使用harbor-阿里云开发者社区

开发者社区> 开发与运维> 正文
登录阅读全文

使用harbor

简介:

安装harbor之前,需要安装好Python,Docker,DockerCompose。Python需要2.7以上的版本,Docker需要1.10以上的版本;Docker Compose 需要1.6.0以上的版本。

 

一:安装Docker Compose

https://docs.docker.com/compose/install/中介绍的各种安装方法,只有使用pip的方式才能安装成功。

使用pip安装,因为docker-compose的依赖包可能会与原有python环境的系统包冲突,因此文档中建议使用virtualenv。

首先安装virtualenv:


pip install virtualenv  


然后为安装docker-compose创建虚拟环境:

mkdir -p /opt/testvenv  

cd /opt/testvenv  

virtualenv venv  


激活虚拟环境,安装docker-compose:

source venv/bin/activate  

pip install docker-compose  


安装好的docker-compose在目录/opt/testvenv/venv/bin下,创建软链接:

ln -s /opt/testvenv/venv/bin/docker-compose /usr/local/bin/docker-compose  

这样便安装好了docker-compose。

 

二:安装harbor

1:使用源码安装,通过git下载源码:

mkdir -p /opt/harbor/git  

cd /opt/harbor/git  

git clone https://github.com/vmware/harbor  


 

2:配置harbor

在安装harbor之前,需要修改/opt/harbor/git/harbor/Deploy/harbor.cfg中的配置参数,然后执行prepare脚本来生成harbor所有容器的配置文件,最后运行docker compose启动harbor。

在文件harbor.cfg中,需要配置的参数如下:

hostname:私有仓库的主机名。可以是IP地址,也可以是域名。这里配置成192.168.1.104;

ui_url_protocol:用户访问私仓时使用的协议,默认时http,这里配置成https;

harbor_admin_password:harbor的管理员账户密码,默认密码是Harbor12345,用户名是admin;

其他配置参数可以参考:

https://github.com/vmware/harbor/blob/master/docs/installation_guide.md

 

3:配置https访问

用户访问harbor默认的协议是http,但是registry目前默认支持https访问,如果使用http,需要在访问私仓的主机上,修改docker的配置文件,增加--insecure-registry选项。

要配置https访问,首先生成证书:

mkdir -p /opt/harbor/cert/  

openssl req -x509 -days 3650 -nodes -newkey rsa:2048 -keyout \  

 /opt/harbor/cert/domain.key -out /opt/harbor/cert/domain.crt  

  

...    

Country Name (2 letter code) [XX]:    

State or Province Name (full name) []:    

Locality Name (eg, city) [Default City]:    

Organization Name (eg, company) [Default Company Ltd]:    

Organizational Unit Name (eg, section) []:    

Common Name (eg, your name or your server's hostname) []:192.168.1.104  

Email Address []:    


 

然后将生成的证书复制到nginx容器的特定目录下:

cp /opt/harbor/cert/domain.crt /opt/harbor/git/harbor/Deploy/config/nginx/cert/  

cp /opt/harbor/cert/domain.key /opt/harbor/git/harbor/Deploy/config/nginx/cert/  


 

然后修改/opt/harbor/git/harbor/Deploy/config/nginx目录下的配置文件:

mv nginx.conf  nginx.conf.bak  

cp nginx.https.conf nginx.conf  


 

修改nginx.conf文件内容:

server {  

  listen 443 ssl;  

  server_name 192.168.1.104;  

  

  # SSL  

  ssl_certificate /etc/nginx/cert/domain.crt;  

  ssl_certificate_key /etc/nginx/cert/domain.key;  

  ...  

}  

server {  

    listen 80;  

    server_name 192.168.1.104;  

    ...  

}  


 

4:生成修改harbor容器的配置文件:

cd /opt/harbor/git/harbor/Deploy  

./prepare   


 

运行prepare之后,需要修改/opt/harbor/git/harbor/Deploy/docker-compose.yml文件中,容器的数据卷目录,首先创建数据卷目录:

[cpp] view plain copy 在CODE上查看代码片派生到我的代码片

mkdir -p /opt/harbor/data  

mkdir -p /opt/harbor/data/registry  

mkdir -p /opt/harbor/data/log  

mkdir -p /opt/harbor/data/database  


然后修改docker-compose.yml文件内容:

version: '2'  

services:  

  log:  

    build: ./log/  

    volumes:  

      - /opt/harbor/data/log/:/var/log/docker/  

    ports:  

      - 1514:514  

  registry:  

    image: library/registry:2.4.0  

    volumes:  

      - /opt/harbor/data/registry:/storage  

      - ./config/registry/:/etc/registry/  

    environment:  

      - GODEBUG=netdns=cgo  

    ports:  

      - 5001:5001  

    command:  

      ["serve", "/etc/registry/config.yml"]  

    depends_on:  

      - log  

    logging:  

      driver: "syslog"  

      options:    

        syslog-address: "tcp://127.0.0.1:1514"  

        syslog-tag: "registry"  

  mysql:  

    build: ./db/  

    volumes:  

      - /opt/harbor/data/database:/var/lib/mysql  

    env_file:  

      - ./config/db/env  

    depends_on:  

      - log  

    logging:  

      driver: "syslog"  

      options:    

        syslog-address: "tcp://127.0.0.1:1514"  

        syslog-tag: "mysql"  

  ui:  

    build:  

      context: ../  

      dockerfile: Dockerfile.ui  

    env_file:  

