08 - 镜像管理之：镜像仓库harbor介绍

本文参考：原文1

1 Harbor仓库介绍

Docker容器应用的开发和运行离不开可靠的镜像管理，虽然Docker官方也提供了公共的镜像仓库，但是从安全和效率等方面考虑，部署我们私有环境内的Registry 也是非常必要的。

之前介绍了Docker私有仓库Registry，这里介绍另一款企业级Docker镜像仓库Harbor的部署和使用，在Kubernetes集群中，推荐使用Harbor仓库环境。

Harbor是由VMware公司开源的企业级的Docker Registry管理项目（开源项目地址：https://github.com/vmware/harbor），Harbor主要提供Dcoker Registry管理UI，提供的功能包括：基于角色访问的控制权限管理(RBAC)、AD/LDAP集成、日志审核、管理界面、自我注册、镜像复制和中文支持等。Harbor的目标是帮助用户迅速搭建一个企业级的Docker registry服务。它以Docker公司开源的registry为基础，额外提供了如下功能：
-> 基于角色的访问控制(Role Based Access Control)
-> 基于策略的镜像复制(Policy based image replication)
-> 镜像的漏洞扫描(Vulnerability Scanning)
-> AD/LDAP集成(LDAP/AD support)
-> 镜像的删除和空间清理(Image deletion & garbage collection)
-> 友好的管理UI(Graphical user portal)
-> 审计日志(Audit logging)
-> RESTful API
-> 部署简单(Easy deployment)

Harbor的所有组件都在Docker中部署，所以Harbor可使用Docker Compose快速部署。需要特别注意：由于Harbor是基于Docker Registry V2版本，所以docker必须大于等于1.10.0版本，docker-compose必须要大于1.6.0版本！

2 Harbor仓库结构

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，整体架构如下：

harbor仓库由9个容器组成，这9个容器由docker-compose工具来统一管理：

在harbor的组件中，有部分是harbor自有的组件，一部分是harbor所依赖的外部组件，具体如下：

Harbor依赖的【外部组件】：

Nginx（即Proxy代理层）：Nginx前端代理，主要用于分发前端页面ui访问和镜像上传和下载流量；Harbor的registry、UI、token等服务，通过一个前置的反向代理统一接收浏览器、Docker客户端的请求，并将请求转发给后端不同的服务。
Registry v2：镜像仓库，负责存储镜像文件； Docker官方镜像仓库，负责储存Docker镜像，并处理docker push/pull命令。由于我们要对用户进行访问控制，即不同用户对 Docker image有不同的读写权限，Registry会指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token，Registry会通过公钥对token进行解密验证。
Database（MySQL或Postgresql）：为core services提供数据库服务，负责储存用户权限、审计日志、Docker image分组信息等数据。

Harbor【自有组件】：
Core services：这是Harbor的核心功能，主要提供以下服务：

UI（harbor-portal）：提供图形化界面，帮助用户管理registry上的镜像（image），并对用户进行授权。
webhook：为了及时获取registry 上image状态变化的情况，在Registry上配置webhook，把状态变化传递给UI模块。
Auth服务：负责根据用户权限给每个docker push/pull 命令签发token，Docker 客户端向 Registry 服务发起的请求，如果不包含token，会被重定向到这里，获得token后再重新向Registry进行请求。
API：提供Harbor RESTful API

Replication Job Service：提供多个 Harbor 实例之间的镜像同步功能。
Log collector：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析。

这里有两个对Harbor的理解误区：

误区一：Harbor是负责存储容器镜像的（ Harbor是镜像仓库，那么它就应当是存储镜像的）其实关于镜像的存储，Harbor使用的是官方的docker registry服务去完成，至于registry是用本地存储或者 s3 都是可以的，Harbor的功能是在此之上提供用户权限管理、镜像复制等功能，提高使用的registry的效率。

误区二：Harbor镜像复制是存储直接复制（镜像的复制，很多人以为应该是镜像分层文件的直接拷贝）其实Harbor镜像复制采用了一个更加通用、高屋建瓴的做法，通过 docker registry 的API去拷贝，这不是省事，这种做法屏蔽了繁琐的底层文件操作、不仅可以利用现有docker registry功能不必重复造轮子，而且可以解决冲突和一致性的问题。

3 Harbor仓库的部署

这里不建议使用kubernetes来部署，原因是：镜像仓库非常重要，尽量保证部署和维护的简洁性，因此，这里直接使用compose的方式进行部署。官方提供3种部署Harbor的方式：
1）在线安装：从Docker Hub下载Harbor的镜像来安装，由于Docker Hub比较慢, 建议Docker配置好加速器。
2）离线安装：这种方式应对与部署主机没联网的情况使用。需要提前下载离线安装包：harbor-offline-installer-.tgz 到本地。
3）OVA安装：这个主要用vCentor环境是使用。

下面，演示如何离线安装harbor。