一、Harbor概述

1、Harbor的概念

• Harbor是VMware公司开源的企业级Docker Registry项目，其目标是帮助用户迅速搭建一个企业级的Docker Registry服务

• Harbor以 Docker 公司开源的Registry 为基础，提供了图形管理UI、基于角色的访问控制(Role Based AccessControl)、AD/LDAP集成、以及审计日志(Auditlogging)等企业用户需求的功能，同时还原生支持中文

• Harbor的每个组件都是以Docker 容器的形式构建的，使用docker-compose 来对它进行部署。用于部署Harbor 的docker- compose模板位于harbor/ docker- compose.yml

2、Harbor的特性

1.基于角色控制: 用户和仓库都是基于项目进行组织的，而用户在项目中可以拥有不同的权限

2.基于镜像的复制策略: 镜像可以在多个Harbor实例之间进行复制(同步)

3.支持LDAP/AD: Harbor 可以集成企业内部有的AD/LDAP (类似数据库的一-张表)，用于对已经存在的用户认证和管理

4.镜像删除和垃圾回收: 镜像可以被删除，也可以回收镜像占用的空间

5.图形化用户界面: 用户可以通过浏览器来浏览，搜索镜像仓库以及对项目进行管理

6.审计管理: 所有针对镜像仓库的操作都可以被记录追溯，用于审计管理

7.支持RESTful API: RESTful API提供给管理员对于Harbor 更多的操控，使得与其它管理软件集成变得更容易

8.Harbor 和docker registry的关系: Harbor实质上是对docker registry做了封装，扩展了自己的业务模板

3、Harbor的构成

Harbor在架构上主要有Proxy、 Registry、 Core services、 Database (Harbor-db) 、Log collector ( Harbor-log)、Job services六个组件

● Proxy: Harbor 的Registry、 UI、Token 服务等组件，都处在nginx 反向代理后边。该代理将来自浏览器、docker clients的请求转发到后端不同的服务上

● Registry:负责储存Docker 镜像，并处理Docker push/pull命令。由于要对用户进行访问控制，即不同用户对Docker 镜像有不同的读写权限，Registry 会指向一个Token 服务，强制用户的每次Docker pull/push 请求都要携带一个合法的Token,Registry会通过公钥对Token进行解密验证

● Core services: Harbor的核心功能，主要提供以下3个服务:

UI (harbor-ui) :提供图形化界面，帮助用户管理Registry. 上的镜像( image)，并对用户进行授权

WebHook: 为了及时获取Registry.上image 状态变化的情况，在Registry. 上配置 Webhook，把状态变化传递给UI模块

Token 服务:负责根据用户权限给每个Docker push/pull 命令签发Token。 Docker 客户端向Registry服务发起的请求，

如果不包含Token，会被重定向到Token服务，获得Token后再重新向Registry 进行请求

● Database (harbor-db) :为core services提供数据库服务，负责储存用户权限、审计日志、Docker 镜像分组信息等数据

● Job services: 主要用于镜像复制，本地镜像可以被同步到远程Harbor 实例上

● Log collector (harbor-log) :负责收集其他组件的日志到一个地方

Harbor 的每个组件都是以 Docker 容器的形式构建的，因此，使用 Docker Compose 来对它进行部署。

总共分为7个容器运行，通过在 docker- compose.yml 所在目录中执行 docker-compose ps命令来查看，名称分别为:nginx、 harbor-jobservice、 harbor-ui、 harbor-db、 harbor-adminserver、registry、 harbor-log。

其中 harbor-adminserver 主要是作为一个后端的配置数据管理，并没有太多的其他功能。harbor-ui 所要操作的所有数据都通过 harbor-adminserver 这样一个数据配置管理中心来完成。

二部署 Harbor 服务

下载或上传 Harbor 安装程序

修改配置文件：vim harbor.cfg

2.1 访问UI页面

公开：所有的人都可以在我的私有仓库下载镜像

私有：只有我指定的用户角色才可以在我的私有仓库项目中下载镜像

在我本地推送镜像到私有仓库

2.2 别的主机想下载私有仓库的镜像

2.3 harbor管理

2.3.1 创建用户

2.3.2 使用新创建的用户下载私有项目的镜像

2.4 日志查看

2.5 非项目成员无法推送镜像

2.5.1 在项目中添加lisi用户就可以推送镜像到项目中了

2.6 可以修改密码

2.7 harbor私有仓库的仓库镜像同步

再准备一天主机做同步

2.7.1 同步仓库

2.8 上传镜像做测试

2.9 harbor的数据目录

如果想要做harbor数据迁移，就打包这个文件里面的数据就可以了

/data/registry/docker/registry/v2/repositories
复制代码

2.10 harbor日志目录

/var/log/harbor
复制代码

三重启docker-compose总有一些容器打不开怎么办

3.1 如果所有的容器都显示为UP正常了但是harbor还是登录不上去怎么办？

总结

docker 私有仓库通常使用5000端口

harbor 私有仓库的镜像格式：

harbor_url/项目 名称/image_name:tag

公有仓库：任何人不用登录仓库就能拉取项目中的镜像

私有仓库：需要登录仓库，具有权限的用户才能拉取镜像

Docker-harbor私有仓库