2. 程式人生 > >docker harbor搭建筆記

docker harbor搭建筆記

阿新 發佈:2019-09-23

介紹

Harbor是VMware公司開源的一個用於儲存和分發Docker映象的企業級Registry伺服器,以Docker開源的Registry為基礎,通過新增一些企業必需的功能特性,例如安全、標識和管理等,擴充套件了開源Docker Distribution。作為一個企業級私有Registry伺服器,Harbor提供了更好的效能和安全,提升使用者使用Registry構建和執行環境傳輸映象的效率。Harbor支援安裝在多個Registry節點的映象資源複製,映象全部儲存在私有Registry中,確保資料和智慧財產權在公司內部網路中管控。另外,Harbor也提供了高階的安全特性,諸如使用者管理,訪問控制和活動審計等。

Harbor特性

  • 基於角色的訪問控制(Role Based Access Control)
  • 基於策略的映象複製(Policy based image replication)
  • 映象的漏洞掃描(Vulnerability Scanning)
  • AD/LDAP整合(LDAP/AD support)
  • 映象的刪除和空間清理(Image deletion & garbage collection)
  • 友好的管理UI(Graphical user portal)
  • 審計日誌(Audit logging)
  • RESTful API
  • 部署簡單(Easy deployment)

Harbor元件

  • 依賴的外部元件:

    1. Nginx(Proxy): Harbor的Registry、UI、Token等服務,通過一個前置的反向代理統一接收瀏覽器、Docker客戶端的請求,並將請求轉發給後端不同的服務。
    2. Registry v2: Docker官方映象倉庫, 負責儲存Docker映象,並處理Docker Push/Pull命令。由於我們要對使用者進行訪問控制,即不同使用者對Docker映象有不同的讀寫許可權,Registry會指向一個Token服務,強制使用者的每次Docker Push/Pull請求都要攜帶一個合法的Token, Registry會通過公鑰對Token進行解密驗證。
    3. Database(MySQL/Postgresql):為Core Services提供資料庫服務,負責儲存使用者許可權、審計日誌、Docker映象分組資訊等資料。

  • Harbor自己的元件:

    1. Core Services(Admin Server): 這是Harbor的核心功能,主要提供以下服務:
      • API:提供Harbor RESTful API
      • UI:提供圖形化介面,幫助使用者管理Registry上的映象, 並對使用者進行授權。
      • Webhook:為了及時獲取Registry上映象狀態變化的情況,在Registry上配置Webhook,把狀態變化傳遞給UI模組。
      • Auth服務:負責根據使用者許可權給每個Docker Push/Pull命令簽發Token。Docker客戶端向Registry服務發起的請求,如果不包含Token,會被重定向到這裡,獲得Token後再重新向Registry進行請求。
    2. Replication Job Service:提供多個Harbor例項之間的映象同步功能。
    3. Log Collector:為了幫助監控Harbor執行,負責收集其他元件的日誌,供日後進行分析。

harbor架構圖

 

harbor 安裝

# 安裝方式分為線上安裝和離線安裝兩種方式,這裡採用線上安裝方式

# 下載線上安裝程式
# wget -P /usr/local https://storage.googleapis.com/harbor-releases/release-1.7.0/harbor-online-installer-v1.7.1.tgz

# 解壓下載檔案
# tar zxf /usr/local/harbor-online-installer-v1.7.1.tgz -C /usr/local/

# 修改配置檔案,根據自己的需求進行修改
# vim /usr/local/harbor/harbor.cfg
# 本機IP或者域名,不能是127.0.0.1或者localhost
hostname = 192.168.1.130 或者域名xxx.com
# 系統Harbor管理員的密碼
harbor_admin_password = Harbor12345
# 禁止使用者註冊
self_registration = off
# 設定只有管理員可以建立專案
project_creation_restriction = adminonly

# 由於Harbor的Nginx元件預設會監聽宿主機的80、443、4443埠,如果需要更改Nginx的埠對映,可以修改以下配置檔案
# vim /usr/local/harbor/docker-compose.yml
 ports:
      - 8082:80
      - 443:443
      - 4443:4443

