harbor – wqh博客 https://wangqianhong.com 和而不同 Sun, 22 Sep 2024 06:44:18 +0000 zh-CN hourly 1 https://wangqianhong.com/wp-content/uploads/2020/09/cropped-1-1-1-32x32.png harbor – wqh博客 https://wangqianhong.com 32 32 镜像仓库Harbor(四) | 镜像操作 https://wangqianhong.com/2022/05/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e5%9b%9b%ef%bc%89-%e9%95%9c%e5%83%8f%e6%93%8d%e4%bd%9c/ https://wangqianhong.com/2022/05/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e5%9b%9b%ef%bc%89-%e9%95%9c%e5%83%8f%e6%93%8d%e4%bd%9c/#respond Sat, 07 May 2022 09:16:00 +0000 https://wangqianhong.com/?p=3112 创建好项目并分配好用户之后,就可以在本地对镜像仓库进行操作 http访问 如果harbor还没有设置… 继续阅读 镜像仓库Harbor(四) | 镜像操作

镜像仓库Harbor(四) | 镜像操作最先出现在wqh博客

]]> 创建好项目并分配好用户之后,就可以在本地对镜像仓库进行操作

http访问

如果harbor还没有设置https,则需要配置docker的daemon.json文件

(C:\ProgramData\Docker\config\daemon.json on windows, /etc/docker/daemon.json on linux)

"insecure-registries":["192.168.1.93:80"]

如果配置了https,就要加入ca.crt文件

/etc/docker/certs.d/192.168.1.93/ca.crt

重启docker
systemctl restart docker

同时还要把ca.crt文件拷贝到/etc/ssl/certs/目录下面,否则在使用Dockerfile构建镜像会报错

tls: failed to verify certificate: x509: certificate signed by unknown authority

登录仓库

docker login 192.168.1.93 -u admin
Password:

Login Succeeded

tag镜像

要推送镜像到仓库,必需打上标签

docker tag image_id(本地需要push的镜像) ip:port/项目名/镜像名:版本号

推送镜像

docker push ip:port/项目名/镜像名:版本号

推送完成之后,就可以在对应项目下看到镜像

拉取镜像

docker pull ip:port/项目名/镜像名:版本号

镜像仓库Harbor(四) | 镜像操作最先出现在wqh博客

]]> https://wangqianhong.com/2022/05/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e5%9b%9b%ef%bc%89-%e9%95%9c%e5%83%8f%e6%93%8d%e4%bd%9c/feed/ 0 镜像仓库Harbor(三) | https配置 https://wangqianhong.com/2022/05/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e4%b8%89%ef%bc%89-https%e9%85%8d%e7%bd%ae/ https://wangqianhong.com/2022/05/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e4%b8%89%ef%bc%89-https%e9%85%8d%e7%bd%ae/#respond Sun, 01 May 2022 07:42:00 +0000 https://wangqianhong.com/?p=3117 在生产环境中,应该从CA获得证书。在测试或开发环境中,可以生成自己的CA。要生成CA证书,请运行以下… 继续阅读 镜像仓库Harbor(三) | https配置

镜像仓库Harbor(三) | https配置最先出现在wqh博客

]]> 在生产环境中,应该从CA获得证书。在测试或开发环境中,可以生成自己的CA。要生成CA证书,请运行以下命令。

停止Harbor

首先将Harbor停止,并删除掉原有的一些数据,以恢复到一个干净的环境

docker compose -f docker-compose.yml down -v

rm -rf /data/ca_download /data/database /data/job_logs /data/redis /data/registry /data/secret
rm -rf /var/log/harbor*

证书生成

根证书

openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 3650 -out ca.crt -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=company/OU=IT/CN=test/emailAddress=1@test.com"

生成ca.crt和ca.key

证书签名

openssl req -newkey rsa:4096 -nodes -sha256 -keyout harbor-registry.key -out harbor-registry.csr -days 3650 -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=company/OU=IT/CN=192.168.1.93/emailAddress=1@test.com"

registry产生证书

echo subjectAltName = IP:192.168.1.93 > extfile.cnf

openssl x509 -req -days 3650 -in harbor-registry.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out harbor-registry.crt

ls 
ca.crt ca.key ca.srl extfile.cnf harbor-registry.crt harbor-registry.csr harbor-registry.key

修改配置

修改harbor.yml

https:
  # https port for harbor, default is 443
  port: 443
  # The path of cert and key files for nginx
  certificate: /you/path/harbor-registry.crt
  private_key: /you/path/harbor-registry.key
  # enable strong ssl ciphers (default: false)
  # strong_ssl_ciphers: false

