文章目录

一、Harbor私有仓库介绍
- 1、什么是Harbor？有什么作用？
- 2、harbor的特性
- 3、harbor配置文件参数
二、部署Harbor私有仓库
- 1、harbor服务器安装harbor
- 2、查看已经生成的镜像和容器
- 3、测试
- 4、harbor服务器字符界面镜像仓库测试
- 5、client客户端harbor仓库测试
三、harbor仓库的维护管理
- 1、Harbor.cfg配置文件
- 2、在客户端对镜像进行管理
- 3、迁移harbor数据

一、Harbor私有仓库介绍

1、什么是Harbor？有什么作用？

是多个容器同时跑起来的服务所以必须要装docker compose
Harbor是VMware公司的开源级的企业级DockerRegistry(仓库)项目，项目地址为 https://github.com/vmware/harbor.
Harbor的目标是帮助用户迅速搭建一个企业级的DockerRegistry服务。
Harbor以docker公司开源的registry为基础，提供了管理UI，基于角色的访问控制（Role Based Access Control），AD/LDAP集成，以及审计日志（Auditlogging）等企业用户需求的功能，同时还原生支持中文。
Harbor的每个组件都是以Docker容器的形式构建的，使用docker-compose来对它进行部署。用于部署Harbor的docker-compose模板位于/usr/local/bin/harbor/docker-compose.yml(自定义)

2、harbor的特性

1、基于角色控制：用户与Docker镜像仓库通过"项目"进行组织管理,一个用户可以对多个镜像仓库在统一命名空间(projec)里有不同的权限
2、图形化用户界面：用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间
3、审计管理：所有这怒地镜像仓库的错都可以被记录追溯，用于审计管理
4、基于镜像的复制策略：镜像可以在多个Harbor实例之间进行复制。
5、支持LDAP认证：Harbor的用户授权可以使用已经存在的用户。
6、镜像删除和垃圾回收：image可以被删除并且回收image占用的空间。
7、简单的部署功能：harbor提供了online、offline安装，此外还提供了virtualappliance安装
8、harbor和docker registry的关系：harbor实质上是对docker registry做了封装，扩展了自己的业务模板。

3、harbor配置文件参数

vim /usr/local/harbor/harbor.cfg，关于 Harbor.cfg 配置文件中有两类参数：所需参数和可选参数
1、所需参数：这些参数需要在配置文件 Harbor.cfg 中设置。如果用户更新它们并运行 install.sh脚本重新安装 Harbour，参数将生效。具体参数如下：

hostname：用于访问用户界面和 register 服务。它应该是目标机器的 IP 地址或完全限 定的域名（FQDN），例如 192.168.195.128 或 hub.kgc.cn。不要使用 localhost 或 127.0.0.1 为主机名。
ui_url_protocol：（http 或 https，默认为 http）用于访问 UI 和令牌/通知服务的协议。如果公证处于启用状态，则此参数必须为 https。
max_job_workers：镜像复制作业线程。
db_password：用于db_auth 的MySQL数据库root 用户的密码。
customize_crt：该属性可设置为打开或关闭，默认打开。打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌。
当由外部来源提供密钥和根证书时，将此属性设置为 off。
ssl_cert：SSL 证书的路径，仅当协议设置为 https 时才应用。
secretkey_path：用于在复制策略中加密或解密远程 register 密码的密钥路径。

