Harbor2.0快速部署，不怕存储大爆炸

运维及时雨 2020-06-03

950

说明：本文离线安装，后端挂载阿里云的OSS作为images存储，以后再也不怕磁盘爆满了。

Harbor版本：harbor-offline-installer-v2.0.0.tgz(本文离线安装)

2.0版本相比之前的1.x更新的不少功能：

启用Trivy作为默认漏洞扫描器，简化了Trivy扫描器的配置。

启用了Harbor组件之间的TLS，使组件内的流量更安全。

Webhook的增强功能，包括支持与Slack的交互、可选择的事件列表、多终端、新事件等。

增强机器人账户，允许用户为每个机器人设置单独的过期时间。

重构错误处理框架，以便更好地排除故障。

在用户界面中查看未标记的镜像，并将其从GC和标记保留工作中包含/排除。

选择性地从镜像中删除标签，而不删除镜像摘要或其他相关标签。

默认是https,因为notary必须在https协议下，如果不需要配置notary可以设置http。

操作版本：

[root@192-168-0-110 ~]# cat etc/system-release
CentOS Linux release 7.7.1908 (Core)
[root@192-168-0-110 ~]# uname  -a
Linux 192-168-0-110 3.10.0-1062.18.1.el7.x86_64 #1 SMP Tue Mar 17 23:49:17 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

安装个纯净的操作系统并初始化，可以参考下我之前的文章CentOS8 初探之安装和CentOS8 初探之初始化，这里直接把防火墙、selinux和postfix等禁用。

[root@192-168-0-110 ~]#systemctl  disable firewalld.service;systemctl  disable postfix.service
[root@192-168-0-110 ~]#sed -i '/SELINUX/s/enforcing/disabled/' etc/selinux/config

因为harbor默认是用docker-compose部署的当然也可以部署到kubernetes中，本文安装在docker-compose上，所有需要安装docker和docker-compose

#安装docker
[root@192-168-0-110 ~]#yum install yum-utils
 [root@192-168-0-110 ~]#yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
 [root@192-168-0-110 ~]#yum install docker-ce docker-ce-cli -y
[root@192-168-0-110 ~]# docker -v
Docker version 19.03.9, build 9d988398e7
[root@192-168-0-110 ~]#systemctl  start docker;systemctl  enable docker

#安装docker-compose
[root@192-168-0-110 ~]#curl -L "https://github.com/docker/compose/releases/download/1.25.5/docker-compose-$(uname -s)-$(uname -m)" -o usr/local/bin/docker-compose
[root@192-168-0-110 ~]# docker-compose  version
docker-compose version 1.25.5, build 8a1c60f6
docker-py version: 4.1.0
CPython version: 3.7.5
OpenSSL version: OpenSSL 1.1.0l  10 Sep 2019
[root@192-168-0-110 ~]#chmod +x usr/local/bin/docker-compose

接下来下载本文的主角harbor 2.0离线包

Harbor github 地址：https://github.com/goharbor/harbor/releases

[root@192-168-0-110 ~]#wget https://github.com/goharbor/harbor/releases/download/v2.0.0/harbor-offline-installer-v2.0.0.tgz

编辑相关配置文件，启动harbor：

 [root@192-168-0-110 ~]#tar xf harbor-offline-installer-v2.0.0.tgz 
 [root@192-168-0-110 ~]#cd harbor
 [root@192-168-0-110 harbor]#cp harbor.yml.tmpl  harbor.yml

修改harbor.yml 里hostname、certificate、private_key参数即可，其他的看需求，证书可以自建也可以找目前公司正在使用（通配符证书和域名证书均可）的，我的是自建的，自建证书教程后续更新.

vim harbor.yml

再把私有镜像服务器的地址添加到docker-daemon中，格式为json，然后重启或者reload docker 服务

[root@192-168-0-110 harbor]# cat /etc/docker/daemon.json 
{
    "insecure-registries": ["harbor.duqiu.com"]
}
 [root@192-168-0-110 ~]#systemctl  reload docker

配置docker-compose.yml文件和安装相关插件，本文只安装的clair和trivy插件

 [root@192-168-0-110 harbor]#./prepare --with-clair --with-trivy 
#--with-clair  镜像安全扫描插件
#--with_notary 内容信任插件 
#--with-trivy   镜像漏洞检测插件
#--with-chartmuseum Chart仓库服务

#更改镜像存储位置，本地的话不用配置直接用，本例子中我使用了阿里云的oss作为后端存储(如果harbor部署在非阿里云上建议使用外网访问域名),写入对应的value。
#官方文档 https://docs.docker.com/registry/storage-drivers/
#官方文档 https://docs.docker.com/registry/configuration/#storage
[root@192-168-0-110 harbor]#vim  common/config/registry/config.yml
oss:
     accesskeyid: 填写你的具有阿里云oss权限账户的RAM的AccessKey ID
     accesskeysecret: 填写你的具有阿里云oss权限账户的RAM的AccessKey Secret
     region: 地域节点(EndPoint)
     endpoint: Bucket 域名
     internal: true
     bucket: Bucket 名称

[root@192-168-0-110 harbor]#vim  docker-compose.yml #注释掉本地存储
 registry:
    image: goharbor/registry-photon:v2.0.0
    container_name: registry
    restart: always
    cap_drop:
      - ALL
    cap_add:
      - CHOWN
      - SETGID
      - SETUID
    volumes:
#      - /data/registry:/storage:z

启动harbor：

[root@192-168-0-110 harbor]# docker-compose  up -d 
Starting harbor-log ... done
Starting redis         ... done
Recreating registry    ... done
Starting harbor-portal ... done
Starting harbor-db     ... done
Recreating registryctl ... done
Creating trivy-adapter ... done
Recreating clair       ... done
Recreating harbor-core   ... done
Recreating clair-adapter ... done
Recreating harbor-jobservice ... done
Recreating nginx             ... done

访问资源的PC绑定hosts后访问页面：

duqiudeMacBook-Pro:~ duqiu$ sudo vim /etc/hosts
192.168.0.110 harbor.duqiu.com

启动浏览器开始验证：

创建项目名称nbtest

创建用户user1，权限为开发人员

把刚刚创建的nbtest权限分配给user1

在需要push 镜像和pull镜像的服务器登录私有镜像

[root@192-168-0-110 ~]# docker login harbor.duqiu.com  #输入刚才创建的用户名和密码登录
Username: user1
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store


Login Succeeded

本地写个测试images验证一下到刚刚创建的私有镜像仓库，是否正常上传下载和是否传到阿里oss里：

通过Dockerfile 生成本地image，打tag后开始推送

上传

 [root@192-168-0-110 ~]#docker push harbor.duqiu.com/nbtest/plm:nbtest202006011515

此时在阿里oss里即可看见刚刚上传的项目和images

返回harbor仓库界面可以选择你刚刚上传的镜像开始镜像安全扫描，这是clair提供的功能

扫描完成后，如果image有问题会在没有漏洞处出现提示

安装过程中出现的仓库只读模式，可以在此处更改：

数据库

文章转载自运维及时雨，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。

Harbor2.0快速部署，不怕存储大爆炸

评论