簡(jiǎn)介

Harbor是一個(gè)用于存儲(chǔ)和分發(fā)Docker鏡像的企業(yè)級(jí)Registry服務(wù)器，通過(guò)添加一些企業(yè)必需的功能特性巍膘，例如安全冶伞、標(biāo)識(shí)和管理等助隧，擴(kuò)展了開(kāi)源Docker Distribution唆香。作為一個(gè)企業(yè)級(jí)私有Registry服務(wù)器嫌变，Harbor提供了更好的性能和安全。提升用戶(hù)使用Registry構(gòu)建和運(yùn)行環(huán)境傳輸鏡像的效率躬它。Harbor支持安裝在多個(gè)Registry節(jié)點(diǎn)的鏡像資源復(fù)制腾啥，鏡像全部保存在私有Registry中， 確保數(shù)據(jù)和知識(shí)產(chǎn)權(quán)在公司內(nèi)部網(wǎng)絡(luò)中管控冯吓。另外倘待，Harbor也提供了高級(jí)的安全特性，諸如用戶(hù)管理组贺，訪問(wèn)控制和活動(dòng)審計(jì)等凸舵。

• 基于角色的訪問(wèn)控制 - 用戶(hù)與Docker鏡像倉(cāng)庫(kù)通過(guò)“項(xiàng)目”進(jìn)行組織管理，一個(gè)用戶(hù)可以對(duì)多個(gè)鏡像倉(cāng)庫(kù)在同一命名空間（project）里有不同的權(quán)限锣披。
• 鏡像復(fù)制 - 鏡像可以在多個(gè)Registry實(shí)例中復(fù)制（同步）贞间。尤其適合于負(fù)載均衡，高可用雹仿，混合云和多云的場(chǎng)景增热。
• 圖形化用戶(hù)界面 - 用戶(hù)可以通過(guò)瀏覽器來(lái)瀏覽，檢索當(dāng)前Docker鏡像倉(cāng)庫(kù)胧辽，管理項(xiàng)目和命名空間峻仇。
• AD/LDAP 支持 - Harbor可以集成企業(yè)內(nèi)部已有的AD/LDAP，用于鑒權(quán)認(rèn)證管理邑商。
• 審計(jì)管理 - 所有針對(duì)鏡像倉(cāng)庫(kù)的操作都可以被記錄追溯摄咆，用于審計(jì)管理。
  國(guó)際化 - 已擁有英文人断、中文吭从、德文、日文和俄文的本地化版本恶迈。更多的語(yǔ)言將會(huì)添加進(jìn)來(lái)涩金。
• RESTful API - RESTful API 提供給管理員對(duì)于Harbor更多的操控, 使得與其它管理軟件集成變得更容易。
• 部署簡(jiǎn)單 - 提供在線和離線兩種安裝工具暇仲， 也可以安裝到vSphere平臺(tái)(OVA方式)虛擬設(shè)備步做。
  摘自于——Harbor簡(jiǎn)介

注：對(duì)于以下的操作，建議在linux系統(tǒng)上進(jìn)行奈附，如Ubuntu全度，CentOS等；若你要在mac上進(jìn)行斥滤，也建議你在mac上啟動(dòng)的一個(gè)linux的docker容器中進(jìn)行安裝将鸵，即使mac對(duì)于開(kāi)發(fā)人員來(lái)說(shuō)的確方便了很多勉盅，但是在部署一個(gè)平臺(tái)的時(shí)候，總是會(huì)遇到各種各樣的坑咨堤；windows用戶(hù)同樣在docker中搭建菇篡；我在mac上部署harbor時(shí)遇到很多坑，本文不會(huì)提及這些坑一喘，也不會(huì)有寫(xiě)相應(yīng)的解決方法解決這些坑

Harbor的安裝

Harbor在github上的地址驱还，從readme.md中可以知道安裝的方式分為

• Online installer（這是harbor的一種安裝方式，與本文標(biāo)題線上搭建無(wú)關(guān)聯(lián)）
• Offline installer（本文主講）
• OVA installer

