私有仓库harbor的搭建

时间 2019-12-21

标签私有仓库 harbor 搭建繁體版

原文原文链接

Harbor安装和配置指导python

Harbor 可使用如下三种方式进行安装部署:mysql

在线安装: 使用者能够直接从docker hub上下载harbor的官方镜像。
离线安装: 使用者须要下载源码包，并进行本身构建images。源码包比较大
Virtual Appliance: 通常使用这种方式在第三方平台搭建一个私有仓库做为平台的组建好比vsphere等,须要下载OVA 版本的Harbor.

官方下载页面请点击我 .linux

须要安装Harbor's virtual appliance,请点击我.nginx

本篇指导主要讲解经过使用在线和离线方式去一步步安装和配置Harbor.安装的步骤基本上都是相同的。git

若是用户运行了老版本的harbor,可能须要迁移数据到新的数据库队列中，详细的步骤请**点击我**github

另外在kubernetes上面部署的步骤和看如下连接**harbor on kubernets **sql

Harbor依赖docker

Harbor 被做为一个docker容器部署在服务区上，所以，他可以被部署在任何linux发行版本。目标主机上须要安装python，docker，以及docker－compose工具。数据库

Python 须要 2.7＋. 须要注意的是，最好安装对应linux发型版本的python。
Docker engine 须要1.10＋目前比较新的版本1.12. docker安装
Docker Compose 须要 1.6.0＋. Compose安装

Harbor安装与配置swift

安装步骤为如下几个部分：

下载安装包
修改相关配置 harbor.cfg;
运行 install.sh 去安装和启动harbor;

1.下载安装包

点击连接下载二进制包 Harbor下载 . 选择一个在线或者离线包进行下载. 使用 tar 命令解压下载的源码包

在线包安装:

$ tar xvf harbor-online-installer-<version>.tgz

离线包安装:

$ tar xvf harbor-offline-installer-<version>.tgz

2.配置 Harbor

配置参数被放在文件 harbor.cfg 中. 详细参数讲解至少得配置 hostname 参数

hostname: 配置目标主机的主机名, 被用来访问Harbor ui 和镜像仓库的，能够配置为ip地址和全域名,好比 192.168.1.10 or reg.yourdomain.com. 不要使用 localhost or 127.0.0.1 为主机名
ui_url_protocol: (http or https. 默认协议为 http) 该协议被用来访问 the UI and the token/notification 服务. 默认是 http. 想要设置https协议,请看连接配置Harbor支持https协议.
Email settings: 配置Harbor来发送邮件，固然改配置并非必须的 .注意:默认的ssl连接没有被启用,若是SMTP须要ssl支持，能够设置如下参数以支持。
email_ssl = true

* email_server = smtp.mydomain.com * email_server_port = 25 * email_username = sample_admin@mydomain.com * email_password = abc * email_from = admin <sample_admin@mydomain.com> * email_ssl = false

