Docker容器應用的開發和執行離不開可靠的映象管理,雖然Docker官方也提供了公共的映象倉庫,但是從安全和效率等方面考慮,部署我們私有環境內的Registry也是非常必要的。Harbor 是由VMware公司開源的企業級的Docker Registry管理專案,它包括許可權管理(RBAC)、LDAP、日誌稽核、管理介面、自我註冊、映象複製和中文支援等功能。
Harbor 的所有元件都在 Dcoker 中部署,所以 Harbor 可使用 Docker Compose 快速部署。
注: 由於 Harbor 是基於 Docker Registry V2 版本,所以 docker 版本必須 > = 1.10.0 docker-compose >= 1.6.0
Harbor的目標是幫助使用者迅速搭建一個企業級的Docker registry服務。它以Docker公司開源的registry為基礎,額外提供瞭如下功能:
- 基於角色的訪問控制(Role Based Access Control)
- 基於策略的映象複製(Policy based image replication)
- 映象的漏洞掃描(Vulnerability Scanning)
- AD/LDAP整合(LDAP/AD support)
- 映象的刪除和空間清理(Image deletion & garbage collection)
- 友好的管理UI(Graphical user portal)
- 審計日誌(Audit logging)
- RESTful API
- 部署簡單(Easy deployment)
架構圖
Harbor的每個元件都是以Docker容器的形式構建的,可以使用Docker Compose來進行部署。如果環境中使用了kubernetes,Harbor也提供了kubernetes的配置檔案。
Harbor大概需要以下幾個容器組成:ui(Harbor的核心服務)、log(執行著rsyslog的容器,進行日誌收集)、mysql(由官方mysql映象構成的資料庫容器)、Nginx(使用Nginx做反向代理)、registry(官方的Docker registry)、adminserver(Harbor的配置資料管理器)、jobservice(Harbor的任務管理服務)、redis(用於儲存session)。
Harbor是一個用於儲存和分發Docker映象的企業級Registry伺服器,整體架構還是很清晰的。下面借用了網上的架構圖:
Harbor依賴的外部元件
-
-> Nginx(即Proxy代理層): Nginx前端代理,主要用於分發前端頁面ui訪問和映象上傳和下載流量; Harbor的registry,UI,token等服務,通過一個前置的反向代理統一接收瀏覽器、Docker客戶端的請求,並將請求轉發給後端不同的服務。
-
-> Registry v2: 映象倉庫,負責儲存映象檔案; Docker官方映象倉庫, 負責儲存Docker映象,並處理docker push/pull命令。由於我們要對使用者進行訪問控制,即不同使用者對Docker image有不同的讀寫許可權,Registry會指向一個token服務,強制使用者的每次docker pull/push請求都要攜帶一個合法的token, Registry會通過公鑰對token進行解密驗證。
-
-> Database(MySQL或Postgresql):為core services提供資料庫服務,負責儲存使用者許可權、審計日誌、Docker image分組資訊等資料。
Harbor自有元件
- -> Core services(Admin Server): 這是Harbor的核心功能,主要提供以下服務:
- -> UI:提供圖形化介面,幫助使用者管理registry上的映象(image), 並對使用者進行授權。
- -> webhook:為了及時獲取registry 上image狀態變化的情況, 在Registry上配置webhook,把狀態變化傳遞給UI模組。
- -> Auth服務:負責根據使用者許可權給每個docker push/pull命令簽發token. Docker 客戶端向Regiøstry服務發起的請求,如果不包含token,會被重定向到這裡,獲得token後再重新向Registry進行請求。
- -> API: 提供Harbor RESTful API
- -> Replication Job Service:提供多個 Harbor 例項之間的映象同步功能。
- -> Log collector:為了幫助監控Harbor執行,負責收集其他元件的log,供日後進行分析。
核心元件
-
Proxy:一個nginx的前端代理,代理Harbor的registry,UI, token等服務。-通過深藍色先標識
-
db:負責儲存使用者許可權、審計日誌、Dockerimage分組資訊等資料。
-
UI:提供圖形化介面,幫助使用者管理registry上的映象, 並對使用者進行授權。
-
jobsevice:jobsevice是負責映象複製工作的,他和registry通訊,從一個registry pull映象然後push到另一個registry,並記錄job_log。通過紫色線標識
-
Adminserver:是系統的配置管理中心附帶檢查儲存用量,ui和jobserver啟動時候回需要載入adminserver的配置。通過灰色線標識;
-
Registry:映象倉庫,負責儲存映象檔案。當映象上傳完畢後通過hook通知ui建立repository,上圖通過紅色線標識,當然registry的token認證也是通過ui元件完成。通過紅色線標識
-