至于Online installer和OVA installer這兩種搭建方式凸克，本文不會(huì)提及议蟆，有興趣的同學(xué)可以自己嘗試，相信在看完本文之后你也可以完成自己的Harbor倉(cāng)庫(kù)的搭建萎战。

Offline installer

在官方的發(fā)布版本中,找到一個(gè)最新的發(fā)布版本（本文寫(xiě)與2018.06.29咐容，官方version為1.5.1）
下載之后會(huì)得到一個(gè)類(lèi)似于harbor-offline-installer-v1.5.1.tgz的文件，用命令

tar zxvf harbor-offline-installer-vx.x.x.tgz harbor

將其解壓到harbor文件中蚂维。

harbor文件夾分析

打開(kāi)解壓之后的harbor文件戳粒，會(huì)發(fā)現(xiàn)主要有以下一些文件

• 幾個(gè)docker-compose開(kāi)頭，.yml為后綴的文件虫啥；其作用是用docker-compose啟動(dòng)Harbor
• common文件夾蔚约；其中存放的是harbor下幾個(gè)容器的配置文件，其中的templates是配置文件的模板
• ha文件夾涂籽；ha是High Availability（高可用）的簡(jiǎn)稱(chēng)苹祟，在其下可以搭建一個(gè)HA模式的harbor鏡像倉(cāng)庫(kù)
• harbor.cfg；啟動(dòng)harbor時(shí)使用的配置文件
• prepare和install.sh评雌；prepare由python寫(xiě)成树枫，而install.sh則是一個(gè)shell腳本，在配置好harbor.cfg之后景东，執(zhí)行sudo ./prepare命令會(huì)在common文件夾下生成一個(gè)config文件夾砂轻，里面存放的則是docker-compose.yml中的那些services所需要的配置文件

配置harbor.cfg

由于harbor.cfg配置內(nèi)容眾多，不同版本的harbor.cfg也不盡相同斤吐，所以此處不列出來(lái)舔清，只提一些重要的，以及在部署中會(huì)用到的做講解曲初。

• hostname：配置harbor的訪問(wèn)域名
• ui_url_protocol：配置訪問(wèn)的方式是http或https；如果是http杯聚，則可以忽略ssl的兩個(gè)屬性
• ssl_cert和ssl_cert_key：如果是通過(guò)https來(lái)訪問(wèn)harbor臼婆，則這兩個(gè)屬性一定要有可用證書(shū)
• secretkey_path：secretkey的存儲(chǔ)path，它被于docker-compose.yml中service為ui所用幌绍，這在docker-compose.yml中可以查看
• email,db和redis的配置：作為開(kāi)發(fā)人員一看就懂颁褂，不做贅述
• 其他：ldap的配置此文不講故响，因?yàn)槲乙仓恢浪且粋€(gè)輕量級(jí)目錄訪問(wèn)協(xié)議而已

注:secretkey_path的值對(duì)于新手來(lái)說(shuō)不建議更改，否則在啟動(dòng)harbor時(shí)會(huì)發(fā)現(xiàn)部分容器的狀態(tài)始終為unhealthy颁独，若要修改也是可以的彩届，文章后會(huì)提及

安裝

• 在配置好了harbor.cfg之后，執(zhí)行sudo ./prepare命令誓酒，為harbor啟動(dòng)的容器生成一些必要的文件（環(huán)境）
• 再執(zhí)行命令sudo ./install.sh以pull鏡像并啟動(dòng)容器

如果一切順利樟蠕，此時(shí)你訪問(wèn)你所配置的hostname，應(yīng)該能順利訪問(wèn)harbor的主頁(yè)面了靠柑，密碼如果沒(méi)有在harbor.cfg里面更改過(guò)寨辩，那么賬號(hào)密碼默認(rèn)是admin/Harbor12345