# 如果上面更改了Nginx的80埠對映,此時還需要編輯Harbor的配置檔案,修改hostname加上指定的埠號
# vim harbor.cfg
hostname = 192.168.1.130:8082

# 執行安裝指令碼
# /usr/local/harbor/install.sh

# Harbar的日誌目錄是:/var/log/harbor
# Harbar相關資料卷的掛載目錄預設是宿主機的/data目錄,如果重新安裝Harbar並在配置檔案裡更改了資料庫密碼,則需要刪除/data目錄,否則Harbor部分元件會啟動失敗

harbor操作

# 如果某個Harbor元件啟動失敗,可以在日誌目錄/var/log/harbor下檢視具體的日誌資訊,進一步定位啟動失敗的原因
# 啟動時Harbor預設會監聽宿主機的80、443、4443埠,啟動Harbor之前必須確保宿主機的80、443、4443埠不被佔用,否則Harbor相關元件會啟動失敗。

# 檢視Harbor容器的執行狀態
# docker ps

# 或者通過docker-compose檢視,此時需要進入Harbor安裝指令碼所在的目錄裡執行相關命令
# cd /usr/local/harbor

# 檢視Harbor容器的執行狀態
# docker-compose ps
       Name                     Command                  State                                    Ports
-------------------------------------------------------------------------------------------------------------------------------------
harbor-adminserver   /harbor/start.sh                 Up (healthy)
harbor-core          /harbor/start.sh                 Up (healthy)
harbor-db            /entrypoint.sh postgres          Up (healthy)   5432/tcp
harbor-jobservice    /harbor/start.sh                 Up
harbor-log           /bin/sh -c /usr/local/bin/ ...   Up (healthy)   127.0.0.1:1514->10514/tcp
harbor-portal        nginx -g daemon off;             Up (healthy)   80/tcp
nginx                nginx -g daemon off;             Up (healthy)   0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp, 0.0.0.0:80->80/tcp
redis                docker-entrypoint.sh redis ...   Up             6379/tcp
registry             /entrypoint.sh /etc/regist ...   Up (healthy)   5000/tcp
registryctl          /harbor/start.sh                 Up (healthy)

# 啟動Harbor容器
# docker-compose start

# 停止Harbor容器
# docker-compose stop

# 重啟Harbor容器
# docker-compose restart

# 停止並刪除Harbor容器,加上-v引數可以同時移除掛載在容器上的目錄
# docker-compose down

# 建立並啟動Harbo容器,引數“-d”表示後臺執行命令
# docker-compose up -d

至此,harbor算是安裝完成了(http方式),不過這種方式還得去每個機器上配置docker deamon檔案,生產中建議使用https方式

安裝證書

# 下面以IP:192.168.1.130為例子,實際操作中將命令中的IP地址修改為自己的IP地址即可

# 建立存放證書的臨時目錄
# mkdir ~/cert
# cd ~/cert

# 建立自簽名根證書
# openssl req \
    -newkey rsa:4096 -nodes -sha256 -keyout ca.key \
    -x509 -days 1000 -out ca.crt \
    -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=test_company/OU=IT/CN=test/[email protected]"

# ls
ca.crt  ca.key

# 產生證書籤名請求
# openssl req \
    -newkey rsa:4096 -nodes -sha256 -keyout harbor-registry.key \
    -out harbor-registry.csr \
    -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=test_company/OU=IT/CN=192.168.1.130/[email protected]"

# ls
ca.crt  ca.key  harbor-registry.csr  harbor-registry.key

# 為Registry主機產生證書
# echo subjectAltName = IP:192.168.1.130 > extfile.cnf  這裡ip可根據需要配置為域名,如xx.com
# openssl x509 -req -days 1000 -in harbor-registry.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out harbor-registry.crt
# ls
ca.crt  ca.key  ca.srl  extfile.cnf  harbor-registry.crt  harbor-registry.csr  harbor-registry.key

# 建立Harbor的證書目錄
# mkdir -p /opt/cert

# 拷貝harbor-registry證書到Harbor的證書目錄
# cp harbor-registry.crt /opt/cert/
# cp harbor-registry.key /opt/cert/

 