2、可选参数：这些参数对于更新是可选的，即用户可以将其保留为默认值，并在启动 Harbor 后在 Web UI 上进行更新。如果进入 Harbor.cfg，只会在第一次启动 Harbor 时生效，随后对这些参数的更新，Harbor.cfg 将被忽略。
注意：如果选择通过UI设置这些参数，请确保在启动Harbour后立即执行此操作。具体来说，必须在注册或在 Harbor 中创建任何新用户之前设置所需的

auth_mode。当系统中有用户时（除了默认的 admin 用户），auth_mode 不能被修改。具体参数如下：
Email：Harbor需要该参数才能向用户发送“密码重置”电子邮件，并且只有在需要该功能时才需要。
请注意，在默认情况下SSL连接时没有启用。如果SMTP服务器需要SSL，但不支持STARTTLS，那么应该通过设置启用SSL email_ssl = TRUE。
harbour_admin_password：管理员的初始密码，只在Harbour第一次启动时生效。之后，此设置将被忽略，并且应 UI中设置管理员的密码。
请注意，默认的用户名/密码是 admin/Harbor12345。
auth_mode：使用的认证类型，默认情况下，它是 db_auth，即凭据存储在数据库中。对于LDAP身份验证，请将其设置为 ldap_auth。
self_registration：启用/禁用用户注册功能。禁用时，新用户只能由 Admin 用户创建，只有管理员用户可以在 Harbour中创建新用户。
注意：当 auth_mode 设置为 ldap_auth 时，自注册功能将始终处于禁用状态，并且该标志被忽略。
Token_expiration：由令牌服务创建的令牌的到期时间（分钟），默认为 30 分钟。
project_creation_restriction：用于控制哪些用户有权创建项目的标志。默认情况下， 每个人都可以创建一个项目。
如果将其值设置为“adminonly”，那么只有 admin 可以创建项目。
verify_remote_cert：打开或关闭，默认打开。此标志决定了当Harbor与远程 register 实例通信时是否验证 SSL/TLS 证书。
将此属性设置为 off 将绕过 SSL/TLS 验证，这在远程实例具有自签名或不可信证书时经常使用。
另外，默认情况下，Harbour 将镜像存储在本地文件系统上。在生产环境中，可以考虑 使用其他存储后端而不是本地文件系统，
如 S3、Openstack Swif、Ceph 等。但需要更新 common/templates/registry/config.yml 文件。

二、部署Harbor私有仓库

实验环境 vmware15.5 centos7.6两台
harbor服务器 192.168.110.132
client客户端 192.168.110.133

1、harbor服务器安装harbor

wget http://harbor.orientsoft.cn/harbor-1.2.2/harbor-offline-installer-v1.2.2.tgz    '//可以使用此命令下载，但是速度较慢，我使用的是已经下载好的'
[root@harbor ~]# rz -E '//上传harbor软件'
rz waiting to receive.
[root@harbor ~]# ls
anaconda-ks.cfg  -bootstrap  consul_0.9.2_linux_amd64.zip  harbor-offline-installer-v1.2.2.tgz
[root@harbor ~]# tar zxf harbor-offline-installer-v1.2.2.tgz -C /usr/local/    '//解压到指定目录'
[root@harbor ~]# cd /usr/local/harbor/
[root@harbor harbor]# ls
common                    docker-compose.notary.yml  harbor_1_1_0_template  harbor.v1.2.2.tar.gz  LICENSE  prepare
docker-compose.clair.yml  docker-compose.yml         harbor.cfg             install.sh            NOTICE   upgrade
[root@harbor harbor]# ...省略内容
hostname = 192.168.110.132 '//修改为监听本地地址，不可以使用localhost或者127。0.0.1'...省略内容
[root@harbor harbor]# sh install.sh    '//启动harbor'