harbor_admin_password: 设置管理员内部密码，该密码牢牢在第一次启动Harbor的时候生效.在以后这个设置被忽略，管理员的密码将在UI中从新设置。默认的用户名和密码以下： admin/Harbor12345 .
auth_mode: 被用来认证的方式，默认使用的是 db_auth,该认证会被肢解存储到数据库中。若是须要设置LDAP方式认证须要使用ldap_auth.
ldap_url: LDAP认证方式的URL (e.g. ldaps://ldap.mydomain.com). 当 auth_mode 被设置为ldap_auth 的时候。
ldap_searchdn: 连接LDAP/AD服务的用户域(e.g. uid=admin,ou=people,dc=mydomain,dc=com).
ldap_search_pwd: 为上面设定的用户域设置密码 ldap_searchdn.
ldap_basedn: 基础域为方便寻找一个用户e.g. ou=people,dc=mydomain,dc=com. 仅当 auth_mode is 设置为ldap_auth的时候才使用
ldap_filter:用户搜索过滤 (objectClass=person).
ldap_uid: 该参数被用来匹配一个LDAP搜索的用户，可使uid，cn，email或者其余的方式。
ldap_scope: 用户搜索范围, 1-LDAP_SCOPE_BASE, 2-LDAP_SCOPE_ONELEVEL, 3-LDAP_SCOPE_SUBTREE. Default is 3.
db_password: mysql数据库root用户密码 db_auth.
self_registration: (on or off. Default is on) 启用和关闭用户注册功能.当被关闭，新用户职能经过admin用户去建立。 _注意: 当 auth_mode 被设置为 ldap_auth, self-registration 会被一直关闭,该参数也会被忽略。
use_compressed_js: (on or off. 默认为 on) 生产中使用，建议将该参数设置为 on. 在部署模式中将参数设置为off 以致于js 文件可以被分开去修改.
max_job_workers: (默认为 3) 设置在任务服务中最大的工做副本，每个image副本任务，会有一个worker从仓库中将全部的tag同步到远端。增大这个值回容许更多当前的副本任务，然而由于每一个worker都会去消耗必定的网络/cpu/io等资源，必须根据系统的资源进行合理设置该值。
secret_key: 该值为加解密在副本策略中远端仓库的密码，长度为16位字符。生产中必需修改该值. NOTE: After changing this key, previously encrypted password of a policy can not be decrypted.
token_expiration: token过时时间，默认30分钟
verify_remote_cert: (on or off. 默认 on) 该参数决定了当harbor盒远端的registry实例交互的时候是否使用SSL/TLS .设置为off 的时候，通常远端的registry会采用自签名或者未受信任的证书。
customize_crt: (on or off. 默认为on) 当设置为on的时候，会使用脚本去建立私钥和root证书去认证registry的token
如下参数:crt_country, crt_state, crt_location, crt_organization, crt_organizationalunit, crt_commonname, crt_email 被用来省城key。设置为off的时候，key和root证书能够被应用在外部的源中。为Harbor token服务自定义证书

3. 配置后端存储 (可选的)

默认，Harbor会存储镜像文件到本地文件系统。在生产环境中应该考虑使用一些后端存储去代替本地文件系统，好比S3,openstack swift或者ceph等。能够在文件templates/registry/config.yml去选择更新存储方式。好比你想使用Openstack Swift做为你的存储后端，对应的配置会以下：

storage: swift: username: admin password: ADMIN_PASS authurl: http://keystone_addr:35357/v3/auth tenant: admin domain: default region: regionOne container: docker_images

注意: 关于docker registry在存储后端的详细信息能够查看相应连接 Registry 配置详情 .

4.完成Harbor的安装并进行启动Harbor

一旦 harbord.cfg 和存储后端被配置完成就可使用install.sh脚本进行安装和启动Harbor服务。须要注意的是，执行该操做可能会花费一些，由于须要从docker hub上去下载一些Harbor相关依赖的images文件。

$ sudo ./install.sh

若是上面脚本执行完成以后，一切工做正常，你就能够在浏览器上输入配置文件harbor.cfg中配置的hostname而且使用配置的admin用户来访问Harbor服务。 http://reg.yourdomain.com 默认的管理员用户名密码： username/password：admin/Harbor12345 .

使用admin用户登陆进去后首先建立一个项目，好比myproject. 接下来用户就可使用docker login reg.yourdomain.com登陆并进行push镜像。(默认的registry服务监听的80端口):

sh $ docker login reg.yourdomain.com $ docker push reg.yourdomain.com/myproject/myrepo:mytag

重要提示: 默认安装的Harbor使用的是 HTTP 协议，所以，当用户在使用的时候，须要在docker daemon的配置文件中增长如下参数 --insecure-registry reg.yourdomain.com 而且重启docker.

更多使用Harbor的详情信息，请点我**Harbor使用指南** .

5.配置Harbor以支持HTTPs访问

Harbor不会使用任何认证进行运行，默认使用http来提供服务。这种方式对于部署或者测试环境会相应的简单一些，可是在生产环境中不建议那样作。为了启用HTTPS的支持，请看下面的连接配置Harbor以支持https.

