docker harbor2.2.3安装

简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，由vmware开源，其通过添加一些企业必需的功能特性，例如安全、标识和管理等，扩展了开源Docker Distribution。作为一个企业级私有Registry服务器，Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制，镜像全部保存在私有Registry中， 确保数据和知识产权在公司内部网络中管控，另外，Harbor也提供了高级的安全特性，诸如用户管理，访问控制和活动审计等。

vmware官方开源服务列表地址：https://vmware.github.io/harbor/cn/

harbor官方github地址：https://github.com/vmware/harbor

harbor官方网址：https://goharbor.io/ 

Harbor功能官方介绍

基于角色的访问控制：用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。

镜像复制：镜像可以在多个Registry实例中复制（同步）。尤其适合于负载均衡，高可用，混合云和多云的场景。

图形化用户界面：用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。

AD/LDAP 支：Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。

审计管理：所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

国际化：已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。

RESTful API - RESTful API ：提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

部署简单：提供在线和离线两种安装工具， 也可以安装到vSphere平台(OVA方式)虚拟设备。

Harbor的各个组件作用

组件名	作用
nginx	harbor的一个反向代理组件，代理registry、ui、token等服务。这个代理会转发harbor web和docker client的各种请求到后端服务上。
harbor-adminserver	harbor系统管理接口，可以修改系统配置以及获取系统信息
harbor-db	存储项目的元数据、用户、规则、复制策略等信息
harbor-jobservice	harbor里面主要是为了镜像仓库之前同步使用的
harbor-log	收集其他harbor的日志信息
harbor-ui	一个用户界面模块，用来管理registry
registry	存储docker images的服务，并且提供pull/push服务
redis	存储缓存信息
webhook	当registry中的image状态发生变化的时候去记录更新日志、复制等操作
token service	在docker client进行pull/push的时候负责token的发放

 

Harbor安装的先决条件

1、硬件

Resource	Minimum	Recommended
CPU	2 CPU	4 CPU
Mem	4 GB	8 GB
Disk	40 GB	160 GB

2、软件

Software	Version	Description
Docker engine	Version 17.06.0-ce+ or higher	For installation instructions, see Docker Engine documentation
Docker Compose	Version 1.18.0 or higher	For installation instructions, see Docker Compose documentation
Openssl	Latest is preferred	Used to generate certificate and keys for Harbor

3、端口

Port	Protocol	Description
443	HTTPS	Harbor portal and core API accept HTTPS requests on this port. You can change this port in the configuration file.
4443	HTTPS	Connections to the Docker Content Trust service for Harbor. Only required if Notary is enabled. You can change this port in the configuration file.
80	HTTP	Harbor portal and core API accept HTTP requests on this port. You can change this port in the configuration file.

安装Harbor

下载地址：https://github.com/goharbor/harbor/releases

安装文档：https://github.com/vmware/harbor/blob/master/docs/installation_guide.md 

 下载离线安装包

  # cd /usr/local/src

# wget https://github.com/goharbor/harbor/releases/download/v2.2.3/harbor-offline-installer-v2.2.3.tgz

 

# tar xfz harbor-offline-installer-v2.2.3.tgz

# ln -sv /usr/local/src/harbor /usr/local/

# cd /usr/local/harbor/

  # yum install python-pip -y

安装docker-compose

[root@docker01 harbor]# yum install -y docker-compose

生成CA私钥

[root@docker01 ~]# openssl genrsa -out ca.key 4096

## 如果使用 FQDN 连接 Harbor 主机，则必须将其指定为 CN 属性

[root@docker01 ~]# openssl req -x509 -new -nodes -sha512 -days 3650 \

-subj "/C=CN/ST=Beijing/L=Beijing/O=test-harbor/OU=Personal/CN=my-harbor.com" \

-key ca.key \

-out ca.crt

生成服务端证书

[root@docker01 ~]# openssl genrsa -out my-harbor.com.key 4096
Generating RSA private key, 4096 bit long modulus
..++
.......++
e is 65537 (0x10001)

##  向CA发起签署请求
# openssl req -sha512 -new \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=test-harbor/OU=Personal/CN=my-harbor.com" \
    -key my-harbor.com.key \
    -out my-harbor.com.csr

 生成x509 v3的扩展文件

# cat > v3.ext <<-EOF
    authorityKeyIdentifier=keyid,issuer
    basicConstraints=CA:FALSE
    keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth
    subjectAltName = @alt_names
    
    [alt_names]
    DNS.1=my-harbor.com
    DNS.2=my-harbor
    DNS.3=docker01
    EOF
  

# openssl x509 -req -sha512 -days 3650     -extfile v3.ext     -CA ca.crt -CAkey ca.key -CAcreateserial -in my-harbor.com.csr -out my-harbor.com.crt
Signature ok
subject=/C=CN/ST=Beijing/L=Beijing/O=test-harbor/OU=Personal/CN=my-harbor.com
Getting CA Private Key