2、查看已经生成的镜像和容器

[root@harbor harbor]# docker images
REPOSITORY                  TAG                 IMAGE ID            CREATED             SIZE
vmware/harbor-log           v1.2.2              36ef78ae27df        2 years ago         200MB
vmware/harbor-jobservice    v1.2.2              e2af366cba44        2 years ago         164MB
vmware/harbor-ui            v1.2.2              39efb472c253        2 years ago         178MB
vmware/harbor-adminserver   v1.2.2              c75963ec543f        2 years ago         142MB
vmware/harbor-db            v1.2.2              ee7b9fa37c5d        2 years ago         329MB
vmware/nginx-photon         1.11.13             6cc5c831fc7f        2 years ago         144MB
vmware/registry             2.6.2-photon        5d9100e4350e        2 years ago         173MB
vmware/postgresql           9.6.4-photon        c562762cbd12        2 years ago         225MB
vmware/clair                v2.0.1-photon       f04966b4af6c        2 years ago         297MB
vmware/harbor-notary-db     mariadb-10.1.10     64ed814665c6        3 years ago         324MB
vmware/notary-photon        signer-0.5.0        b1eda7d10640        3 years ago         156MB
vmware/notary-photon        server-0.5.0        6e2646682e3c        3 years ago         157MB
photon                      1.0                 e6e4e4a2ba1b        3 years ago         128MB
[root@harbor harbor]# docker ps -a
CONTAINER ID        IMAGE                              COMMAND                  CREATED             STATUS              PORTS                                                              NAMES
968d6c3ec791        vmware/harbor-jobservice:v1.2.2    "/harbor/harbor_jobs…"   21 seconds ago      Up 20 seconds                                                                          harbor-jobservice
938f21931305        vmware/nginx-photon:1.11.13        "nginx -g 'daemon of…"   21 seconds ago      Up 20 seconds       0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp   nginx
7e7ca101c841        vmware/harbor-ui:v1.2.2            "/harbor/harbor_ui"      21 seconds ago      Up 20 seconds                                                                          harbor-ui
09c54252ef77        vmware/harbor-db:v1.2.2            "docker-entrypoint.s…"   22 seconds ago      Up 21 seconds       3306/tcp                                                           harbor-db
7d47b7b3d17e        vmware/registry:2.6.2-photon       "/entrypoint.sh serv…"   22 seconds ago      Up 21 seconds       5000/tcp                                                           registry
3a697152024e        vmware/harbor-adminserver:v1.2.2   "/harbor/harbor_admi…"   22 seconds ago      Up 21 seconds                                                                          harbor-adminserver
19ab947f7d23        vmware/harbor-log:v1.2.2           "/bin/sh -c 'crond &…"   24 seconds ago      Up 21 seconds       127.0.0.1:1514->514/tcp                                            harbor-log
'//也可以使用docker-compose ps查看容器状态，但是需要在/usr/local/harbor目录下执行'
[root@harbor harbor]# pwd
/usr/local/harbor
[root@harbor harbor]# docker-compose psName                     Command               State                                Ports
------------------------------------------------------------------------------------------------------------------------------
harbor-adminserver   /harbor/harbor_adminserver       Up
harbor-db            docker-entrypoint.sh mysqld      Up      3306/tcp
harbor-jobservice    /harbor/harbor_jobservice        Up
harbor-log           /bin/sh -c crond && rm -f  ...   Up      127.0.0.1:1514->514/tcp
harbor-ui            /harbor/harbor_ui                Up
nginx                nginx -g daemon off;             Up      0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp, 0.0.0.0:80->80/tcp
registry             /entrypoint.sh serve /etc/ ...   Up      5000/tcp

上述容器解释
harbor-adminserver：harbor系统管理接口，可以修改系统配置以及获取系统信息
harbor-db：存储项目的元数据、用户、规则、复制策略等信息
harbor-jobservice：harbor里面主要是为了镜像仓库之前同步使用的
harbor-log：收集其他harbor的日志信息。rsyslogd
harbor-ui：一个用户界面模块，用来管理registry。主要是前端的页面和后端CURD的接口
nginx：harbor的一个反向代理组件，代理registry、ui、token等服务。这个代理会转发harbor web和docker client的各种请求到后端服务上。是个nginx。nginx负责流量转发和安全验证，对外提供的流量都是从nginx中转，它将流量分发到后端的ui和正在docker镜像存储的docker registry
registry：存储docker images的服务，并且提供pull/push服务。harbor需要对image的访问进行访问控制，当client每次进行pull、push的时候，registry都需要client去token服务获取一个可用的token。
redis：存储缓存信息
webhook：当registry中的image状态发生变化的时候去记录更新日志、复制等操作。
token service：在docker client进行pull/push的时候今天token的发放。

