企业级Docker Registry开源工具Harbor怎么用

目录

1. Harbor简介
2. Harbor的核心功能
3. Harbor的安装与配置
   • 3.1 系统要求
   • 3.2 安装步骤
   • 3.3 配置Harbor
4. Harbor的基本使用
   • 4.1 登录Harbor
   • 4.2 创建项目
   • 4.3 推送镜像
   • 4.4 拉取镜像
   • 4.5 管理镜像
5. Harbor的高级功能
   • 5.1 镜像复制
   • 5.2 镜像扫描
   • 5.3 镜像签名
   • 5.4 权限管理
6. Harbor的维护与监控
   • 6.1 日志管理
   • 6.2 性能监控
   • 6.3 备份与恢复
7. Harbor的常见问题与解决方案
8. 总结

Harbor简介

Harbor是一个开源的企业级Docker Registry工具，由VMware公司开发并维护。它提供了镜像的存储、分发、安全扫描、复制等功能，适用于企业级容器镜像管理。Harbor不仅支持Docker镜像，还支持Helm Chart等其他类型的容器镜像。

Harbor的主要特点包括： - 安全性：支持镜像签名、漏洞扫描、访问控制等安全功能。 - 高可用性：支持多节点部署，确保系统的高可用性。 - 易用性：提供友好的Web界面，方便用户进行镜像管理。 - 扩展性：支持插件机制，可以根据需求扩展功能。

Harbor的核心功能

Harbor的核心功能包括： 1. 镜像存储与管理：支持Docker镜像的存储、分发和管理。 2. 镜像复制：支持跨多个Harbor实例的镜像复制，确保镜像的高可用性。 3. 镜像扫描：集成Clair等漏洞扫描工具，支持镜像的安全扫描。 4. 镜像签名：支持Notary工具，确保镜像的完整性和来源可信。 5. 权限管理：支持基于角色的访问控制（RBAC），确保镜像的安全访问。 6. 日志与审计：提供详细的日志记录和审计功能，方便管理员进行监控和排查问题。

Harbor的安装与配置

系统要求

在安装Harbor之前，需要确保系统满足以下要求： - 操作系统：Linux（推荐Ubuntu 16.04或CentOS 7） - Docker：版本17.06.0-ce或更高 - Docker Compose：版本1.18.0或更高 - 硬件资源：至少4GB内存，2核CPU，50GB磁盘空间

安装步骤

1. 下载Harbor安装包

访问Harbor的GitHub Release页面，下载最新版本的Harbor安装包。

   wget https://github.com/goharbor/harbor/releases/download/v2.4.0/harbor-offline-installer-v2.4.0.tgz

1. 解压安装包

   tar -xzvf harbor-offline-installer-v2.4.0.tgz

1. 配置Harbor

进入解压后的目录，编辑harbor.yml文件，配置Harbor的相关参数。

   cd harbor
   vi harbor.yml

在harbor.yml中，可以配置以下参数： - hostname：Harbor的访问地址，例如harbor.example.com。 - http或https：配置HTTP或HTTPS访问方式。 - database：配置数据库连接信息。 - storage：配置镜像存储路径。

1. 安装Harbor

执行安装脚本，启动Harbor服务。

   ./install.sh

安装完成后，Harbor会自动启动，并可以通过浏览器访问。

配置Harbor

1. 配置HTTPS

为了提高安全性，建议配置HTTPS访问。首先，生成自签名证书：

   openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt

然后，将生成的ca.key和ca.crt文件放入Harbor的/data/cert目录，并在harbor.yml中配置HTTPS：

   https:
     port: 443
     certificate: /data/cert/ca.crt
     private_key: /data/cert/ca.key

1. 配置LDAP/AD认证

Harbor支持LDAP/AD认证，可以在harbor.yml中配置LDAP/AD连接信息：

   ldap:
     url: ldap://ldap.example.com
     base_dn: dc=example,dc=com
     uid: cn
     filter: (objectClass=person)
     scope: 2
     timeout: 5

1. 配置镜像复制

Harbor支持跨多个实例的镜像复制，可以在harbor.yml中配置复制策略：

   replication:
     enabled: true
     policies:
       - name: replication-policy
         description: "Replication policy for production"
         src_registry: https://harbor.example.com
         dest_registry: https://harbor-backup.example.com
         filters:
           - repository: "library/**"
         trigger:
           type: "manual"

Harbor的基本使用

登录Harbor

1. 通过Docker CLI登录

使用Docker CLI登录Harbor：

   docker login harbor.example.com

输入用户名和密码后，即可登录成功。

1. 通过Web界面登录

打开浏览器，访问https://harbor.example.com，输入用户名和密码登录。

创建项目

1. 通过Web界面创建项目

登录Harbor后，点击“项目”菜单，然后点击“新建项目”按钮，输入项目名称和描述，点击“确定”即可创建项目。

1. 通过API创建项目

使用Harbor的API创建项目：

   curl -X POST -H "Content-Type: application/json" -d '{"project_name":"my-project","public":true}' https://harbor.example.com/api/v2.0/projects

推送镜像

1. 标记镜像

首先，使用Docker CLI标记镜像：

   docker tag my-image:latest harbor.example.com/my-project/my-image:latest

1. 推送镜像

然后，推送镜像到Harbor：

   docker push harbor.example.com/my-project/my-image:latest

拉取镜像

1. 拉取镜像

使用Docker CLI拉取镜像：

   docker pull harbor.example.com/my-project/my-image:latest

管理镜像

1. 查看镜像

登录Harbor后，可以在“项目”页面查看所有镜像。

1. 删除镜像

在镜像详情页面，点击“删除”按钮即可删除镜像。

Harbor的高级功能

镜像复制

Harbor支持跨多个实例的镜像复制，可以在“复制管理”页面配置复制策略，并手动或自动触发复制任务。

镜像扫描

Harbor集成了Clair等漏洞扫描工具，可以在“镜像扫描”页面扫描镜像，并查看扫描结果。

镜像签名

Harbor支持Notary工具，可以在“镜像签名”页面为镜像签名，确保镜像的完整性和来源可信。

权限管理

Harbor支持基于角色的访问控制（RBAC），可以在“用户管理”页面为用户分配角色，确保镜像的安全访问。

Harbor的维护与监控

日志管理

Harbor的日志存储在/var/log/harbor目录下，可以通过查看日志文件进行问题排查。

性能监控

Harbor集成了Prometheus和Grafana，可以在“监控”页面查看系统的性能指标。

备份与恢复

Harbor的数据库和镜像存储可以通过备份工具进行备份和恢复，确保数据的安全性。

Harbor的常见问题与解决方案

1. Harbor无法启动

检查/var/log/harbor目录下的日志文件，查看具体的错误信息。

1. 镜像推送失败

检查Docker的配置文件，确保insecure-registries中配置了Harbor的地址。

1. 镜像扫描失败

检查Clair服务的状态，确保Clair服务正常运行。

总结

Harbor是一个功能强大的企业级Docker Registry工具，适用于企业级容器镜像管理。通过本文的介绍，您可以了解Harbor的安装、配置、基本使用和高级功能，并掌握Harbor的维护与监控方法。希望本文能帮助您更好地使用Harbor，提升容器镜像管理的效率与安全性。