Docker仓库之分布式Harbor清白之年980410

Habor是由VMWare公司开源的容器镜像仓库。事实上，Habor是在DockerRegistry上进行了相应的企业级扩展（也就是二次开发，底层是Registry），从而获得了更加广泛的应用，这些新的企业级特性包括：管理用户界面，基于角色的访问控制，AD/LDAP集成以及审计日志等。容器的核心在于镜象的概念，由于可以将应用打包成镜像，并快速的启动和停止，因此容器成为新的炙手可热的基础设施CAAS，并为敏捷和持续交付包括DevOps提供底层的支持。

总结：Harbor以Docker公司开源的registry为基础，额外提供了如下功能:

->基于角色的访问控制(RoleBasedAccessControl)->基于策略的镜像复制(Policybasedimagereplication)

->镜像的漏洞扫描(VulnerabilityScanning)->AD/LDAP集成(LDAP/ADsupport)

->镜像的删除和空间清理(Imagedeletion&garbagecollection)->友好的管理UI(Graphicaluserportal)

->审计日志(Auditlogging)->RESTfulAPI(可以理解成公共的标准接口）->部署简单(Easydeployment)

Harbor的所有组件都在Dcoker中部署，所以Harbor可使用DockerCompose快速部署。需要特别注意：由于Harbor是基于DockerRegistryV2版本，所以docker必须大于等于1.10.0版本，docker-compose必须要大于1.6.0版本！

Harbor的每个组件都是以Docker容器的形式构建的，可以使用DockerCompose来进行部署。如果环境中使用了kubernetes，Harbor也提供了kubernetes的配置文件。Harbor大概需要以下几个容器组成：

ui(Harbor的核心服务)、

log(运行着rsyslog的容器，进行日志收集)、

mysql(由官方mysql镜像构成的数据库容器)、

Nginx(使用Nginx做反向代理)、

registry(官方的Dockerregistry)、

adminserver(Harbor的配置数据管理器)、

jobservice(Harbor的任务管理服务)、

redis(用于存储session)。

Harbor依赖的外部组件

->Nginx(即Proxy代理层):Nginx前端代理，主要用于分发前端页面ui访问和镜像上传和下载流量;Harbor的registry,UI,token等服务，通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务。

->Registryv2:镜像仓库，负责存储镜像文件;Docker官方镜像仓库,负责储存Docker镜像，并处理dockerpush/pull命令。由于我们要对用户进行访问控制，即不同用户对Dockerimage有不同的读写权限，Registry会指向一个token服务，强制用户的每次dockerpull/push请求都要携带一个合法的token,Registry会通过公钥对token进行解密验证。->Database(MySQL或Postgresql)：为coreservices提供数据库服务，负责储存用户权限、审计日志、Dockerimage分组信息等数据。

Harbor自有组件

->Coreservices(AdminServer):这是Harbor的核心功能，主要提供以下服务：

->webhook：为了及时获取registry上image状态变化的情况，在Registry上配置webhook，把状态变化传递给UI模块。

->Auth服务：负责根据用户权限给每个dockerpush/pull命令签发token.Docker客户端向Registry服务发起的请求,如果不包含token，会被重定向到这里，获得token后再重新向Registry进行请求。

->API:提供HarborRESTfulAPI(一种统一发规范化请求接口）

->ReplicationJobService：提供多个Harbor实例之间的镜像同步功能。

->Logcollector：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，通过上面的自有组件介绍，下面的结构还是比较清楚了。

再来仔细看下Harbor主要组件和数据流走向：

->proxy，它是一个nginx前端代理，主要是分发前端页面ui访问和镜像上传和下载流量，上图中通过深蓝色先标识；->ui提供了一个web管理页面，当然还包括了一个前端页面和后端API，底层使用mysql数据库；->registry是镜像仓库，负责存储镜像文件，当镜像上传完毕后通过hook通知ui创建repository，上图通过红色线标识，当然registry的token认证也是通过ui组件完成；->adminserver是系统的配置管理中心附带检查存储用量，ui和jobserver启动时候回需要加载adminserver的配置，通过灰色线标识；->jobsevice是负责镜像复制工作的，他和registry通信，从一个registrypull镜像然后push到另一个registry，并记录job_log，上图通过紫色线标识；->log是日志汇总组件，通过docker的log-driver把日志汇总到一起，通过浅蓝色线条标识。

误区一:Harbor是负责存储容器镜像的(Harbor是镜像仓库，那么它就应当是存储镜像的)其实关于镜像的存储，Harbor使用的是官方的dockerregistry服务去完成，至于registry是用本地存储或者s3都是可以的，Harbor的功能是在此之上提供用户权限管理、镜像复制等功能，提高使用的registry的效率。