3、测试

访问http://192.168.110.132测试网页

4、harbor服务器字符界面镜像仓库测试

此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下，Register 服务器在端口 80 上侦听。

[root@harbor harbor]# docker login -u admin -p Harbor12345 http://127.0.0.1 '//登陆harbor字符界面'
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded
[root@harbor harbor]# docker pull cirros   '//先下载一个镜像用于测试'
[root@harbor harbor]# docker tag cirros 127.0.0.1/test_project/cirros:v1   '//将镜像打标签'
[root@harbor harbor]# docker push 127.0.0.1/test_project/cirros:v1 '//上传镜像'
The push refers to repository [127.0.0.1/test_project/cirros]
858d98ac4893: Pushed
aa107a407592: Pushed
b993cfcfd8fd: Pushed
v1: digest: sha256:c7d58d6d463247a2540b8c10ff012c34fd44342646

5、client客户端harbor仓库测试

[root@client ~]# vim /usr/lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd -H fd:// --insecure-registry 192.168.110.132  --containerd=/run/containerd/containerd.sock '//修改此行，使客户端可以连接harbor服务器'
[root@client ~]# docker login -u admin -p Harbor12345 http://192.168.110.132
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded
[root@client ~]# docker pull cirros    '//下载镜像用于测试'
[root@client ~]# docker pull 192.168.110.132/test_project/cirros:v1    '//尝试下载harbor仓库镜像'
[root@client ~]# docker tag cirros 192.168.110.132/test_project/cirros:v2  '//打一个标签v2，与harbor的v1区别开来'
[root@client ~]# docker push 192.168.110.132/test_project/cirros:v2    '//上传'
The push refers to repository [192.168.110.132/test_project/cirros]
858d98ac4893: Layer already exists
aa107a407592: Layer already exists
b993cfcfd8fd: Layer already exists
v2: digest: sha256:c7d58d6d463247a2540b8c10ff012c34fd443426462e891b13119a9c66dfd28

三、harbor仓库的维护管理

1、Harbor.cfg配置文件

1、可以使用 docker-compose 来管理 Harbor，命令必须在与 docker-compose.yml 相同的目录中运行。
2、修改harbor.cfg配置文件的时候要注意
请先停止现有的 Harbour 实例并更新 Harbor.cfg；然后运行 prepare 脚本来填充配置；最后重新创建并启动 Harbour 的实例。

[root@harbor harbor]# pwd
/usr/local/harbor
[root@harbor harbor]# docker-compose down -v   '//关闭删除所有容器'
[root@harbor harbor]# vim harbor.cfg
[root@harbor harbor]# ./prepare    '//重新填充配置'
[root@harbor harbor]# docker-compose up -d '//开启容器'

2、在客户端对镜像进行管理

[root@client ~]# docker rmi 192.168.110.132/test_project/cirros:v2  '//先删除两个镜像，后面测试下载'
[root@client ~]# docker rmi 192.168.110.132/test_project/cirros:v1
[root@client ~]# docker logout  192.168.110.132    '//注销登陆'
Removing login credentials for 192.168.110.132
[root@client ~]# docker login 192.168.110.132  '//重新登录'
Username: test001   '//用户名'
Password:   '//密码'
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded
[root@client ~]# docker pull 192.168.110.132/test_project/cirros:v1    '//下载成功'
v1: Pulling from test_project/cirros
Digest: sha256:c7d58d6d463247a2540b8c10ff012c34fd443426462e891b13119a9c66dfd28a
Status: Downloaded newer image for 192.168.110.132/test_project/cirros:v1
192.168.110.132/test_project/cirros:v1
[root@client ~]# docker iamges
192.168.110.132/test_project/cirros   v1                  3c82e4d066cf        7 weeks ago
cirros                                latest              3c82e4d066cf        7 weeks ago         12.6MB[root@client ~]# docker tag cirros 192.168.110.132/test_project/cirros:v3  '//打标签'
[root@client ~]# docker push 192.168.110.132/test_project/cirros:v3    '//上传'
The push refers to repository [192.168.110.132/test_project/cirros]
858d98ac4893: Layer already exists
aa107a407592: Layer already exists
b993cfcfd8fd: Layer already exists
v3: digest: sha256:c7d58d6d463247a2540b8c10ff012c34fd443426462e891b13119a9c66dfd28a size: 943

