Harbor实战

Harbor是什么

Harbor是VMware公司开源的企业级DockerRegistry项目，其目标是帮助用户迅速搭建一个企业级的Dockerregistry服务。
它以Docker公司开源的registry为基础，提供了管理UI，基于角色的访问控制(Role Based Access Control)，AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能，同时还原生支持中文。

简单说来，Harbor封装了Docker的registry v2，帮用户提供了许多便捷管理的特性，方便用户操作。

Harbor提供的特性

• 基于角色控制
  用户和仓库都是基于项目进行组织的， 而用户基于项目可以拥有不同的权限。
• 基于镜像的复制策略
  镜像可以在多个Harbor实例之间进行复制。
• 支持LDAP
  Harbor的用户授权可以使用已经存在LDAP用户。
• 镜像删除 & 垃圾回收
  Image可以被删除并且回收Image占用的空间。
• 友好UI
  用户可以轻松的浏览、搜索镜像仓库以及对项目进行管理。
• 便于扩展
  绝大部分的用户操作API， 方便用户对系统进行扩展。
• 轻松部署
  Harbor提供了online、offline安装，除此之外还提供了virtualappliance安装。

Harbor的安装与配置

Harbor的github主页上已经讲得很详细了，在此不再赘述。

Harbor使用过程中的坑

• 配置文件修改
  第一次安装Harbor后，mysql的数据会存储在/data/database文件夹下。如果你想修改mysql root密码的话（不管你有没有重装），都要先把/data/database删掉，否则UI容器会一直报“Access denied”的错误，即便是重下镜像也无法解决。（这个问题花费了我大半天的时间，最后终于在官方issues里找到了解决方案T_T）
  当然在自己的测试环境里边可以随便玩，但如果想把Harbor部署到生产环境中，强烈建议预先配置好各类环境参数，避免改动。
• Nginx端口修改
  Harbor的Nginx端口映射到宿主机的80端口上了，一般情况下我们不希望80端口被占用，所以需要修改docker-compose.yml文件：

proxy:
    image: nginx:1.9
    container_name: nginx
    restart: always
    volumes:
      -./common/config/nginx:/etc/nginx
    ports:
      - 9999:80
      - 443:443
    depends_on:
      - mysql
      - registry
      - ui
      - log

然后再修改common/templates/registry/config.yml文件：

auth:
  token:
    issuer:registry-token-issuer
    realm: $ui_url:9999/service/token
    rootcertbundle:/etc/registry/root.crt
    service: token-service

修改完成后执行sudo ./prepare重新生成配置文件

• Registry端口修改（非必需）
  按照惯例，开放5000端口给registry使用，则修改docker-compose.yml文件，为registry节点添加posts属性，步骤与修改Nginx配置一样，不再赘述。

• 设置信赖列表
  默认情况下，docker对registry的操作是基于https协议的，而Harbor默认是以http协议访问的，如果这时候执行docker login的操作，会得到这样的错误信息：

Error response from daemon: Get https://xx.xxx.xx.xx/v1/users/: dial tcp xx.xxx.xx.xx:443:getsockopt: connection refused

这时候需要修改docker的启动文件（Ubuntu16.04下，这个文件是/lib/systemd/system/docker.service），如下所示：

# Modified,origin: ExecStart=/usr/bin/dockerd -H fd://
ExecStart=/usr/bin/docker daemon -H fd:// --insecure-registry xx.xxx.xx.xx:5000

然后执行命令：

sudo systemctl daemon-reload
sudo systemctl restart docker

Harbor使用

万事俱备，下面我们来试试上传镜像。以docker的官方镜像hello-world为例，先下载好镜像，然后给镜像打tag：

docker tag hello-world xx.xx.xx.xx:5000/test/hello-world

其中“test”为项目名，如果预先没有创建test项目的话，push的时候会提示：

denied: requested access to the resource is denied

那么现在Harbor UI里新建一个test项目，然后执行：

docker push xx.xx.xx.xx:5000/test/hello-world

大功告成！

再来看拉取镜像，启动另一台虚拟机（CentOS系统），然后输入：

docker pull xx.xx.xx.xx:5000/test/hello-world

开个玩笑，你不会真的直接这样输入吧？会报错的：

http: server gave HTTP response to HTTPS client

解决的方法也很简单，在/etc/docker/daemon.json（如果没有就新建）中添加以下代码：

{ "insecure-registries":["xx.xx.xx.xx:5000"] }

仅限于Docker 1.12+，如果使用较低版本的docker，请自行查找解决方案：）