 

# cp my-harbor.com.crt my-harbor.com.key /data/cert

 CA签署证书

# openssl x509 -inform PEM -in my-harbor.com.crt -out my-harbor.com.cert

修改Harbor配置文件

[root@docker01 harbor]# egrep -v "^$|#" harbor.yml
hostname: my-harbor.com
http:
  port: 80
https:
  port: 443
  certificate: /data/cert/my-harbor.com.crt
  private_key: /data/cert/my-harbor.com.key
harbor_admin_password: Harbor12345
database:
  password: root123
  max_idle_conns: 50
  max_open_conns: 1000
data_volume: /data

 首次部署更新Harbor配置

[root@docker01 harbor]# ./prepare 
prepare base dir is set to /usr/local/src/harbor
Clearing the configuration file: /config/portal/nginx.conf
Clearing the configuration file: /config/log/logrotate.conf
Clearing the configuration file: /config/log/rsyslog_docker.conf
Generated configuration file: /config/portal/nginx.conf
Generated configuration file: /config/log/logrotate.conf
Generated configuration file: /config/log/rsyslog_docker.conf
Generated configuration file: /config/nginx/nginx.conf
Generated configuration file: /config/core/env
Generated configuration file: /config/core/app.conf
Generated configuration file: /config/registry/config.yml
Generated configuration file: /config/registryctl/env
Generated configuration file: /config/registryctl/config.yml
Generated configuration file: /config/db/env
Generated configuration file: /config/jobservice/env
Generated configuration file: /config/jobservice/config.yml
Generated and saved secret to file: /data/secret/keys/secretkey
Successfully called func: create_root_cert
Generated configuration file: /compose_location/docker-compose.yml
Clean up the input dir

 安装Harbor

[root@docker01 harbor]# ./install.sh 
[Step 0]: checking if docker is installed ...

Note: docker version: 18.09.9

...

Creating redis ... done
Creating harbor-core ... done
Creating network "harbor_harbor" with the default driver
Creating nginx ... done
Creating harbor-db ... 
Creating registry ... 
Creating registryctl ... 
Creating harbor-portal ... 
Creating redis ... 
Creating harbor-core ... 
Creating nginx ... 
Creating harbor-jobservice ... 
✔ ----Harbor has been installed and started successfully.----

 查看Harbor安装后启动的容器

[root@docker01 harbor]# docker-compose ps
      Name                     Command               State                      Ports                   
--------------------------------------------------------------------------------------------------------
harbor-core         /harbor/entrypoint.sh            Up                                                 
harbor-db           /docker-entrypoint.sh            Up                                                 
harbor-jobservice   /harbor/entrypoint.sh            Up                                                 
harbor-log          /bin/sh -c /usr/local/bin/ ...   Up      127.0.0.1:1514->10514/tcp                  
harbor-portal       nginx -g daemon off;             Up                                                 
nginx               nginx -g daemon off;             Up      0.0.0.0:80->8080/tcp, 0.0.0.0:443->8443/tcp
redis               redis-server /etc/redis.conf     Up                                                 
registry            /home/harbor/entrypoint.sh       Up                                                 
registryctl         /home/harbor/start.sh            Up           

当前目录下会生成docker-compose.yml文件，通过docker-compose可以启停服务

docker-compose down -v 或 docker-compose stop  //区别，前者会remove掉容器、image、网络，停的更干净，后者只是停服务
docker-compose up -d                       // 重启Harbor

运行后的Harbor修改配置

## 切到Harbor的安装目录
[root@docker01 ~]# cd /usr/local/harbor/          

## 停止Harbor
[root@docker01 harbor]# docker-compose stop
Stopping harbor-jobservice ... done
Stopping nginx             ... done
Stopping harbor-core       ... done
Stopping redis             ... done
Stopping registryctl       ... done
Stopping registry          ... done
Stopping harbor-portal     ... done
Stopping harbor-db         ... done
Stopping harbor-log        ... done

 

harbor.yml的必须参数解释

参数名	子选项	说明
hostname		指定为部署Harbor主机的IP地址或者完全限定域名(FQDN)，也就是访问Harbor使用的地址。 由于对外提供访问，所以不要指定127.0.0.1和localhost，也不要指定为0.0.0.0
http		生产环境不建议使用HTTP协议。只有在开发环境和air-gapped测试环境使用。在非air-gapped环境 使用HTTP协议，可能会遭受Man-in-the-MiddleAttack攻击
	port	HTTP协议的端口，默认为80
https		生产环境或非air-gapped环境使用
	port	HTTPS协议端口，默认为443
	certificate	证书文件路径
	private_key	私钥文件路径
internal_tls

网页访问harbor

 

 

 

Harbor的数据库认证模式

 

 注意：自动注册功能不建议开启，因为开启后登录页面会出现注册的功能，不方便用户管理