目录

一、什么是Harbor？

二、Harbor的特性

三、Harbor的构成

四、部署

五、维护管理Harbor

---

一、什么是Harbor？

Harbor 是 VMware 公司开源的企业级 Docker Registry 项目，其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务。

二、Harbor的特性

1、基于角色控制：用户和仓库都是基于项目进行组织的，而用户在项目中可以拥有不同的权限。
2、基于镜像的复制策略：镜像可以在多个Harbor实例之间进行复制（同步）。
3、支持 LDAP/AD：Harbor 可以集成企业内部已有的 AD/LDAP（类似数据库的一张表），用于对已经存在的用户认证和管理。
4、镜像删除和垃圾回收：镜像可以被删除，也可以回收镜像占用的空间。
5、图形化用户界面：用户可以通过浏览器来浏览，搜索镜像仓库以及对项目进行管理。
6、审计管理：所有针对镜 像仓库的操作都可以被记录追溯，用于审计管理。
7、支持 RESTful API：RESTful API 提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易。
8、Harbor和docker registry的关系：Harbor实质上是对docker registry做了封装，扩展了自己的业务模板。

三、Harbor的构成

Harbor 在架构上主要有 Proxy、Registry、Core services、Database（Harbor-db）、Log collector（Harbor-log）、Job services 六个组件。

1、Proxy: nginx反向代理。

2、Registry: 负责储存 Docker 镜像。
3、Core services: Harbor的核心功能，主要提供以下3个服务:
1）UI（harbor-ui）: 提供图形化界面。
2）WebHook：为了及时获取Registry上image 状态变化的情况，把状态变化传递给 UI 模块。
3）Token 服务：负责根据用户权限给每个 Docker push/pull 命令签发 Token。

4、Database（harbor-db）：为core services提供数据库服务，负责储存用户权限、审计日志、Docker 镜像分组信息等数据。

5、Job services: 主要用于镜像复制，与远程 Harbor 实例同步镜像。

6、Log collector（harbor-log）: 负责收集其他组件的日志到一个地方。

四、部署

环境：

Harbor服务器            192.168.246.10       docker-ce、docker-compose、harbor-offline-v1.2.2
client服务器               192.168.246.11       docker-ce1. 部署 Docker-Compose 服务
#下载或者上传 Docker-Compose

curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose --version

如果在下载过程中出现以下报错：

解决办法·：

vim /etc/hosts

在最后插入以下即可解决

 
2. 部署 Harbor 服务
（1）下载或上传 Harbor 安装程序

wget http://harbor.orientsoft.cn/harbor-1.2.2/harbor-offline-installer-v1.2.2.tgz
tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/

（2）修改harbor安装的配置文件

vim /usr/local/harbor/harbor.cfg

第5行，修改设置为Harbor服务器的IP地址或者域名

hostname = 192.168.246.10

第59行指定管理员的初始密码

harbor_admin_password = Harbor12345

 

3. 启动 Harbor

cd /usr/local/harbor/
 ./prepare
 ./install.sh

在配置好了 harbor.cfg 之后，执行 ./prepare 命令，为 harbor 启动的容器生成一些必要的文件（环境）
再执行命令 ./install.sh 以 pull 镜像并启动容器

4. 查看 Harbor 启动镜像

cd /usr/local/harbor/
docker-compose ps

 

5. 创建一个新项目
（1）浏览器访问：http://192.168.246.10 登录 Harbor WEB UI 界面，默认的管理员用户名和密码是 admin/Harbor12345