配置harbor

# 進入Harbor的安裝目錄
# cd /usr/local/harbor

# 停止並刪除Harbor容器,加上-v引數可以同時移除掛載在容器上的目錄
# docker-compose down

# 修改harbor.cfg配置檔案
# vim /usr/local/harbor/harbor.cfg
ui_url_protocol = https
hostname = 192.168.1.130
ssl_cert = /opt/cert/harbor-registry.crt
ssl_cert_key = /opt/cert/harbor-registry.key

# 重新生成配置檔案
# prepare

# 讓Docker客戶端預設使用Https協議訪問Registry,需要去掉“insecure-registries”相關配置項
# 檢視daemon.json檔案中是否有"insecure-registries":["192.168.1.130"],如果有則將其刪除掉
# vim /etc/docker/daemon.json
{"insecure-registries":[""]}

# 重新載入Docker的配置檔案
# systemctl daemon-reload

# 重啟Docker
# systemctl restart docker

# 建立並啟動Harbor容器
# docker-compose up -d

 

使用docker login登入harbor

# 建立Docker的證書目錄,目錄名稱是IP地址,需要根據自己的情況進行修改
# 注意,如果Nginx的443埠對映到了其他埠,則目錄名稱需要帶上具體的埠號,例如/etc/docker/certs.d/192.168.1.130:8443
# mkdir -p /etc/docker/certs.d/192.168.1.130

# 將上面產生的ca.crt拷貝到Docker的證書目錄下
# cp ~/cert/ca.crt /etc/docker/certs.d/192.168.1.130

# 重啟Docker
# systemctl restart docker

# 登入Harbor Registry,回車後輸入admin使用者的帳號資訊(admin/Harbor12345)
# docker login 192.168.1.130

# 檢視映象列表
# docker images
REPOSITORY                    TAG                 IMAGE ID            CREATED             SIZE
centos                        latest              1e1148e4cc2c        7 weeks ago         202MB
....

# 給映象打上標籤
# docker tag centos:latest 192.168.1.130/library/centos:1.0

# 將本地映象Push到Harbor
# docker push 192.168.1.130/library/centos:1.0




#注意這一步:
# 將上面產生的ca.crt拷貝到Docker的證書目錄下
# cp ~/cert/ca.crt /etc/docker/certs.d/192.168.1.130
當其他主機需要使用harbor時,也需要將該證書放在相應目錄下 

 

 

參考

https://www.techgrow.cn/posts/99d575a6.html

&n

相關推薦

docker harbor搭建筆記

介紹 Harbor是VMware公司開源的一個用於儲存和分發Docker映象的企業級Registry伺服器,以Docker開源的Registry為基礎,通過新增一些企業必需的功能特性,例如安全、標識和管理等,擴充套件了開源Docker Distribution。作為一個企業級私有Registry伺服器,Ha

Harbor學習筆記】-教你快速搭建Docker私有倉庫

[TOC] Docker容器應用的開發和執行離不開可靠的映象管理,雖然Docker官方也提供了公共的映象倉庫,但是從安全和效率等方面考慮,部署我們私有環境內的Registry也是非常必要的。[Harbor](https://goharbor.io/) 是由VMware公司開源的企業級的Docker Regi

docker倉庫harbor搭建隨筆

映射 try admin pos 下載源 重要 compose 指南 docker倉庫 docker除了自己的registry倉庫工具外,還有vmware出品的harbor,harbor集成了ui界面,用戶級別認證,重要的是對鏡像管理比較全面,可以刪除鏡像,下面是 簡單的部

docker 私有倉庫之Harbor搭建與使用

login rbo scope entity 支持 bogon nal hub mtp Harbor搭建 下載Harbor: wget https://github.com/vmware/harbor/releases/ 配置Harbor t

搭建私有倉庫Harbor 搭建Harbor企業級docker倉庫

搭建Harbor企業級docker倉庫   搭建Harbor企業級docker倉庫 一、Harbor簡介 1.Harbor介紹 Harbor是一個用於儲存和分發Docker映象的企業級Registry伺服器,通過新增一些企業必需的功能特性,例如安全、標識和管

Harbor--搭建企業級私有docker映象倉庫(一)

