文章目录

• • 一：Harbor私有仓库介绍
  • • 1.1、什么是Harbor？
    • 1.2、Harbor的特点
    • 1.3、harbor的功能
    • 1.4、harbor的架构
  • 二、Harbor 部署
  • • 2.1、环境准备
    • 2.2、安装compose 和 harbor
    • 2.3、启动harbor
    • 2.4、查看harbor 启动镜像
    • 2.5、harbor 图形化管理
    • 2.6、客户端远程访问管理 harbor
    • 2.7、客户端下载、上传镜像到私有仓库
    • 总结
  • 三、Harbor 管理维护
  • • 3.1、修改 Harbor.cfg 配置文件
    • 3.2、UI 界面操作

部署企业私有仓库往往是很有必要的, 他可以帮助你管理企业的一些敏感镜像，同时由于Docker Hub的下载速度和GFW的原因, 往往需要将一些无法直接下载的镜像导入本地私有仓库，而Harbor就是部署企业私有仓库的一个不二之选

一：Harbor私有仓库介绍

1.1、什么是Harbor？

Harbor是一个开源的容器镜像存储软件，它通过基于角色的访问控制保护镜像，扫描镜像以查找漏洞，并将镜像标记为可信。作为一个CNCF孵化项目，Harbor提供了法规遵从性、性能和互操作性，可以帮助在Kubernetes和Docker等云计算平台上一致、安全地管理镜像

1.2、Harbor的特点

- 安全
安全和漏洞分析
内容签名和验证

- 管理
多租户
可拓展的API和Web UI
跨多个Harbor实例的镜像复制
身份集成和基于角色的访问控制

1.3、harbor的功能

Harbor是VMware公司开源了企业级Registry项目, 其的目标是帮助用户迅速搭建一个企业级的Docker registry服务。它以Docker公司开源的registry为基础，额外提供了如下功能:

基于角色的访问控制(Role Based Access Control)
基于策略的镜像复制(Policy based image replication)
镜像的漏洞扫描(Vulnerability Scanning)
AD/LDAP集成(LDAP/AD support)
镜像的删除和空间清理(Image deletion & garbage collection)
友好的管理UI(Graphical user portal)
审计日志(Audit logging)
RESTful API
部署简单(Easy deployment)

1.4、harbor的架构

从安装组件我们可以看出harbor主要依靠以下几个组件：

• Nginx(Proxy)：用于代理Harbor的registry,UI, token等服务
• db：负责储存用户权限、审计日志、Dockerimage分组信息等数据。
• UI：提供图形化界面，帮助用户管理registry上的镜像, 并对用户进行授权
• jobsevice：负责镜像复制工作的，他和registry通信，从一个registry pull镜像然后push到另一个registry，并记录job_log
• Adminserver：是系统的配置管理中心附带检查存储用量，ui和jobserver启动时候回需要加载adminserver的配置。
• Registry：原生的docker镜像仓库，负责存储镜像文件。
• Log：为了帮助监控Harbor运行，负责收集其他组件的log，记录到syslog中

二、Harbor 部署

2.1、环境准备

主机名	IP	所需软件
harbor	20.0.0.10	docker-ce、harbor、docker-compose
client	20.0.0.20	docker-ce

• 两台主机都安装docker-ce，harbor服务器还需要安装docker-compose

2.2、安装compose 和 harbor

//在线下载docker-compose包
curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
cp -p docker-compose /usr/local/bin/

//在harbor服务器上，在线下载harbor安装包
wget http://harbor.orientsoft.cn/harbor-1.2.2/harbor-offline-installer-v1.2.2.tgz

//解压到/usr/local中
tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/

[root@localhost bin]# cd /usr/local/harbor/    #在下图中可以看到install.sh脚本，还有.yml结尾的编排文件

//修改harbor的参数文件harbor.cfg
vi harbor.cfg
hostname = 20.0.0.10    #修改为harbor服务器IP地址，不能使用 localhost 或者127.0.0.1

2.3、启动harbor

install.sh会直接调用docker-compose.yml，进行编排容器服务
sh /usr/local/harbor/install.sh

2.4、查看harbor 启动镜像

docker images     #查看镜像
docker ps -a      #查看容器

2.5、harbor 图形化管理

如果一切都正常，应该可以打开浏览器访问 http://20.0.0.10 的管理页面，默认 的管理员用户名和密码是 admin/Harbor12345。

• 在harbor.cfg文件里可以找到登录UI界面的默认用户、密码。
  
• 打开浏览器输入harbor的IP地址20.0.0.10 登录UI界面。
  
  
• 在网页harbor上新建一个私有项目myproject-kgc，用来测试上传、下载镜像
  
  此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下，
  Register 服务器在端口 80 上侦听。

