【Harbor学习笔记】-教你快速搭建Docker私有仓库

架构图
- Harbor依赖的外部组件
- Harbor自有组件
核心组件
安装
安装配置问题

Docker容器应用的开发和运行离不开可靠的镜像管理，虽然Docker官方也提供了公共的镜像仓库，但是从安全和效率等方面考虑，部署我们私有环境内的Registry也是非常必要的。Harbor 是由VMware公司开源的企业级的Docker Registry管理项目，它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。

Harbor 的所有组件都在 Dcoker 中部署，所以 Harbor 可使用 Docker Compose 快速部署。

注：由于 Harbor 是基于 Docker Registry V2 版本，所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0

Harbor的目标是帮助用户迅速搭建一个企业级的Docker registry服务。它以Docker公司开源的registry为基础，额外提供了如下功能:

基于角色的访问控制(Role Based Access Control)
基于策略的镜像复制(Policy based image replication)
镜像的漏洞扫描(Vulnerability Scanning)
AD/LDAP集成(LDAP/AD support)
镜像的删除和空间清理(Image deletion & garbage collection)
友好的管理UI(Graphical user portal)
审计日志(Audit logging)
RESTful API
部署简单(Easy deployment)

架构图

https://github.com/goharbor/harbor

Harbor的每个组件都是以Docker容器的形式构建的，可以使用Docker Compose来进行部署。如果环境中使用了kubernetes，Harbor也提供了kubernetes的配置文件。

Harbor大概需要以下几个容器组成：ui(Harbor的核心服务)、log(运行着rsyslog的容器，进行日志收集)、mysql(由官方mysql镜像构成的数据库容器)、Nginx(使用Nginx做反向代理)、registry(官方的Docker registry)、adminserver(Harbor的配置数据管理器)、jobservice(Harbor的任务管理服务)、redis(用于存储session)。

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，整体架构还是很清晰的。下面借用了网上的架构图:

Harbor依赖的外部组件

-> Nginx(即Proxy代理层): Nginx前端代理，主要用于分发前端页面ui访问和镜像上传和下载流量; Harbor的registry,UI,token等服务，通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务。
-> Registry v2: 镜像仓库，负责存储镜像文件; Docker官方镜像仓库, 负责储存Docker镜像，并处理docker push/pull命令。由于我们要对用户进行访问控制，即不同用户对Docker image有不同的读写权限，Registry会指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token进行解密验证。
-> Database(MySQL或Postgresql)：为core services提供数据库服务，负责储存用户权限、审计日志、Docker image分组信息等数据。

Harbor自有组件

-> Core services(Admin Server): 这是Harbor的核心功能，主要提供以下服务：
- -> UI：提供图形化界面，帮助用户管理registry上的镜像（image）, 并对用户进行授权。
- -> webhook：为了及时获取registry 上image状态变化的情况，在Registry上配置webhook，把状态变化传递给UI模块。
- -> Auth服务：负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发起的请求,如果不包含token，会被重定向到这里，获得token后再重新向Registry进行请求。
- -> API: 提供Harbor RESTful API
-> Replication Job Service：提供多个 Harbor 实例之间的镜像同步功能。
-> Log collector：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析。

核心组件

Proxy：一个nginx的前端代理，代理Harbor的registry,UI, token等服务。-通过深蓝色先标识
db：负责储存用户权限、审计日志、Dockerimage分组信息等数据。
UI：提供图形化界面，帮助用户管理registry上的镜像, 并对用户进行授权。
jobsevice：jobsevice是负责镜像复制工作的，他和registry通信，从一个registry pull镜像然后push到另一个registry，并记录job_log。通过紫色线标识
Adminserver：是系统的配置管理中心附带检查存储用量，ui和jobserver启动时候回需要加载adminserver的配置。通过灰色线标识；
Registry：镜像仓库，负责存储镜像文件。当镜像上传完毕后通过hook通知ui创建repository，上图通过红色线标识，当然registry的token认证也是通过ui组件完成。通过红色线标识
Log：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析。过docker的log-driver把日志汇总到一起，通过浅蓝色线条标识

安装

1. 下载离线安装包

Harbor以容器的形式进行部署, 因此可以被部署到任何支持Docker的Linux发行版, 要使用Harbor，需要安装docker和docker-compose编排工具
访问harbor release page，下载Harbor软件tgz压缩包
或执行如下命令 wget https://storage.googleapis.com/harbor-releases/release-2.0.0/harbor-offline-installer-latest.tgz
解压tgz压缩包

tar xvf harbor-offline-installer-<version>.tgz

2. 配置 harbor.cfg （harbor.yml）

注：新版本是.yaml文件，之前版本是.conf 或者 .cfg文件

解压后文件在当前目录下的harbor/目录下

cd harbor/

vim harbor.cfg

harbor_admin_password = Harbor12345

3. 启动 Harbor

配置完后，执行安装脚本 ./install.sh

#会拉取好几个镜像下来，及检查环境

Note: docker version: 1.12.5

Note: docker-compose version: 1.9.0

[Step 0]: checking installation environment ...

....

[Step 1]: loading Harbor images ...

....

[Step 2]: preparing environment ...

....

[Step 3]: checking existing instance of Harbor ...

....

[Step 4]: starting Harbor ...

 ----Harbor has been installed and started successfully.----

...

For more details, please visit https://github.com/vmware/harbor .