Log:為了幫助監控Harbor執行,負責收集其他元件的log,供日後進行分析。過docker的log-driver把日誌彙總到一起,通過淺藍色線條標識
安裝
1. 下載離線安裝包
-
Harbor以容器的形式進行部署, 因此可以被部署到任何支援Docker的Linux發行版, 要使用Harbor,需要安裝docker和docker-compose編排工具
-
訪問harbor release page,下載Harbor軟體tgz壓縮包
-
或執行如下命令
wget https://storage.googleapis.com/harbor-releases/release-2.0.0/harbor-offline-installer-latest.tgz -
解壓tgz壓縮包
tar xvf harbor-offline-installer-<version>.tgz
2. 配置 harbor.cfg (harbor.yml)
注: 新版本是.yaml檔案,之前版本是.conf 或者 .cfg檔案
-
解壓後檔案在當前目錄下的
harbor/目錄下cd harbor/ vim harbor.cfg harbor_admin_password = Harbor12345
3. 啟動 Harbor
-
配置完後,執行安裝指令碼
./install.sh#會拉取好幾個映象下來,及檢查環境 Note: docker version: 1.12.5 Note: docker-compose version: 1.9.0 [Step 0]: checking installation environment ... .... [Step 1]: loading Harbor images ... .... [Step 2]: preparing environment ... .... [Step 3]: checking existing instance of Harbor ... .... [Step 4]: starting Harbor ... ✔ ----Harbor has been installed and started successfully.---- ... For more details, please visit https://github.com/vmware/harbor .安裝完成後,會發現解壓目錄harbor下面多了一個docker-compose.yml檔案,裡面包含了harbor依賴的映象和對應容器建立的資訊
-
執行 docker-compose ps (執行docker-compose需在包含docker-compose.yml的目錄) , 確保 container 的狀態都是up (healthy).
-
如果安裝一切順利,通過之前在harbor.cfg配置的hostname即可以訪問到前端了.
安裝配置問題
Harbor安裝 之後,需要用docker-compose ps 命令去檢視狀態,保證所有docker 容器都是 healthy, 否則 很可能login harbor 失敗
如果那個service 啟動不正常,就去檢視/var/log/harbor/ 下對應的log
owen@swarm-node-107:/disk/harbor_v2.0.0$ ls /var/log/harbor/ -lht
總用量 22M
-rw-r--r-- 1 10000 10000 3.5M 12月 15 23:03 registryctl.log
-rw-r--r-- 1 10000 10000 5.4M 12月 15 23:02 core.log
-rw-r--r-- 1 10000 10000 4.4M 12月 15 23:02 portal.log
-rw-r--r-- 1 10000 10000 4.9M 12月 15 23:02 registry.log
-rw-r--r-- 1 10000 10000 1.2M 12月 15 23:02 proxy.log
-rw-r--r-- 1 10000 10000 392K 12月 15 23:00 redis.log
-rw-r--r-- 1 10000 10000 1.6M 12月 15 23:00 jobservice.log
-rw-r--r-- 1 10000 10000 53K 12月 14 21:42 postgresql.log
-rw-r--r-- 1 10000 10000 65K 7月 7 23:35 clair.log
-rw-r--r-- 1 10000 10000 1.2K 7月 5 11:43 clair-adapter.log
-rw-r--r-- 1 10000 10000 1.4K 7月 5 11:38 chartmuseum.log
修改harbor的執行配置,需要如下步驟:
# 停止 harbor
docker-compose down -v
# 修改配置
vim harbor.cfg
# 執行./prepare已更新配置到docker-compose.yml檔案
./prepare
# 啟動 harbor
docker-compose up -d
問題-1 服務啟動異常
ubuntu@172-20-16-51:/opt/harbor$ docker login 192.20.16.51
Username: admin
Password:
Error response from daemon: login attempt to http://192.20.16.51/v2/ failed with status: 502 Bad Gateway
Harbor-db service 不能正常啟動,最後檢視postgresql.log 發現下面 message.
