.1.1.tgz 上传至 /root

# tar zxf  harbor-offline-installer-v1.1.1.tgz

# cd harbor

4.修改habor配置文件   harbor.cfg 

# vim  harbor.cfg

hostname= www.michael.com       # 指定私有仓库的主机名,可以是IP地址，也可以是域名

ui_url_protocol = https                   # 用户访问私仓时使用的协议，默认时http，配置成https

db_password = root123                 # 指定mysql数据库管理员密码

harbor_admin_password：Harbor12345              # harbor的管理员账户密码

ssl_cert =/data/cert/www.michael.com.crt              # 设置证书文件路径

ssl_cert_key =/data/cert/www.michael.com.key      # 设置证书密钥文件路径

5.执行自带脚本一键安装

# ./install.sh

6.WEB访问

https://192.168.1.102

https://www.michael.com

默认用户名：admin

默认密码：Harbor12345 

 [可通过安装前 harbor.cfg 配置文件修改 harbor_admin_password 指定 ]

*通过 admin 账户登陆创建 test 用户 

*退出 admin 账户登陆 test 用户

*创建 test 项目, 访问级别选择公开

六、客户端（docker机）测试

在 docker机：

1.安装docker

# yum -y isntall docker

2.创建仓库证书存放目录

# mkdir /etc/docker/certs.d/www.michael.com

3.从harbor服务器获取证书至仓库证书目录

# scp root@192.168.1.102:/data/cert/ca.crt /etc/docker/certs.d/www.michael.com/ca.crt

# update-ca-trust

# systemctl restart docker

4.添加 192.168.1.102（www.michael.com）域名解析

# vim   /etc/hosts

192.168.1.102 www.michael.com

5. 用户登陆

# docker login  www.michael.com  -u admin  -p  "XXX"

# docker login  www.michael.com  -u test      -p   "XXX"

# docker pull ubuntu:14.04

# docker tag ubuntu:17.04  www.michael.com/test/ubuntu:17.04

# docker push www.michael.com/test/ubuntu:17.04

关于仓库、用户的 push 和pull权限控制，请上官网查看相关教程

七、关于停止和启动 Harbor(修改配置文件需重启)

在 Harbor 机：

# docker-compose  -f  /root/harbor/docker-compose.yml  down

#  docker-compose  -f  /root/harbor/docker-compose.yml  up  -d

八、参考

企业级Registry开源项目Harbor

http://dockone.io/article/1179;

http://www.cnblogs.com/jicki/p/5737369.html

http://www.jiagoumi.com/work/1221.html

Docker实践：使用Harbor搭建Docker私有仓库

http://www.jiagoumi.com/work/1221.html

http://www.jiagoumi.com/category/work

企业级Docker Registry开源工具Harbor的介绍以及使用指南

https://my.oschina.net/xxbAndy/blog/786712

Docker Harbor registry（http）私有仓库搭建

http://lisea.blog.51cto.com/5491873/1934750

Docker Harbor registry(https)安全认证搭建

https://github.com/vmware/harbor

https://github.com/vmware/harbor/blob/master/docs/installation_guide.md