镜像仓库Harbor的搭建与理解

简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，通过添加一些企业必需的功能特性，例如安全、标识和管理等，扩展了开源Docker Distribution。作为一个企业级私有Registry服务器，Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制，镜像全部保存在私有Registry中， 确保数据和知识产权在公司内部网络中管控。另外，Harbor也提供了高级的安全特性，诸如用户管理，访问控制和活动审计等。

• 基于角色的访问控制 - 用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。
• 镜像复制 - 镜像可以在多个Registry实例中复制（同步）。尤其适合于负载均衡，高可用，混合云和多云的场景。
• 图形化用户界面 - 用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。
• AD/LDAP 支持 - Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。
• 审计管理 - 所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。
  国际化 - 已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。
• RESTful API - RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。
• 部署简单 - 提供在线和离线两种安装工具， 也可以安装到vSphere平台(OVA方式)虚拟设备。
  摘自于——Harbor简介

---

注：对于以下的操作，建议在linux系统上进行，如Ubuntu，CentOS等；若你要在mac上进行，也建议你在mac上启动的一个linux的docker容器中进行安装，即使mac对于开发人员来说的确方便了很多，但是在部署一个平台的时候，总是会遇到各种各样的坑；windows用户同样在docker中搭建；我在mac上部署harbor时遇到很多坑，本文不会提及这些坑，也不会有写相应的解决方法解决这些坑

Harbor的安装

Harbor在github上的地址，从readme.md中可以知道安装的方式分为

• Online installer（这是harbor的一种安装方式，与本文标题线上搭建无关联）
• Offline installer（本文主讲）
• OVA installer

至于Online installer和OVA installer这两种搭建方式，本文不会提及，有兴趣的同学可以自己尝试，相信在看完本文之后你也可以完成自己的Harbor仓库的搭建。

Offline installer

在官方的发布版本中,找到一个最新的发布版本（本文写与2018.06.29，官方version为1.5.1）
下载之后会得到一个类似于harbor-offline-installer-v1.5.1.tgz的文件，用命令

tar zxvf harbor-offline-installer-vx.x.x.tgz harbor

将其解压到harbor文件中。

harbor文件夹分析

打开解压之后的harbor文件，会发现主要有以下一些文件

• 几个docker-compose开头，.yml为后缀的文件；其作用是用docker-compose启动Harbor
• common文件夹；其中存放的是harbor下几个容器的配置文件，其中的templates是配置文件的模板
• ha文件夹；ha是High Availability（高可用）的简称，在其下可以搭建一个HA模式的harbor镜像仓库
• harbor.cfg；启动harbor时使用的配置文件
• prepare和install.sh；prepare由python写成，而install.sh则是一个shell脚本，在配置好harbor.cfg之后，执行sudo ./prepare命令会在common文件夹下生成一个config文件夹，里面存放的则是docker-compose.yml中的那些services所需要的配置文件

配置harbor.cfg

由于harbor.cfg配置内容众多，不同版本的harbor.cfg也不尽相同，所以此处不列出来，只提一些重要的，以及在部署中会用到的做讲解。

• hostname：配置harbor的访问域名
• ui_url_protocol：配置访问的方式是http或https；如果是http，则可以忽略ssl的两个属性
• ssl_cert和ssl_cert_key：如果是通过https来访问harbor，则这两个属性一定要有可用证书
• secretkey_path：secretkey的存储path，它被于docker-compose.yml中service为ui所用，这在docker-compose.yml中可以查看
• email,db和redis的配置：作为开发人员一看就懂，不做赘述
• 其他：ldap的配置此文不讲，因为我也只知道它是一个轻量级目录访问协议而已

注:secretkey_path的值对于新手来说不建议更改，否则在启动harbor时会发现部分容器的状态始终为unhealthy，若要修改也是可以的，文章后会提及

安装

• 在配置好了harbor.cfg之后，执行sudo ./prepare命令，为harbor启动的容器生成一些必要的文件（环境）
• 再执行命令sudo ./install.sh以pull镜像并启动容器

如果一切顺利，此时你访问你所配置的hostname，应该能顺利访问harbor的主页面了，密码如果没有在harbor.cfg里面更改过，那么账号密码默认是admin/Harbor12345

Https的配置

• 线下https的配置：关于harbor.cfg中ui_url_protocol的配置，如果是https，那么会涉及到https证书的问题，在linux系统中，都有一个工具openssl，可以用它为你的域名生成ssl证书，这里可以参照官方给出的教程；这一些列完成之后，记得修改hosts文件中添加dns解析
• 线上https的配置：如果你想要在线上部署harbor，那么你得有一台服务器和一个域名，然后到阿里云（此处只是举例，也可以是其他的云服务平台）上做dns解析，你可以申请一个免费ssl证书，使用nginx的证书，下载之后挂在到harbor.cfg下的ssl_cert和ssl_cert_key上面， 重新执行安装的两个步骤

理解

这里主要理解harbor下的ui服务，它会对我们之后使用docker-compose进行项目部署有很好的启发作用，尤其是前后端分离的项目，以及多个容器之间的数据交互。

打开harbor项目所在的目录，使用命令

docker-compose ps

可看到类似于如下内容

harbor.png

可以看到harbor-ui这个容器的Command是/harbor/start.sh，我们用命令

docker-compose exec ui /bin/bash

进入harbor-ui容器看看它这个start.sh做了些什么；注意这里的命令使用ui而不是harbor-ui的原因是因为docker-compose exec进入的是一个service，而harbor-ui这个容器在docker-compose.yml中是一个名为ui的service

/harbor/start.sh

• 可以看到这个shell的主要功能是为/etc/ui目录下的所有文件赋予可读权限，然后以管理员的身份执行/harbor/harbor_ui这个二进制文件

• 而/etc/ui下的文件是ui的一些配置文件和证书等等之类的文件，这点可以在docker-compose.yml的ui下的volumes可以查看

• 同时可以在docker-compose.yml的ui下发现ui根本没挂载过任何静态文件，所以上图中看到的/harbor文件下的所有都是打包在了镜像里面（也就是vmware/harbor-ui:v1.5.1里面）

• 而对于/harbor/harbor_ui这个二进制文件的作用，大致可以推测出来，是将static下的文件以一个端口的形式暴露出来，以容器外部能正常访问这些静态文件。这点对之后用docker-compose部署项目很有帮助

• 从harbor.png中看到harbor-ui并未对外开放任何端口，这里的对外是指对docker-compose中的一个network外；也就是说，harbor-ui其实开放了8080端口的，这点可以在harbor-ui容器中的/etc/ui/app.conf中查看，这个开放的端口在docker-compose下的一组servcies下的其他容器是可以访问的，其实就是这几个容器组成了一个内网，相互之间都可以通过service_name:port的形式访问其他容器中的服务

这就是harbor的搭建和理解，由这篇文章衍生的docker-compose的项目部署已写好