| initdb: directory "/var/lib/postgresql/data" exists but is not empty
| If you want to create a new database system, either remove or empty
| the directory "/var/lib/postgresql/data" or run initdb
| with an argument other than "/var/lib/postgresql/data".
因為當時/data/datebase 目錄下,確實不是empty, 手動改了docker-compose.yml ,然後 docker-compose up -d 重新啟動容器,服務正常
postgresql:
image: goharbor/harbor-db:v2.0.0
container_name: harbor-db
restart: always
cap_drop:
- ALL
cap_add:
- CHOWN
- DAC_OVERRIDE
- SETGID
- SETUID
volumes:
- /data/database:/var/lib/postgresql/data:z
問題-2- dial tcp xxx.xxx.xxx.xxx:443: connect: connection refused
# docker login 192.20.16.51:80
Username: admin
Password:
Error response from daemon: Get https://192.20.16.51:80/v2/: http: server gave HTTP response to HTTPS client
或者
Error response from daemon: Get https://192.168.31.107/v2/: dial tcp 192.168.31.107:443: connect: connection refused
docker1.3.2版本開始預設docker registry使用的是https,·Harbor預設安裝使用的是HTTP協議·,所以當執行用docker login、pull、push等命令操作非https的docker regsitry的時就會報錯。
臨時解決辦法:需要在每一臺harbor客戶端機器都要設定"insecure-registries" (徹底解決需要啟動Harbor HTTPS證照)
-
如果系統是MacOS,則可以點選“Preference”裡面的“Advanced”在“Insecure Registry”里加上hostname (e.g. docker.bksx.com),重啟Docker客戶端就可以了。
-
如果系統是
Ubuntu,則修改配置檔案/lib/systemd/system/docker.service,修改[Service]下ExecStart引數,增加–insecure-registry hostname(e.g. docker.bksx.com) -
如果系統是
Centos,可以修改配置/etc/sysconfig/docker,將OPTIONS增加–insecure-registry hostname(e.g. docker.bksx.com)
如果是新版本的docker在/etc/sysconfig/ 沒有docker這個配置檔案的情況下。
#在daemon.json中新增以下引數
[root@localhost harbor]# cat /etc/docker/daemon.json
{
"insecure-registries": [
"hostname"
]
}
注意:該檔案必須符合 json 規範,否則 Docker 將不能啟動。另外hostname 必須與harbor.cfg 裡的hostname 一致。
新增完了後重新啟動 docker:systemctl daemon-reload && systemctl enable docker && systemctl restart docker
登入後,賬號資訊都儲存到本機的~/.docker/config.json
owen@swarm-manager-105:~/gitee/vnote_notebooks$ docker login 192.168.31.107
Username: admin
Password:
WARNING! Your password will be stored unencrypted in /home/owen/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
owen@swarm-manager-105:~/gitee/vnote_notebooks$ cat ~/.docker/config.json
{
"auths": {
"192.168.31.107": {
"auth": "YWRtaW46SGFyYm9yMTIzNDU="
}
},
"HttpHeaders": {
"User-Agent": "Docker-Client/19.03.14 (linux)"
}
問題-3 防止容器程式沒有許可權讀取生成的配置
