harbor是一款開(kāi)源的鏡像倉(cāng)庫(kù),在docker倉(cāng)庫(kù)的基礎(chǔ)上柿祈,通過(guò)調(diào)用api的方式哈误,,進(jìn)一步封裝躏嚎,支持web界面蜜自、項(xiàng)目管理、用戶權(quán)限劃分等諸多特性卢佣。目前針對(duì)harbor的安裝重荠,主要有三種方式:
- 物理機(jī)安裝
- docker-compose
- k8s集群內(nèi)部安裝
優(yōu)勢(shì)
1、用戶管理
用戶和倉(cāng)庫(kù)都是基于項(xiàng)目進(jìn)行組織的,而用戶基于項(xiàng)目可以擁有不同的權(quán)限虚茶。
2戈鲁、項(xiàng)目管理
鏡像可以在多個(gè)Harbor實(shí)例之間進(jìn)行復(fù)制(同步)。 適用于負(fù)載平衡嘹叫,高可用性婆殿,多數(shù)據(jù)中心,混合和多云場(chǎng)景罩扇。
3婆芦、支持LDAP
Harbour與現(xiàn)有的企業(yè)LDAP / ADA集成,用于用戶認(rèn)證和管理喂饥。
4消约、圖形UI
用戶可以輕松瀏覽,搜索鏡像倉(cāng)庫(kù)以及對(duì)項(xiàng)目進(jìn)行管理员帮。
5或粮、審計(jì)
對(duì)存儲(chǔ)庫(kù)的所有操作都進(jìn)行跟蹤
6、支持高可用
支持跨數(shù)據(jù)倉(cāng)庫(kù)鏡像遠(yuǎn)程同步功能捞高,從某種程度上可以滿足HA的需求
我使用的版本:
docker-ce | 19.0.5
docker-compose | v1.25.4 | https://github.com/docker/compose/releases
harbor | v1.10.1 | https://github.com/goharbor/harbor/releases
docker-compose安裝harbor
1氯材、安裝docker-compose
由于網(wǎng)速的原因,在服務(wù)器上安裝太慢
# 安裝 docker-compose
curl -L "https://github.com/docker/compose/releases/download/1.25.4/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
# 配置權(quán)限
chmod u+x /usr/local/bin/docker-compose
# 查看安裝是否正常
docker-compose --version
2棠枉、安裝harbor
# 下載
wget https://github.com/goharbor/harbor/releases/download/v1.10.1/harbor-offline-installer-v1.10.1.tgz
# 解壓
tar -xvf harbor-online-installer-v1.9.3.tgz
3浓体、配置
進(jìn)入解壓文件內(nèi)泡挺,修改配置
打開(kāi)文件 harbor.yml
# 修改hostname辈讶,也可使用ip
hostname: harbor.example.com
# 修改端口號(hào),默認(rèn)為80娄猫,可以默認(rèn)
http:
# port for http, default is 80. If https enabled, this port will redirect to https port
port: 80
# 使用https修改贱除,不需要?jiǎng)t注釋即可
https:
# https port for harbor, default is 443
port: 443
# The path of cert and key files for nginx
certificate: /your/certificate/path
private_key: /your/private/key/path
# 修改admin的密碼
harbor_admin_password: xxx
4生闲、安裝
# 檢查
./prepare
# 安裝
./install
訪問(wèn) harbor.yml中配置的hostname 即可以訪問(wèn)Harbor服務(wù)了
5、使用
登錄瀏覽器月幌,使用上面配置的域名或者ip+port碍讯,進(jìn)入harbor內(nèi)創(chuàng)建一個(gè)項(xiàng)目test
在/etc/docker/daemon.json下添加
添加如下配置(若使用域名,替換為域名)
{
"insecure-registries":["xx.xx.xx.xx:8080"]
}
重啟使配置生效
# 重啟docker
systemctl restart docker
打tag推送鏡像
# 登錄倉(cāng)庫(kù),使用域名或者ip+端口
docker login -u <username> xx.xx.xx.xx
# 打tag鏡像,
docker tag nginx:latest xx.xx.xx.xx:8080/test/nginx:v1