管理 Harbor的生命周期

你可使用docker-compose去管理Harbor的整个生命周期。如下是相应的管理命令，须要注意的是docker-compose必须得在有docker-compose.yml文件的目录下执行：

中止Harbor服务:

$ sudo docker-compose stop Stopping harbor_proxy_1 ... done Stopping harbor_ui_1 ... done Stopping harbor_registry_1 ... done Stopping harbor_mysql_1 ... done Stopping harbor_log_1 ... done Stopping harbor_jobservice_1 ... done

启动Harbor服务:

$ sudo docker-compose start Starting harbor_log_1 Starting harbor_mysql_1 Starting harbor_registry_1 Starting harbor_ui_1 Starting harbor_proxy_1 Starting harbor_jobservice_1

若是须要修改Harbor的配置，首先须要停掉正在运行的 Harbor实例，更新harbor.cfg文件，再次运行install.sh

$ sudo docker-compose down $ vim harbor.cfg $ sudo install.sh

删除Harbor容器，保存镜像文件和Harbor的数据库文件：

$ sudo docker-compose rm Going to remove harbor_proxy_1, harbor_ui_1, harbor_registry_1, harbor_mysql_1, harbor_log_1, harbor_jobservice_1 Are you sure? [yN] y Removing harbor_proxy_1 ... done Removing harbor_ui_1 ... done Removing harbor_registry_1 ... done Removing harbor_mysql_1 ... done Removing harbor_log_1 ... done Removing harbor_jobservice_1 ... done

删除Harbor的数据库信息和镜像文件(通常为了纯净安装)：

$ rm -r /data/database $ rm -r /data/registry

更多docker－compose命令使用指南

持久化数据和日志文件

默认状况下，regirstry的数据被持久化到目标主机的/data/目录。当Harbor的容器呗删除或者从新建立的时候，数据不会有任何改变。另外，Harbor使用rsyslog去收集每一个容器的日志，默认的，政协日志文件被存储在目标主机的/var/log/harbor/目录以便进行troubleshooting

配置Harbor监听自定义端口

默认状况下，Harbor监听80和443(须要配置)来做为admin用户登陆的入口，固然也能够自定义该端口。

Http协议

1.修改 docker-compose.yml 文件替换ui中的端口映射, e.g. 8888:80.

proxy: image: library/nginx:1.11.5 restart: always volumes: - ./config/nginx:/etc/nginx ports: - 8888:80 - 443:443 depends_on: - mysql - registry - ui - log logging: driver: "syslog" options: syslog-address: "tcp://127.0.0.1:1514" tag: "proxy"

2.修改模版文件 templates/registry/config.yml

, 在参数 "$ui_url"以后增长自定义端口":8888".

auth: token: issuer: registry-token-issuer realm: $ui_url:8888/service/token rootcertbundle: /etc/registry/root.crt service: token-service

3.运行install.sh更新并启动harbor.

$ sudo docker-compose down $ sudo install.sh

HTTPS 协议

1.启用Https协议指南 guide.

2.修改 docker-compose.yml配置文件

修改compose文件中的443端口映射，好比： 4443:443.

proxy: image: library/nginx:1.11.5 restart: always volumes: - ./config/nginx:/etc/nginx ports: - 80:80 - 4443:443 depends_on: - mysql - registry - ui - log logging: driver: "syslog" options: syslog-address: "tcp://127.0.0.1:1514" tag: "proxy"

3.修改模版文件 templates/registry/config.yml

在"$ui_url"以后增长自定义端口，好比":4443"

auth: token: issuer: registry-token-issuer realm: $ui_url:4443/service/token rootcertbundle: /etc/registry/root.crt service: token-service

4.运行 install.sh 更新启动 Harbor.

$ sudo docker-compose down $ sudo install.sh

故障排查

当harbor不正常工做的时候，可使用一下命令查看正在运行的容器信息:

$ sudo docker-compose ps Name Command State Ports ----------------------------------------------------------------------------------------------------- harbor_jobservice_1 /harbor/harbor_jobservice Up harbor_log_1 /bin/sh -c crond && rsyslo ... Up 0.0.0.0:1514->514/tcp harbor_mysql_1 /entrypoint.sh mysqld Up 3306/tcp harbor_proxy_1 nginx -g daemon off; Up 0.0.0.0:443->443/tcp, 0.0.0.0:80->80/tcp harbor_registry_1 /entrypoint.sh serve /etc/ ... Up 5000/tcp harbor_ui_1 /harbor/harbor_ui Up

若是有容器处于非up状态，能够检查容器日志/var/log/harbor

2.对harbor进行弹性负载均衡nginx反响代理的时候能够查看如下文件,

make/config/nginx/nginx.conf 中的相关配置 location /, location /v2/ location /service/.

proxy_set_header X-Forwarded-Proto $scheme;