Docker私有仓库Harbor介绍与部署

一、Harbor介绍

Harbor是由VMware公司开源的企业级的Docker Registry管理项目，Harbor主要提供Dcoker Registry管理UI，提供的功能包括：基于角色访问的控制权限管理(RBAC)、AD/LDAP集成、日志审核、管理界面、自我注册、镜像复制和中文支持等。Harbor的目标是帮助用户迅速搭建一个企业级的Docker registry服务。它以Docker公司开源的registry为基础，额外提供了如下功能:

1）基于角色的访问控制(Role Based Access Control)
2）基于策略的镜像复制(Policy based image replication)
3）镜像的漏洞扫描(Vulnerability Scanning)
4）AD/LDAP集成(LDAP/AD support)
5）镜像的删除和空间清理(Image deletion & garbage collection)
6）友好的管理UI(Graphical user portal)
7）审计日志(Audit logging)
8）RESTful API
9）部署简单(Easy deployment)

Harbor的所有组件都在Dcoker中部署，所以Harbor可使用Docker Compose快速部署。需要特别注意：由于Harbor是基于Docker Registry V2版本，所以docker必须大于等于1.10.0版本，docker-compose必须要大于1.6.0版本！

二、Harbor仓库结构

Harbor的每个组件都是以Docker容器的形式构建的，可以使用Docker Compose来进行部署。如果环境中使用了kubernetes，Harbor也提供了kubernetes的配置文件。Harbor大概需要以下几个容器组成：

• ui(Harbor的核心服务)
• log(运行着rsyslog的容器，进行日志收集)
• mysql(由官方mysql镜像构成的数据库容器)
• Nginx(使用Nginx做反向代理)
• registry(官方的Docker registry)
• adminserver(Harbor的配置数据管理器)
• jobservice(Harbor的任务管理服务)
• redis(用于存储session)

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器：

2.1、harbor依赖组件

1）Nginx（Proxy代理层）：Nginx前端代理，主要用于分发前端页面ui访问和镜像上传和下载流量; Harbor的registry,UI,token等服务，通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务

2）Registry v2：镜像仓库，负责存储镜像文件; Docker官方镜像仓库, 负责储存Docker镜像，并处理docker push/pull命令。由于我们要对用户进行访问控制，即不同用户对Docker image有不同的读写权限，Registry会指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token进行解密验证

3）Database(MySQL或Postgresql)：为core services提供数据库服务，负责储存用户权限、审计日志、Docker image分组信息等数据

4）Core services(Admin Server)：这是Harbor的核心功能，主要提供以下服务：

• UI：提供图形化界面，帮助用户管理registry上的镜像（image）, 并对用户进行授权
• webhook：为了及时获取registry 上image状态变化的情况， 在Registry上配置webhook，把状态变化传递给UI模块
• Auth服务：负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发起的请求,如果不包含token，会被重定向到这里，获得token后再重新向Registry进行请求
• API: 提供Harbor，RESTful API

5）Replication Job Service：提供多个 Harbor 实例之间的镜像同步功能

6）Log collector：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析

2.2、harbor逐渐数据流向

1）proxy，它是一个nginx前端代理，主要是分发前端页面ui访问和镜像上传和下载流量，上图中通过深蓝色先标识；
2）ui提供了一个web管理页面，当然还包括了一个前端页面和后端API，底层使用mysql数据库；
3）registry是镜像仓库，负责存储镜像文件，当镜像上传完毕后通过hook通知ui创建repository，上图通过红色线标识，当然registry的token认证也是通过ui组件完成；
4）adminserver是系统的配置管理中心附带检查存储用量，ui和jobserver启动时候回需要加载adminserver的配置，通过灰色线标识；
5）jobsevice是负责镜像复制工作的，他和registry通信，从一个registry pull镜像然后push到另一个registry，并记录job_log，上图通过紫色线标识；
6）log是日志汇总组件，通过docker的log-driver把日志汇总到一起，通过浅蓝色线条标识。