# push
docker push xx.xx.xx.xx:8080/test/nginx:v1
6扯躺、配置域名訪問(wèn)
# 更新
apt-get update
# 安裝
apt-get install nginx -y
# 添加配置文件
cat <<EOF > /etc/nginx/sites-available/harbor.example.com
server
{
listen 80;
server_name harbor.example.com;
client_max_body_size 0; # 放開(kāi)上傳文件大小限制
index index.php index.html index.htm default.php default.htm default.html;
location /
{
proxy_pass http://xx.xx.xx.xx:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header REMOTE-HOST $remote_addr;
add_header X-Cache $upstream_cache_status;
expires 12h;
}
}
EOF
# 添加軟鏈
ln -s /etc/nginx/sites-available/harbor.example.com /etc/nginx/sites-enabled/harbor.example.com
# 加載配置文件
nginx -s reload
ubuntu添加域名認(rèn)證 : /etc/docker/daemon.json
{
"insecure-registries":["harbor.example.com"]
}
mac添加域名認(rèn)證
k8s安裝harbor
1捉兴、安裝文件地址
項(xiàng)目地址:https://github.com/goharbor/harbor-helm
軟件要求:
- Kubernetes cluster 1.10+
- Helm 2.8.0+
2、參數(shù)修改
進(jìn)入harbor-helm下录语,調(diào)整values.yaml參數(shù)
type: nodePort 這里我們使用對(duì)外暴露方式為nodePort
enable: false 這里不適用tls倍啥,使用http,通過(guò)nginx反向代理
**externalURL: http://{IP}:{PORT} **這里使用ip+端口號(hào)澎埠,設(shè)置代理請(qǐng)求地址
3虽缕、pvc設(shè)置
這里使用了nfs存儲(chǔ),默認(rèn)的storageclass蒲稳,如有不同存儲(chǔ)后端氮趋,或者指定存儲(chǔ)storageclass,需要自行修改配置江耀。
實(shí)際參數(shù)大小剩胁,需要調(diào)整,這里暫時(shí)測(cè)試運(yùn)行祥国,使用的默認(rèn)的pvc配置摧冀,沒(méi)有做改動(dòng)。
4系宫、運(yùn)行
harbor-helm倉(cāng)庫(kù)路徑下
helm install my-harbor .
5索昂、訪問(wèn)
kubectl get svc -n <harbor-namespace> | grep harbor | grep NodePort
6、導(dǎo)出yaml文件安裝
為了便于安裝扩借,在harbor-helm下將values.yaml文件參數(shù)調(diào)整后椒惨,通過(guò)helm導(dǎo)出安裝文件
helm install harbor-release harbor-helm --namespace=harbor-release --dry-run >> harbor-release.yaml
鏡像同步
harbor倉(cāng)庫(kù)支持鏡像同步復(fù)制,通過(guò)管理員賬戶登錄配置
1潮罪、倉(cāng)庫(kù)管理
左側(cè)的倉(cāng)庫(kù)管理選項(xiàng)康谆,點(diǎn)擊新建目標(biāo),參數(shù)配置如下
提供者:harbor
目標(biāo)明:自定義名字
目標(biāo)URL:目標(biāo)harbor的地址
訪問(wèn)ID:目標(biāo)倉(cāng)庫(kù)的賬號(hào)
訪問(wèn)密碼:目標(biāo)倉(cāng)庫(kù)的密碼
驗(yàn)證遠(yuǎn)程證書(shū):這里選擇忽略嫉到,沒(méi)有使用證書(shū)
2沃暗、復(fù)制管理
選中左側(cè)的復(fù)制管理,點(diǎn)擊新建規(guī)則何恶,參數(shù)配置如下
名稱:自定義
描述:簡(jiǎn)單描述信息孽锥,選填
復(fù)制模式:Push-based
資源過(guò)濾器:默認(rèn)不填,即全部復(fù)制
目標(biāo)Registry:選擇對(duì)應(yīng)倉(cāng)庫(kù)
觸發(fā)模式:根據(jù)實(shí)際需要選擇,這里暫時(shí)測(cè)試了定時(shí)