Https的配置

• 線下https的配置：關(guān)于harbor.cfg中ui_url_protocol的配置，如果是https歼冰，那么會(huì)涉及到https證書(shū)的問(wèn)題靡狞，在linux系統(tǒng)中，都有一個(gè)工具openssl隔嫡，可以用它為你的域名生成ssl證書(shū)甸怕，這里可以參照官方給出的教程；這一些列完成之后腮恩，記得修改hosts文件中添加dns解析
• 線上https的配置：如果你想要在線上部署harbor梢杭，那么你得有一臺(tái)服務(wù)器和一個(gè)域名，然后到阿里云（此處只是舉例庆揪，也可以是其他的云服務(wù)平臺(tái)）上做dns解析式曲，你可以申請(qǐng)一個(gè)免費(fèi)ssl證書(shū)，使用nginx的證書(shū)缸榛，下載之后掛在到harbor.cfg下的ssl_cert和ssl_cert_key上面吝羞， 重新執(zhí)行安裝的兩個(gè)步驟

理解

這里主要理解harbor下的ui服務(wù)，它會(huì)對(duì)我們之后使用docker-compose進(jìn)行項(xiàng)目部署有很好的啟發(fā)作用内颗，尤其是前后端分離的項(xiàng)目钧排，以及多個(gè)容器之間的數(shù)據(jù)交互。

打開(kāi)harbor項(xiàng)目所在的目錄均澳，使用命令

docker-compose ps

可看到類(lèi)似于如下內(nèi)容

harbor.png

可以看到harbor-ui這個(gè)容器的Command是/harbor/start.sh恨溜，我們用命令

docker-compose exec ui /bin/bash

進(jìn)入harbor-ui容器看看它這個(gè)start.sh做了些什么；注意這里的命令使用ui而不是harbor-ui的原因是因?yàn)閐ocker-compose exec進(jìn)入的是一個(gè)service找前，而harbor-ui這個(gè)容器在docker-compose.yml中是一個(gè)名為ui的service

/harbor/start.sh

• 可以看到這個(gè)shell的主要功能是為/etc/ui目錄下的所有文件賦予可讀權(quán)限糟袁，然后以管理員的身份執(zhí)行/harbor/harbor_ui這個(gè)二進(jìn)制文件

• 而/etc/ui下的文件是ui的一些配置文件和證書(shū)等等之類(lèi)的文件，這點(diǎn)可以在docker-compose.yml的ui下的volumes可以查看

• 同時(shí)可以在docker-compose.yml的ui下發(fā)現(xiàn)ui根本沒(méi)掛載過(guò)任何靜態(tài)文件躺盛，所以上圖中看到的/harbor文件下的所有都是打包在了鏡像里面（也就是vmware/harbor-ui:v1.5.1里面）

• 而對(duì)于/harbor/harbor_ui這個(gè)二進(jìn)制文件的作用项戴，大致可以推測(cè)出來(lái)，是將static下的文件以一個(gè)端口的形式暴露出來(lái)槽惫，以容器外部能正常訪問(wèn)這些靜態(tài)文件周叮。這點(diǎn)對(duì)之后用docker-compose部署項(xiàng)目很有幫助

• 從harbor.png中看到harbor-ui并未對(duì)外開(kāi)放任何端口辩撑，這里的對(duì)外是指對(duì)docker-compose中的一個(gè)network外；也就是說(shuō)仿耽，harbor-ui其實(shí)開(kāi)放了8080端口的合冀，這點(diǎn)可以在harbor-ui容器中的/etc/ui/app.conf中查看，這個(gè)開(kāi)放的端口在docker-compose下的一組servcies下的其他容器是可以訪問(wèn)的项贺，其實(shí)就是這幾個(gè)容器組成了一個(gè)內(nèi)網(wǎng)君躺，相互之間都可以通過(guò)service_name:port的形式訪問(wèn)其他容器中的服務(wù)

這就是harbor的搭建和理解，由這篇文章衍生的docker-compose的項(xiàng)目部署已寫(xiě)好