安装完成后，会发现解压目录harbor下面多了一个docker-compose.yml文件，里面包含了harbor依赖的镜像和对应容器创建的信息

执行 docker-compose ps (执行docker-compose需在包含docker-compose.yml的目录) , 确保 container 的状态都是up (healthy).
如果安装一切顺利，通过之前在harbor.cfg配置的hostname即可以访问到前端了.

安装配置问题

Harbor安装之后，需要用docker-compose ps 命令去查看状态，保证所有docker 容器都是 healthy, 否则很可能login harbor 失败

如果那个service 启动不正常，就去查看/var/log/harbor/ 下对应的log

owen@swarm-node-107:/disk/harbor_v2.0.0$ ls /var/log/harbor/ -lht

总用量 22M

-rw-r--r-- 1 10000 10000 3.5M 12月 15 23:03 registryctl.log

-rw-r--r-- 1 10000 10000 5.4M 12月 15 23:02 core.log

-rw-r--r-- 1 10000 10000 4.4M 12月 15 23:02 portal.log

-rw-r--r-- 1 10000 10000 4.9M 12月 15 23:02 registry.log

-rw-r--r-- 1 10000 10000 1.2M 12月 15 23:02 proxy.log

-rw-r--r-- 1 10000 10000 392K 12月 15 23:00 redis.log

-rw-r--r-- 1 10000 10000 1.6M 12月 15 23:00 jobservice.log

-rw-r--r-- 1 10000 10000  53K 12月 14 21:42 postgresql.log

-rw-r--r-- 1 10000 10000  65K 7月   7 23:35 clair.log

-rw-r--r-- 1 10000 10000 1.2K 7月   5 11:43 clair-adapter.log

-rw-r--r-- 1 10000 10000 1.4K 7月   5 11:38 chartmuseum.log

修改harbor的运行配置，需要如下步骤：

# 停止 harbor

 docker-compose down -v

# 修改配置

 vim harbor.cfg

# 执行./prepare已更新配置到docker-compose.yml文件

 ./prepare

# 启动 harbor

 docker-compose up -d

问题-1 服务启动异常

ubuntu@172-20-16-51:/opt/harbor$ docker login 192.20.16.51

Username: admin

Password:

Error response from daemon: login attempt to http://192.20.16.51/v2/ failed with status: 502 Bad Gateway

Harbor-db service 不能正常启动，最后查看postgresql.log 发现下面 message.

 | initdb: directory "/var/lib/postgresql/data" exists but is not empty

 | If you want to create a new database system, either remove or empty

 | the directory "/var/lib/postgresql/data" or run initdb

 | with an argument other than "/var/lib/postgresql/data".

因为当时/data/datebase 目录下，确实不是empty, 手动改了docker-compose.yml ，然后 docker-compose up -d 重新启动容器，服务正常

  postgresql:

    image: goharbor/harbor-db:v2.0.0

    container_name: harbor-db

    restart: always

    cap_drop:

      - ALL

    cap_add:

      - CHOWN

      - DAC_OVERRIDE

      - SETGID

      - SETUID

    volumes:

      - /data/database:/var/lib/postgresql/data:z

问题-2- dial tcp xxx.xxx.xxx.xxx:443: connect: connection refused

# docker login 192.20.16.51:80

Username: admin

Password:

Error response from daemon: Get https://192.20.16.51:80/v2/: http: server gave HTTP response to HTTPS client

或者

Error response from daemon: Get https://192.168.31.107/v2/: dial tcp 192.168.31.107:443: connect: connection refused

docker1.3.2版本开始默认docker registry使用的是https，·Harbor默认安装使用的是HTTP协议·，所以当执行用docker login、pull、push等命令操作非https的docker regsitry的时就会报错。

临时解决办法：需要在每一台harbor客户端机器都要设置"insecure-registries" (彻底解决需要启动Harbor HTTPS证书)

如果系统是MacOS，则可以点击“Preference”里面的“Advanced”在“Insecure Registry”里加上hostname (e.g. docker.bksx.com)，重启Docker客户端就可以了。
如果系统是Ubuntu，则修改配置文件/lib/systemd/system/docker.service，修改[Service]下ExecStart参数，增加–insecure-registry hostname (e.g. docker.bksx.com)
如果系统是Centos，可以修改配置/etc/sysconfig/docker，将OPTIONS增加 –insecure-registry hostname (e.g. docker.bksx.com)

如果是新版本的docker在/etc/sysconfig/ 没有docker这个配置文件的情况下。

#在daemon.json中添加以下参数

[root@localhost harbor]# cat /etc/docker/daemon.json

{

  "insecure-registries": [

    "hostname"

  ]

}

注意：该文件必须符合 json 规范，否则 Docker 将不能启动。另外hostname 必须与harbor.cfg 里的hostname 一致。

添加完了后重新启动 docker：systemctl daemon-reload && systemctl enable docker && systemctl restart docker

登录后，账号信息都保存到本机的~/.docker/config.json

owen@swarm-manager-105:~/gitee/vnote_notebooks$ docker login 192.168.31.107

Username: admin

Password:

WARNING! Your password will be stored unencrypted in /home/owen/.docker/config.json.

Configure a credential helper to remove this warning. See

https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

owen@swarm-manager-105:~/gitee/vnote_notebooks$ cat ~/.docker/config.json

{

	"auths": {

		"192.168.31.107": {

			"auth": "YWRtaW46SGFyYm9yMTIzNDU="

		}

	},

	"HttpHeaders": {

		"User-Agent": "Docker-Client/19.03.14 (linux)"

	}

问题-3 防止容器进程没有权限读取生成的配置