3、迁移harbor数据

1、先关闭harbor仓库：docker-compose down -v
2、拷贝harbor数据：
'//持久数据，如镜像，数据库等在宿主机的/data/目录下,日志在宿主机的/var/log/Harbor/目录下'
/data/database/ 数据库内容，比如身份验证数据/data/registry/ 镜像文件内容

这就是你日日夜夜想要的docker！！！---------Harbor私有仓库相关推荐

Docker harbor私有仓库部署与管理
Docker harbor私有仓库部署与管理. 前言一.什么是Harbor 二.Harbor的特性三.Harbor的构成四.Harbor部署 4.1 环境准备 4.2 部署Docker Comp ...
这就是你日日夜夜想要的docker！！！---------三分钟带你玩转docker命令
文章目录 docker version 查看版本信息 docker inspect 查看镜像全部信息 docker search 搜索镜像 docker pull 下载镜像 docker images ...
这就是你日日夜夜想要的docker！！！---------TLS加密远程连接Docker
文章目录一.Docker 存在的安全问题 1.Docker 自身漏洞 2.Docker 源码问题 3.Docker 架构缺陷与安全机制二.TLS加密通讯协议 1.TLS介绍 2.CA证书三.配置 ...
这就是你日日夜夜想要的docker！！！---------Docker常规操作--端口映射、数据卷管理以及容器互联
文章目录一.端口映射 1.-P随机端口 2.映射指定一个端口 3.映射指定多个端口 4.映射到指定端口的指定地址 5.映射到指定端口的任意地址 6.查看端口映射情况二.数据卷与数据卷容器 1.挂载 ...
这就是你日日夜夜想要的docker！！！---------docker+consul+ nginx集成分布式的服务发现与注册架构
文章目录一.Docker consul容器服务更新与发现理论 1.基本架构 2.基于nginx和consul构建高可用及自动发现的Docker服务架构 3.Docker consul自动发现服务架构 ...
这就是你日日夜夜想要的docker！！！---------Docker资源控制--Cgroup
文章目录一.什么是 Cgroup? 二.使用 stress 工具测试 CPU 和内存 1.stress工具介绍 2.使用 Dockerfile 来创建一个 stress 的工具镜像: 三.实操 1. ...
这就是你日日夜夜想要的docker！！！---------Docker Compose容器编排理论+实操
文章目录一.Compose简介 1.在Compose中有两个重要的概念 2.docker,dockerfile与docker-compose区别二.Compose安装与卸载 1.Centos系统安 ...
这就是你日日夜夜想要的docker！！！---------Dockerfile构建nginx、Tomcat、MySQL镜像
文章目录构建nginxDockerfile镜像构建DockerfileTomcat 构建Dockerfile MySQL镜像构建nginxDockerfile镜像这里的nginx软件包使用ng ...
docker 从harbor 拉取镜像慢_Kubernetes-通过Rancher从Harbor私有仓库拉取镜像
引言前一篇文章详细描述了如何使用rancher搭建Kubernetes高可用集群,集群搭建好了后,我们就需要开始部署应用了,那么如何从私有镜像仓库拉取镜像呢? 原理 Harbor使用了基于角 ...

这就是你日日夜夜想要的docker！！！---------Harbor私有仓库