（2）输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮

（3）填写项目名称为“myproject-shh”，点击“确定”按钮，创建新项目

（4）此时可使用 Docker 命令在本地通过 127.0.0.1 来登录和推送镜像。默认情况下，Registry 服务器在端口 80 上侦听。
#登录 Harbor

docker login [-u admin -p Harbor12345] http://127.0.0.1

 这里我用的是自己的ip登录，方法不太一样

#下载镜像进行测试

docker pull nginx

#将镜像打标签
格式：docker tag 镜像:标签  仓库IP/项目名称/镜像名:标签

docker tag nginx:latest 127.0.0.1/myproject-shh/nginx:v1

#上传镜像到 Harbor

docker push 127.0.0.1/myproject-shh/nginx:v1

（5）在 Harbor 界面 myproject-kgc 目录下可看见此镜像及相关信息

五、维护管理Harbor

1. 通过 Harbor Web 创建项目
在 Harbor 仓库中，任何镜像在被 push 到 regsitry 之前都必须有一个自己所属的项目。
单击“+项目”，填写项目名称，项目级别若设置为"私有"，则不勾选。如果设置为公共仓库，则所有人对此项目下的镜像拥有读权限，命令行中不需要执行"Docker login"即可下载镜像，镜像操作与 Docker Hub 一致。

2. 创建 Harbor 用户
（1）创建用户并分配权限
在 Web 管理界面中单击系统管理 -> 用户管理 -> +用户，
填写用户名为“shh-zhangsan”，邮箱为“shh-zhangsan@shh.com”，全名为“zhangsan”，密码为“Abc123456”，注释为“管理员”（可省略）。
附：用户创建成功后，单击左侧“...”按钮可将上述创建的用户设置为管理员角色或进行删除操作，本例不作任何设置。

（2）添加项目成员
单击项目 -> myproject-shh-> 成员 -> + 成员，填写上述创建的用户 shh-zhangsan 并分配角色为“开发人员”。
附：此时单击左侧“...”按钮仍然可对成员角色进行变更或者删除操作

 

 

（3）在客户端上使用普通账户操作镜像
#删除上述打标签的本地镜像
docker rmi 192.168.246.10/myproject-shh/cirros:v2#先退出当前用户，然后使用上述创建的账户 shh-zhangsan 登录

docker logout 192.168.246.10
docker login 192.168.246.10
或者
docker login -u shh-zhangsan -p Abc123456 http://192.168.246.10

 

//下载和上传镜像进行测试

docker pull 192.168.246.10/myproject-shh/cirros:v2
docker tag cirros:latest 192.168.246.10/myproject-shh/cirros:v3
docker push 192.168.246.10/myproject-shh/cirros:v3

 

3. 查看日志
Web 界面日志，操作日志按时间顺序记录用户相关操作

4. 修改 Harbor.cfg 配置文件
要更改 Harbor的配置文件中的可选参数时，请先停止现有的 Harbor实例并更新 Harbor.cfg；然后运行 prepare 脚本来填充配置； 最后重新创建并启动 Harbor 的实例。使用 docker-compose 管理 Harbor 时，必须在与 docker-compose.yml 相同的目录中运行。

cd /usr/local/harbor
docker-compose down -v
vim harbor.cfg            #只能修改可选参数
./prepare
docker-compose up -d

#如果有以下报错，需要开启防火墙 firewalld 服务解决
Creating network "harbor_harbor" with the default driver
ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule:  (iptables failed: iptables --wait -t nat -I DOCKER -i br-b53c314f45e8 -j RETURN: iptables: No chain/target/match by that name.
 (exit status 1))

systemctl restart firewalld.service
docker-compose up -d

5. 移除 Harbor 服务容器同时保留镜像数据/数据库，并进行迁移
在Harbor服务器上操作
（1）移除 Harbor 服务容器

cd /usr/local/harbor
docker-compose down -v

（2）把项目中的镜像数据进行打包
持久数据，如镜像，数据库等在宿主机的/data/目录下，日志在宿主机的/var/log/Harbor/目录下

ls /data/registry/docker/registry/v2/repositories/myproject-shh
cd /data/registry/docker/registry/v2/repositories/myproject-shh
tar zcvf kgc-registry.tar.gz ./*

6. 如需重新部署，需要移除 Harbor 服务容器全部数据

cd /usr/local/harbor
docker-compose down -v
rm -r /data/database
rm -r /data/registry