                Harbor映象倉庫搭建 Harbor是一個用於儲存和分發Docker映象的企業級Registry伺服器,通過新增一些企業必需的功能

使用 harbor 搭建 docker 私有映象倉庫

$ ./prepare .... The configuration files are ready, please use docker-compose to start the service. $ docker-compose up Starting deploy_log_1 Starting depl

Docker私有倉庫管理之Harbor搭建

環境說明: Centos 7.2 主機IP: 192.168.20.17 一、安裝相關依賴 1、安裝docker yum -y install docker 啟動docker systemctl restart dock

Docker筆記(十):使用Docker搭建一套ELK日誌分析系統

一段時間沒關注ELK(elasticsearch —— 搜尋引擎,可用於儲存、索引日誌, logstash —— 可用於日誌傳輸、轉換,kibana —— WebUI,將日誌視覺化),發現最新版已到7.4了。所以別問程式設計師為什麼這麼忙?因為不是在加班就是在學習新框架中。 本文整理了使用Docker來快速搭

【K8S】基於Docker+K8S+GitLab/SVN+Jenkins+Harbor搭建持續整合交付環境(環境搭建篇)

## 寫在前面 > 最近在 K8S 1.18.2 版本的叢集上搭建DevOps環境,期間遇到了各種坑。目前,搭建環境的過程中出現的各種坑均已被填平,特此記錄,並分享給大家! ## 伺服器規劃 | IP | 主機名 | 節點 | 作業系統 | |

《Node.js入門》Windows 7下Node.js Web開發環境搭建筆記

基於 方法 一位 實時 ibm cal 項目 直觀 ear 近期想嘗試一下在IBM Bluemix上使用Node.js創建Web應用程序。所以須要在本地搭建Node.js Web的開發測試環境。這裏講的是Windows下的搭建方法,使用CentOS 的小夥伴請參考:《No

docker基礎學習筆記

分享 http upd mar raid templates ubunt 數據信息 rfi docke image 概述 docke image 概述基礎鏡像列出本地鏡像創建鏡像修改已有鏡像利用Dockerfile來創建鏡像從本地文件系統導入上傳鏡像存出和載入鏡像移除

Hadoop集群搭建筆記

reduce ati prompt ucc xshell 格式化 load obj apache 1、安裝虛擬機 VMware workstation CentOS 鏡像 安裝Linux虛擬機:(在Win7上) 1)安裝VMwareWorkstations(可

Django重新開始學習--環境搭建 筆記(一)

nbsp url對應 tin art admin set pla base default 環境 :   python2.7   django 1.9.8   使用工具pycharm   Mysql =====================================

docker harbor 安裝 使用總結

har hostname color ges 界面 name 命令 提示 配置 總結:沒有驗證,但是猜測。 我這個harbor的機器上 有起了一個 docker的 registry, 5000端口的,不知道是不是二者沖突。 猜測是這個情況。 1. 安裝參考 收藏的鏈接

centos7 hbase 搭建筆記

code home java oop tmp 1.2 設置環境變量 path ava 1.require:java環境,本地可用的hadoop 2.拷貝hbase文件(hive-1.2.6) 3.設置環境變量 export HBASE_HOME=/data/spark/b

使用Docker快速搭建sftp服務

docker sftp環境: docker環境 如果是centos7系統,沒有安裝docker,直接使用以下命令安裝yum -y install docker systemctl start docker.service 鏡像拉取: PS:不拉取也可以,在docker run的時候檢測到沒有

Docker基礎-搭建本地私有倉庫

ubuntu acf docker倉庫 rep repo ref yun osi 重啟 1、使用registry鏡像創建私有倉庫   安裝Docker後,可以通過官方提供的registry鏡像來簡單搭建一套本地私有倉庫環境: docker run -d -p 5000:5

Docker搭建gitlab

cool face long timezone 額外 aps 深入 gitlab備份 rect 一、GitLab簡介 GitLab 是一個用於倉庫管理系統的開源項目。使用Git作為代碼管理工具,並在此基礎上搭建起來的web服務。Github是公共的git倉庫,而Gitlab

docker搭建owncloud

lin dock cloud vol 文件 log aliyun class env 在ubuntu下 搭建owncloud 用docker-compose啟動,owncloud.yml文件內容 owncloud: image: owncloud:9 restar