Harbor是VMware公司开源的企业级Docker Registry项目

一、Harbor 的优势

1、基于角色控制:有管理员与普通用户，可赋权普通用户，比如只能上传和下载，可根据项目来进行操作和管理
2、基于镜像的复制策略:也与权限相关，比如有只一些用户与组才能对此项目进行相对应的操作
3、支持 LDAP/AD:域控制，比如南京去下载北京harbor
私有仓库的镜像，两端打上局域网的地址，连接在一块，数据信息的传输通过一条隧道，会通过两层加密，第一层为隧道加密，第二层为数据加密，安全可靠
4、图像删]除和垃圾收集:即回收站机制
5、图形UI:具有统计功能，比如访问量与镜像下载热度
6、审计:日志，这里意义不大，主要还是借助于ELK
7、RESTful API:定义 web 语言规范的格式，方便调用Harbor的接口，也便于二次开发

二、Harbor 的核心组件

1.Proxy
通过一个前置的反向代理统一接收浏览器、Docker 客户端的请求，并将请求转发给后端不同的服务
这是一个反向代理组件

2.Registry
负责储存Docker 镜像
处理docker push/pull 命令来上传和下载

3.core services
Harbor 的核心功能，包括UI、webhook、 token服务
webhook:是一种反向API机制，类似于触发器
具体的说,webhook
是应用给其它应用提供实时信息的一种方式。信息一产生，Webhook在数据产生时立即发送数据和把它发送给已经注册的应用这就意味着你能实时得到数据。

PS:
回调是作为参数传递给另一个函数并在其父函数完成后执行的函数
回调函数是一组在训练的特定阶段被调用的函数集，你可以使用回调函数来观察训练过程中网络内部的状态和统计信息。通过传递回调函数列表到模型中，即可在给定的训练阶段调用该函数集中的函数
token:令牌，提供身份验证服务

4.Databases
为core services提供数据库服务
数据库记录镜像的元信息及用户的身份信息

5.Log collector
负责收集其他组件的日志，以供然后进行分析健康检查等

docker私有仓库架构拓扑

三.部署Harbor服务

Harbor被部署为多个Docker容器，因此可以部署在任何支持Docker 的 Linux 发行版上。( registry 为其核心组件)
Harbor 比 registry 相比好处是: harbor支持多种功能、图形化界面管理、多用户权限、角色管理机制、安全机制
服务端主机需要安装 Python、Docker和 Docker Compose。(web环境支持的是PY语言，故需要安装Python)

1.下载 Harbor安装程序

[root@docker ~]#tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/   //包需上传
[root@docker ~]# chmod +x docker-compose 
[root@docker ~]# cp docker-compose  /usr/local/bin                           //docker-compose需上传
[root@docker ~]# docker-compose -v                                          //查看版本

2．配置 Harbor参数文件

vim /usr/local/harbor/harbor.cfg

5 hostname = 192.168.80.4

关于Harbor.cfg配置文件中有两类参数:所需参数和可选参数

(1）所需参数：这些参数需要在配置文件Harbor.cfg中设置。如果用户更新它们并运行install.sh脚本重新安装Harbor,参数将生效。具体参数如下:

hosthame:用于访问用户界面和 register服务。它应该是目标机器的IP地址或完全限定的域名（FQDN)
例如192.168.226.130或hub.my.cn。不要使用localhost或127.0.0.1为主机名。
ui_url_protocol:(http或 https，默认为http）用于访问UI和令牌/通知服务的协议。如果公证处于启用状态，则此参数必须为https。（身份验证时会向 Mysal数据库进行比对，然后授予令牌)

max_job_workers:镜像复制作业线程。

db_password:用于db_auth的 MySQL数据库root用户的密码。

customize_art:该属性可设置为打开或关闭，默认打开。打开此属性时，准备脚本创建私钥和根证书，用于生成/验证注册表令牌。
当由外部来源提供密钥和根证书时，将此属性设置为off。

ssl_cert: SSL证书的路径，仅当协议设置为https时才应用。

ssl_cert_key:SSL密钥的路径，仅当协议设置为https时才应用。

secretkey_path:用于在复制策略中加密或解密远程register 密码的密钥路径。

(2）可选参数
这些参数对于更新是可选的,即用户可以将其保留为默认值﹐并在启动 Harbor后在 Web Ul上进行更新。
如果进入 Harbor.cfg，只会在第一次启动 Harbor时生效，随后对这些参数的更新，Harbor.cfg将被忽略。
注意:如果选择通过UI设置这些参数，请确保在启动Harbour后立即执行此操作。具体来说，必须在注册或在 Harbor中创建任何新用户之前设置所需的auth_mode。当系统中有用户时（除了默认的 admin 用户) ,auth_mode不能被修改。具体参数如下:

Email: Harbor需要该参数才能向用户发送“密码重置”电子邮件，并且只有在需要该功能时才需要。
请注意,在默认情况下ssL连接时没有启用。如果SMTP服务器需要SSL,但不支持STARTTLS,
那么应该通过设置启用SSL email_ssl = TRUE。

harbour_admin_password:管理员的初始密码，只在Harbour第一次启动时生效。之后，此设置将被忽略，并且应U中设置管理员的密码。
请注意，默认的用户名/密码是 admin/Harbor12345。

auth_mode:使用的认证类型，默认情况下，它是 db_auth，即凭据存储在数据库中。对于
LDAP身份验证(以文件形式验证)，请将其设置为 ldap_auth。

self_registration:启用/禁用用户注册功能。禁用时，新用户只能由Admin用户创建，只有管理员用户可以在 Harbour 中创建新用户。

注意:当auth_mode设置为ldap_auth时，自注册功能将始终处于禁用状态，并且该标志被忽略。

Token_expiration:由令牌服务创建的令牌的到期时间(分钟），默认为30 分钟。

project_creation_restriction:用于控制哪些用户有权创建项目的标志。默认情况下，每个人都可以创建一个项目。

如果将其值设置为“adminonly”，那么只有admin可以创建项目。

vefify_remote_cert:打开或关闭，默认打开。此标志决定了当Harbor与远程register实例通信时是否验证 SSL/TLS 证书。
将此属性设置为 off将绕过SSL/TLS 验证，这在远程实例具有自签名或不可信证书时经常使用。
另外，默认情况下，Harbor将镜像存储在本地文件系统上。在生产环境中，可以考虑使用其他存储后端而不是本地文件系统，
如S3、Openstack Swif、Ceph等。但需要更新common/templates/registry/config.yml文件。

3．启动 Harbor

sh /usr/local/harbor/install.sh
[root@docker harbor]# docker-compose ps          //查看组件状态

打开浏览器访问

访问http://192.168.80.4的管理页面，默认的管理员用户名和密码是admin/Harbor12345。

创建项目

登录

[root@docker docker]# docker login -u admin -p Harbor12345 http://127.0.0.1

下载镜像进行测试

[root@docker docker]# docker pull cirros

镜像打标签

[root@docker docker]# docker tag cirros:latest 127.0.0.1/my-project/cirros:v1

上传镜像到Habbor

[root@docker docker]# docker push 127.0.0.1/my-project/cirros:v1

退出

[root@docker docker]# docker logout 

以上操作都是在 Harbor服务器本地操作。如果其他客户端上传镜像到Harbor，就会报如下错误。出现这问题的原因 Docker Registry交互默认使用的是 HTTPS，但是搭建私有镜像默认使用的是 HTTP服务，所以与私有镜像交互时出现以下错误。

[root@docker docker]# docker login -u admin -p Harbor12345 http://192.168.80.4
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get "https://192.168.80.4/v2/": dial tcp 192.168.80.4:443: connect: connection refused

解决

[root@docker docker]# vim /usr/lib/systemd/system/docker.service 

[root@docker docker]# systemctl daemon-reload 
[root@docker docker]# systemctl restart docker 
[root@docker harbor]# cd /usr/local/harbor/
[root@docker harbor]# docker-compose up   //批量启动基于docker-compose.yml 的容器
[root@docker harbor]# docker login -u admin -p Harbor12345 http://192.168.80.4 //登录
[root@docker harbor]# docker tag nginx:latest 192.168.80.4/my-project/nginx:v1
[root@docker harbor]# docker push 192.168.80.4/my-project/nginx:v1            //推送镜像

删除cirros 镜像

[root@docker harbor]# docker rmi  cirros 
[root@docker harbor]# docker rmi 192.168.80.4/my-project/cirros:v1
[root@docker harbor]# docker rmi 127.0.0.1/my-project/cirros:v1

下载cirros 镜像

[root@docker harbor]# docker pull 192.168.80.4/my-project/cirros:v1

创建用户管理

创建用户

添加成员


命令行登录

[root@docker harbor]# docker login -u zhangsan -p Harbor123456 http://192.168.80.4
[root@docker harbor]# docker pull 192.168.80.4/my-project/cirros:v1     //下载

维护管理Harbor

可以使用docker-compose来管理 Harbor。一些有用的命令如下所示，必须在与docker-compose. yml相同的目录中运行。

修改Harbor.cfg配置文件
要更改Harbour 的配置文件时，请先停止现有的 Harbour实例并更新Harbor. cfg;然后运行 prepare 脚本来填充配置;最后重新创建并启动Harbour的实例。

docker-compose down -v
cd /usr/local/harbor
vim harbor.cfg    //修改配置文件
./prepare        //重新部署
docker-compose up -d   //启动

移除Harbor服务容器同时保留镜像数据/数据库
//在Harbor 服务器上操作

docker-compose down -v

如需重新部署，需要移除 Harbor服务容器全部数据
持久数据，如镜像，数据库等在宿主机的/data/目录下,日志在宿主机的/var/log/Harbor/目录下。

rm -rf /data/database/
rm -rf /data/registry/