重新生成配置文件

./prepare

重启Harbor

docker compose -f docker-compose.yml up -d

Creating harbor-log ... done
Creating harbor-db ... done
Creating registryctl ... done
Creating registry ... done
Creating harbor-portal ... done
Creating redis ... done
Creating harbor-core ... done
Creating nginx ... done
Creating harbor-jobservice ... done

通过https访问

将上面产生的ca.crt导入到浏览器的受信任的根证书中。然后就可以通过https进行访问

镜像仓库Harbor(三) | https配置最先出现在wqh博客

]]> https://wangqianhong.com/2022/05/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e4%b8%89%ef%bc%89-https%e9%85%8d%e7%bd%ae/feed/ 0 镜像仓库Harbor(二) | 仓库管理 https://wangqianhong.com/2022/04/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e4%ba%8c%ef%bc%89-%e4%bb%93%e5%ba%93%e7%ae%a1%e7%90%86/ https://wangqianhong.com/2022/04/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e4%ba%8c%ef%bc%89-%e4%bb%93%e5%ba%93%e7%ae%a1%e7%90%86/#respond Thu, 21 Apr 2022 05:26:00 +0000 https://wangqianhong.com/?p=3103 Harbor通过多用户角色来实现权限控制 创建用户 系统管理 -> 用户管理 角色管理 系统管… 继续阅读 镜像仓库Harbor(二) | 仓库管理

镜像仓库Harbor(二) | 仓库管理最先出现在wqh博客

]]> Harbor通过多用户角色来实现权限控制

创建用户

系统管理 -> 用户管理

角色管理

  • 系统管理员:即admin用户,Harbor 系统管理员”拥有最多的权限,它可以列出所有项目、设置普通用户为管理员、删除用户以及为所有镜像设置漏洞扫描策略。所有项目也归管理员所有
  • 项目管理员:当系统管理员(admin)给某个用户“项目管理员”的角色后,该用户即可以”项目管理员“的身份管理该项目,其它未分配的项目无权限,”项目管理员“项目管理员有镜像上传/拉取、添加/删除成员、Helm Chart上传/下载、配置管理等权限。该角色在实际的业务场景通常是分配给某个项目的负责人
  • 维护人员:维护者拥有超越“开发者”的权限,包括扫描镜像、查看复制任务以及删除镜像和Helm Chart上传/下载、删除的能力
  • 开发者:开发者拥有项目的读写权限,即上传镜像到该项目和从该项目拉取镜像、上传/下载HelmChart、查看日志,其它权限没有
  • 访客:访客对指定项目具有只读权限。他们可以拉取和重新标记图像,但不能推送,也可以登录Harbor UI界面
  • 受限访客:受限访客没有项目的完全读取权限。他们可以拉取图像但不能推送,而且他们看不到日志或项目的其他成员。例如,您可以为来自不同组织的共享项目访问权限的用户创建受限访客

项目管理

新建项目

创建好不同角色的用户之后,就可以为不同的项目分配不同的用户,实现不同的限制控制

镜像仓库Harbor(二) | 仓库管理最先出现在wqh博客

]]> https://wangqianhong.com/2022/04/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e4%ba%8c%ef%bc%89-%e4%bb%93%e5%ba%93%e7%ae%a1%e7%90%86/feed/ 0 镜像仓库Harbor(一) | 容器部署 https://wangqianhong.com/2022/04/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e4%b8%80%ef%bc%89-%e5%ae%b9%e5%99%a8%e9%83%a8%e7%bd%b2/ https://wangqianhong.com/2022/04/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e4%b8%80%ef%bc%89-%e5%ae%b9%e5%99%a8%e9%83%a8%e7%bd%b2/#respond Sun, 17 Apr 2022 09:17:00 +0000 https://wangqianhong.com/?p=3082 Harbor(https://goharbor.io/)是一个开源的企业级镜像管理工具,它提供了一个… 继续阅读 镜像仓库Harbor(一) | 容器部署

镜像仓库Harbor(一) | 容器部署最先出现在wqh博客

]]> Harbor(https://goharbor.io/)是一个开源的企业级镜像管理工具,它提供了一个安全、可靠、可扩展的平台,用于存储、管理和分发Docker镜像。Harbor 允许用户用命令行工具对容器镜像及其他 Artifact 进行推送和拉取,并提供了图形管理界面帮助用户查看和管理这些 Artifact。

基本介绍

代理层:代理层实质上是一个 Nginx 反向代理,负责接收不同类型的客户端请求,包括浏览器、用户脚本、Docker 等,并根据请求类型和 URI 转发给不同的后端服务进行处理。