      - ./config/ui/env  

    volumes:  

      - ./config/ui/app.conf:/etc/ui/app.conf  

      - ./config/ui/private_key.pem:/etc/ui/private_key.pem  

    depends_on:  

      - log  

    logging:  

      driver: "syslog"  

      options:    

        syslog-address: "tcp://127.0.0.1:1514"  

        syslog-tag: "ui"  

  proxy:  

    image: library/nginx:1.9  

    volumes:  

      - ./config/nginx:/etc/nginx  

    ports:  

      - 80:80  

      - 443:443  

    depends_on:  

      - mysql  

      - registry  

      - ui  

      - log  

    logging:  

      driver: "syslog"  

      options:    

        syslog-address: "tcp://127.0.0.1:1514"  

        syslog-tag: "proxy"  


 

因为当前主机访问外网时需要设置http代理,因此,在生成ui容器时也需要设置代理,因此需要修改/opt/harbor/git/harbor/Dockerfile.ui文件,在需要访问外网的apt-get和go get命令之前,设置代理地址:

FROM golang:1.6.2  

  

MAINTAINER jiangd@vmware.com  

  

RUN export https_proxy=http://192.168.1.22:1888 \  

    && export http_proxy=http://192.168.1.22:8000 \  

    && apt-get update \  

    && apt-get install -y libldap2-dev \  

    && rm -r /var/lib/apt/lists/*  

  

COPY . /go/src/github.com/vmware/harbor  

#golang.org is blocked in China  

COPY ./vendor/golang.org /go/src/golang.org   

WORKDIR /go/src/github.com/vmware/harbor/ui  

  

RUN export https_proxy=http://192.168.1.22:1888 \  

    && export http_proxy=http://192.168.1.22:8000 \  

    && go get -d github.com/docker/distribution \  

    && go get -d github.com/docker/libtrust \  

    && go get -d github.com/go-sql-driver/mysql \  

    && go build -v -a -o /go/bin/harbor_ui  

  

ENV MYSQL_USR root \  

    MYSQL_PWD root \  

    REGISTRY_URL localhost:5000  

  

COPY views /go/bin/views  

COPY static /go/bin/static  

COPY favicon.ico /go/bin/favicon.ico  

  

RUN chmod u+x /go/bin/harbor_ui \  

    && sed -i 's/TLS_CACERT/#TLS_CAERT/g' /etc/ldap/ldap.conf \  

    && sed -i '$a\TLS_REQCERT allow' /etc/ldap/ldap.conf  

  

WORKDIR /go/bin/  

ENTRYPOINT ["/go/bin/harbor_ui"]  

  

EXPOSE 80  


 

5:启动  停止harbor

cd /opt/harbor/git/harbor/Deploy  

docker-compose up -d  


注意不要执行./prepare

docker-compose stop

docker-compose rm -f

docker-compose up -d


6、登录

docker login -u admin -p Harbor12345 -e hujiaxin@xiaoniu66.com 10.10.16.194


7、对接LDAP认证


Harbor支持两种认证方式,默认为本地存储,即账号信息存储在mysql下,上文已经具体介绍。接下来介绍另外一种认证方式LDAP,只需要修改配置文件即可。需要提供ldap url以及ldap basedn参数,并且设置auth_mode为ldap_auth。


快速部署LDAP服务

为了测试方便,我们使用Docker启动一个LDAP服务器,启动脚本如下:


!/bin/bash


NAME=ldap_server

docker rm -f $NAME 2>/dev/null

docker run --env LDAP_ORGANISATION="Unitedstack Inc." \

--env LDAP_DOMAIN="ustack.com" \

--env LDAP_ADMIN_PASSWORD="admin_password" \

-v pwd/containers/openldap/data:/var/lib/ldap \

-v pwd/containers/openldap/slapd.d:/etc/ldap/slapd.d \

--detach --name $NAME osixia/openldap:1.1.2


创建新用户,首先需要定义ldif文件,new_user.ldif:

dn: uid=test,dc=ustack,dc=com

uid: test

cn: test

sn: 3

objectClass: top

objectClass: posixAccount

objectClass: inetOrgPerson

loginShell: /bin/bash

homeDirectory: /home/test

uidNumber: 1001

gidNumber: 1001

userPassword: 1q2w3e4r

mail: test@example.com

gecos: test


通过以下脚本创建新用户,其中ldap_server为LDAP服务容器名称。

docker cp new_user.ldif ldap_server:/

docker exec ldap_server ldapadd -x \

-D "cn=admin,dc=ustack,dc=com" \

-w admin_password \

-f /new_user.ldif -ZZ


查看用户是否创建成功:

docker exec ldap_server ldapsearch -x -h localhost \

-b dc=ustack,dc=com -D "cn=admin,dc=ustack,dc=com" \

-w admin_password

检查test用户是否存在,若存在,则说明创建成功,否则需要使用docker logs查看日志。


配置Harbor使用LDAP认证

修改harbor.cfg文件关于LDAP配置项,如下:

auth_mode = ldap_auth

ldap_url = ldap://42.62.x.x

ldap_basedn = uid=%s,dc=ustack,dc=com


然后重新部署Harbor:

./prepare

docker-compose stop

docker-compose rm -f

docker-compose up -d


测试是否能够使用test用户登录:

docker login -u test -p 1q2w3e4r \

-e test@example.com 42.62.x.x



本文转自 aaron428 51CTO博客,原文链接:http://blog.51cto.com/aaronsa/2061543

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章