误区二：Harbor镜像复制是存储直接复制(镜像的复制，很多人以为应该是镜像分层文件的直接拷贝)其实Harbor镜像复制采用了一个更加通用、高屋建瓴的做法，通过dockerregistry的API去拷贝，这不是省事，这种做法屏蔽了繁琐的底层文件操作、不仅可以利用现有dockerregistry功能不必重复造轮子，而且可以解决冲突和一致性的问题。

Harbor仓库部署的官方要求的最小系统配置->2个cpu->4g内存->40g硬盘，因为是存储镜像的所以推荐硬盘大点。

Python2.7+（centos7自带的python版本就是2.7.5）DockerEngine1.10+DockerCompose1.6.0+系统版本在Centos7.5以上ip_forward路由转发功能要打开

另Docker18.09.1及以上的版本，系统内核版本需要升级到4.4.x，原因如下

1）CentOS7.x系统自带的3.10.x内核存在一些Bugs，导致运行的Docker、Kubernetes不稳定。2）高版本的docker(1.13以后)启用了3.10kernel实验支持的kernelmemoryaccount功能(无法关闭)，当docker节点压力大(如频繁启动和停止容器)时会导致cgroupmemoryleak；3）Docker18.09.1及以上的版本，需要手动升级内核到4.4.X以上；

内核升级步骤如下：

环境的检查和补充

[root@manager-node1~]#cat/etc/redhat-releaseCentOSLinuxrelease7.6.1810(Core)[root@manager-node1~]#uname-r4.4.248-1.el7.elrepo.x86_64#开启路由转发[root@manager-node1~]#echo1>/proc/sys/net/ipv4/ip_forward[root@manager-node1~]#vim/etc/sysctl.confnet.ipv4.ip_forward=1#关闭防火墙，并检查[root@manager-node1~]#systemctlstopfirewalld&&systemctldisablefirewalld&&firewall-cmd--statenotrunning[root@manager-node1~]#vim/etc/sysconfig/selinuxSELINUX=disabled[root@manager-node1~]#getenforceDisabled#检查python版本[root@manager-node1~]#python--versionPython2.7.5#检查docker版本[root@manager-node1~]#docker--versionDockerversion20.10.1,build831ebea#检查docker-compose版本[root@manager-node1~]#docker-compose--versiondocker-composeversion1.27.4,build40524192

如果线上环境有已购买好的HTTPS证书可以直接拿过来用，如果没有，就在Harbor本机进行HTTPS证书自签。这里Harbor本机ip地址是192.168.195.166

harbor的用法概念和我们在Gitlab上的用法概念差不多。

比如创建一个私有项目"test-Harbor"，点击进去可以看到推送镜像的信息提示

这里我们就可以在Harbor服务器的终端命令行里到Harbor仓库进行镜像的推送和拉取操作了：

镜像的下载

[root@manager-node2~]#dockerimagesREPOSITORYTAGIMAGEIDCREATEDSIZEcentoslatest300e315adb2f3weeksago209MB[root@manager-node2~]#dockerpull192.168.195.166/test-harbor/nginx@sha256:13e4551010728646aa7e1b1ac5313e04cf75d051fa441396832fcd6d600b5e71192.168.195.166/test-harbor/nginx@sha256:13e4551010728646aa7e1b1ac5313e04cf75d051fa441396832fcd6d600b5e71:Pullingfromtest-harbor/nginx6ec7b7d162b2:Pullcompletecb420a90068e:Pullcomplete2766c0bf2b07:Pullcompletee05167b6a99d:Pullcomplete70ac9d795e79:PullcompleteDigest:sha256:13e4551010728646aa7e1b1ac5313e04cf75d051fa441396832fcd6d600b5e71Status:Downloadednewerimagefor192.168.195.166/test-harbor/nginx@sha256:13e4551010728646aa7e1b1ac5313e04cf75d051fa441396832fcd6d600b5e71192.168.195.166/test-harbor/nginx@sha256:13e4551010728646aa7e1b1ac5313e04cf75d051fa441396832fcd6d600b5e71[root@manager-node2~]#dockerimagesREPOSITORYTAGIMAGEIDCREATEDSIZE192.168.195.166/test-harbor/nginxae2feff98a0c2weeksago133MBcentoslatest300e315adb2f3weeksago209MB

#harbor服务搭建成功后，默认会在安装目录下生成docker-compose.yml文件，通过这个文件harbor可以通过docker-compose进行服务的启停[root@manager-node1harbor]#docker-composestart[root@manager-node1harbor]#docker-composestop#如果需要修改harbor的一些配置，最好配合上面的启停中间加上下面的命令让配置生效[root@manager-node1harbor]#./prepare