功能层

  • Portal:是一个基于 Argular 的前端应用,提供 Harbor 用户访问的界面。
  • Core:是 Harbor 中的核心组件,封装了 Harbor 绝大部分的业务逻辑。
  • JobService:异步任务组件,负责 Harbor 中很多比较耗时的功能,比如 Artifact 复制、扫描、垃圾回收等。
  • Docker Distribution:Harbor 通过 Distribution 实现 Artifact 的读写和存取等功能。
  • RegistryCtl:Docker Distribution 的控制组件。
  • Notary(可选):基于 TUF 提供镜像签名管理的功能。
  • 扫描工具(可选):镜像的漏洞检测工具。
  • ChartMuseum(可选):提供 API 管理非 OCI 规范的 Helm Chart,随着兼容 OCI 规范的 Helm Chart 在社区上被更广泛地接受,Helm Chart 能以 Artifact 的形式在 Harbor 中存储和管理,不再依赖 ChartMuseum,因此 Harbor 可能会在后续版本中移除对 ChartMuseum 的支持。

数据层

  • Redis:主要作为缓存服务存储一些生命周期较短的数据,同时对于 JobService 还提供了类似队列的功能。
  • PostgreSQL:存储 Harbor 的应用数据,比如项目信息、用户与项目的关系、管理策略、配置信息、Artifact 的元数据等等。
  • Artifact 存储:存储 Artifact 本身的内容,也就是每次推送镜像、Helm Chart 或其他 Artifact 时,数据最终存储的地方。默认情况下,Harbor 会把 Artifact 写入本地文件系统中。用户也可以修改配置,将 Artifact 存储在外部存储中,例如亚马逊的对象存储 S3、谷歌云存储 GCS、阿里云的对象存储 OSS 等等。

前期准备

所有的容器都跑在docker上面

Centos8安装Docker

https://github.com/goharbor/harbor/releases/tag/v2.10.2,下载最新的offline版本,然后上传到服务器

tar -zxvf harbor-offline-installer-v2.10.2.tgz

修改配置

cp harbor.yml.tmpl harbor.yml
hostname: 192.168.1.93

# http related config
http:
# port for http, default is 80. If https enabled, this port will redirect to https port
port: 80

# https related config
#https:
# https port for harbor, default is 443
#port: 443
# The path of cert and key files for nginx
#certificate: /your/certificate/path
#private_key: /your/private/key/path
# enable strong ssl ciphers (default: false)
# strong_ssl_ciphers: false

# The initial password of Harbor admin
# It only works in first time to install harbor
# Remember Change the admin password from UI after launching Harbor.
harbor_admin_password: Harbor12345

# Harbor DB configuration
database:
  # The password for the root user of Harbor DB. Change this before any production use.
  password: root123

hostname 修改成自己的可以访问的服务器地址

port 可以访问的端口,默认是80

harbor_admin_password 管理账号密码

password 数据库密码

把https暂时注释掉

脚本安装

 bash install.sh
[Step 0]: checking if docker is installed ...

Note: docker version: 24.0.5

[Step 1]: checking docker-compose is installed ...

Note: docker-compose version: 1.25.0

[Step 2]: loading Harbor images ...
Loaded image: goharbor/harbor-db:v2.10.2
Loaded image: goharbor/harbor-jobservice:v2.10.2
Loaded image: goharbor/redis-photon:v2.10.2
Loaded image: goharbor/registry-photon:v2.10.2
Loaded image: goharbor/harbor-log:v2.10.2
Loaded image: goharbor/harbor-portal:v2.10.2
Loaded image: goharbor/harbor-core:v2.10.2
Loaded image: goharbor/harbor-registryctl:v2.10.2
Loaded image: goharbor/harbor-exporter:v2.10.2
Loaded image: goharbor/nginx-photon:v2.10.2
Loaded image: goharbor/trivy-adapter-photon:v2.10.2
Loaded image: goharbor/prepare:v2.10.2

[Step 3]: preparing environment ...

[Step 4]: preparing harbor configs ...
prepare base dir is set to /home/forenet/harbor

[Step 5]: starting Harbor ...
Creating network "harbor_harbor" with the default driver
Creating harbor-log ... done
Creating harbor-db ... done
Creating registry ... done
Creating harbor-portal ... done
Creating redis ... done
Creating registryctl ... done
Creating harbor-core ... done
Creating harbor-jobservice ... done
Creating nginx ... done
✔ ----Harbor has been installed and started successfully.----

到这里Harbor就全部安装好了

访问:http://192.168.1.93 账号/密码:admin/Harbor12345

镜像仓库Harbor(一) | 容器部署最先出现在wqh博客

]]> https://wangqianhong.com/2022/04/%e9%95%9c%e5%83%8f%e4%bb%93%e5%ba%93harbor%ef%bc%88%e4%b8%80%ef%bc%89-%e5%ae%b9%e5%99%a8%e9%83%a8%e7%bd%b2/feed/ 0