企业级Docker镜像仓库Harbor部署与使用

在实际生产运维中，往往需要把镜像发布到几十、上百台或更多的节点上。这时单台Docker主机上镜像已无法满足，项目越来越多，镜像就越来越多，都放到一台Docker主机上是不行的，我们需要一个像Git仓库一样系统来统一管理镜像。这里介绍的是一个企业级镜像仓库Harbor，将作为我们容器云平台的镜像仓库中心。

Habor是由VMWare公司开源的容器镜像仓库。事实上，Habor是在Docker Registry上进行了相应的企业级扩展，从而获得了更加广泛的应用，这些新的企业级特性包括：管理用户界面，基于角色的访问控制 ，AD/LDAP集成以及审计日志等，足以满足基本企业需求。 

官方地址：https://vmware.github.io

Github：https://github.com/goharbor/harbor

1、Harbor主要功能

• 基于角色访问控制（RBAC）
  在企业中，通常有不同的开发团队负责不同的项目，镜像像代码一样，每个人角色不同需求也不同，因此就需要访问权限控制，根据角色分配相应的权限。
  例如，开发人员需要对项目构建这就用到读写权限（push/pull），测试人员只需要读权限（pull），运维一般管理镜像仓库，具备权限分配能力，项目经理具有所有权限。
  
• 镜像复制
  可以将仓库中的镜像同步到远程的Harbor，类似于MySQL主从同步功能。
  
• LDAP
  Harbor支持LDAP认证，可以很轻易接入已有的LDAP。
  
• 镜像删除和空间回收
  Harbor支持在Web删除镜像，回收无用的镜像，释放磁盘空间。
  
• 图形页面管理
  用户很方面搜索镜像及项目管理。
  
• 审计
  对仓库的所有操作都有记录。
  
• REST API
  完整的API，方便与外部集成。
  

2、Harbor组件

3、Harbor部署

环境要求：

Harbor安装有3种方式：

• 在线安装：从Docker Hub下载Harbor相关镜像，因此安装软件包非常小
  
• 离线安装：安装包包含部署的相关镜像，因此安装包比较大
  
• OVA安装程序：当用户具有vCenter环境时，使用此安装程序，在部署OVA后启动Harbor
  

我们采用离线安装，首先下载离线安装包：https://github.com/vmware/harbor/releases

HTTP方式部署

基本配置：

准备配置文件：

# ./prepare

安装并启动Harbor：

# ./install.sh

查看运行状态：

部署完成，是不是很简单呢！

如果有非Up状态，先看日志：

# ls /var/log/harbor/

adminserver.log  jobservice.log  mysql.log  proxy.log  redis.log  registry.log  ui.log

HTTPS方式部署：

如果想以https加密方式提供服务可以参考这个免费的视频教程： https://ke.qq.com/course/311382

或者参考官方文档：https://github.com/vmware/harbor/blob/master/docs/configure_https.md

4、登录Web页面

浏览器输入：http://10.206.240.188

账号：admin  

密码：Harbor12345

这里有4个项目，library是默认自带的，通常用这个存储一些公共的镜像，这个项目下镜像谁都可以pull，但不能push，push需要先登录。其他3个项目是我自己创建的，请忽略。

5、library项目赋予新用户push权限

先创建一个用户：

进入library项目，将用户加入这个成员：

这样lizhenliang用户就具备了对这个library项目的push权限。

注：创建新项目赋予用户权限同等方式。

7、上传镜像

接下来将刚才构建的镜像推送到Harbor仓库，先看看我们要推送的镜像：

在推送之前，需要注意第一列，这个完整格式是：

如果镜像只放在本地存储REPOSITORY写什么都可以，但推送到镜像仓库就必须指定仓库中心地址。

所以，先打重命名REPOSITORY，其实就是引用源镜像标记了一个目标镜像：

访问拒绝，刚说过，push需先登录：

8、下载镜像

其他Docker主机怎么下载刚推送的镜像呢？

由于我们搭建的Harbor是以HTTP提供服务的，而Docker CLI默认以HTTPS 访问仓库，所以要先配置可信任，否则pull镜像仓库失败。如果是HTTPS提供服务就不用配置这一步了。

pull的地址跟push时是一样的。