//登录harbor的字符界面
docker login -u admin -p Harbor12345 http://127.0.0.1/	

//先从官方公有仓库下载一个镜像
docker pull cirros	

//修改特定的标签，这个标签不能改，127.0.0.1代表本地地址，privateproject指定项目，cirros:v1指定具体镜像名称和版本
docker tag cirros:latest 127.0.0.1/privateproject/cirros:v1	

//上传镜像到私有仓库
docker push 127.0.0.1/privateproject/cirros:v1 

#注意：在harbor服务器上登录、定制tag、上传镜像都需要使用127.0.0.1,而不可以使用20.0.0.10,否则会出现错误

• 在UI界面可以看到刚刚上传的镜像。
  

2.6、客户端远程访问管理 harbor

以上操作都是在 Harbor 服务器本地操作。如果其他客户端上传镜像到 Harbor，就会报
如下错误。出现这问题的原因 Docker Registry 交互默认使用的是 HTTPS，但是搭建私有镜
像默认使用的是 HTTP 服务，所以与私有镜像交互时出现以下错误。

[root@client ~]# docker login  -u admin -p Harbor12345 http://20.0.0.10
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get https://20.0.0.10/v2/: EOF

//解决：

[root@client ~]# vim /usr/lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 20.0.0.10 --containerd=/run/containerd/containerd.sock

[root@client ~]# systemctl daemon-reload 
[root@client ~]# systemctl restart docker

//必须要先指定私有仓库的地址
vi /usr/lib/systemd/system/docker.service
//添加
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --insecure-registry 20.0.0.10
 
//重启服务
[root@client ~]# systemctl daemon-reload 
[root@client ~]# systemctl restart docker.service 

//登录
[root@client ~]# docker login -u admin -p Harbor12345 http://20.0.0.10

2.7、客户端下载、上传镜像到私有仓库

• 1、下载私有仓库的镜像

[root@client ~]# docker pull 20.0.0.10/myproject-kgc /cirros:v1

• 2、上传镜像到私有仓库

//先从官方仓库下载nginx镜像
[root@localhost system]# docker pull nginx

//给nginx镜像打标签
docker tag nginx:latest 20.0.0.10/myproject-kgc/nginx:v2

 docker images

• 上传镜像到私有仓库
  
• 我们在 harbor 界面验证镜像是否上传到私有仓库。
  

总结

在搭建过程中，要注意客户端远程登录私有仓库时，必须先在docker.service文件里指明仓库地址，然后加载并重启docker，之后才能登录。

三、Harbor 管理维护

3.1、修改 Harbor.cfg 配置文件

• 修改harbor.cfg配置文件，先停止现有的Harbor实例并更新harbor.cfg中的配置，然后再运行prepare脚重新加载配置，最后重新创建并且启动harbor的实例。

- 详细步骤如下：

• 1、关闭所有容器

[root@harbor harbor]# pwd
/usr/local/harbor
[root@harbor harbor]# docker-compose down -v

• 2、修改参数文件

[root@harbor harbor]# pwd
/usr/local/harbor
[root@harbor harbor]# vi harbor.cfg         ##修改配置参看实际需求
[root@localhost harbor]# ls          #目录下有prepare脚本，下一步执行
common                     docker-compose.yml     harbor.v1.2.2.tar.gz  NOTICE
docker-compose.clair.yml   harbor_1_1_0_template  install.sh            prepare
docker-compose.notary.yml  harbor.cfg             LICENSE               upgrade

• 3、重新加载配置文件，重启服务

[root@harbor harbor]# ./prepare 		
[root@harbor harbor]# systemctl restart docker 	   ##重启docker服务
[root@harbor harbor]# docker-compose up -d     	   ##启动容器服务
Creating network "harbor_harbor" with the default driver
Creating harbor-log ... done
Creating harbor-db          ... done
Creating registry           ... done
Creating harbor-adminserver ... done
Creating harbor-ui          ... done
Creating nginx              ... done
Creating harbor-jobservice  ... done

3.2、UI 界面操作

• 创建新用户 test-lisi，记住创建的密码，稍后使用 。

• 在项目里添加新的用户成员。
  

• 在client上，使用新用户远程登录harbor，来进行下载和上传镜像

//首先退出已登陆的账号
[root@localhost ~]# docker logout http://20.0.0.10
Removing login credentials for 20.0.0.10

//使用新的账户登录
[root@client ~]# docker login http://20.0.0.10

下载 harbor 仓库内的镜像

• 上传镜像

• 查看UI界面显示上传成功！