了解harbor仓库

1.harbor的简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，通过添加一些企业必需的功能特性，例如安全、标识和管理等，扩展了开源Docker Distribution。作为一个企业级私有Registry服务器，Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制，镜像全部保存在私有Registry中， 确保数据和知识产权在公司内部网络中管控。另外，Harbor也提供了高级的安全特性，诸如用户管理，访问控制和活动审计等。

2.harbor特性

1）基于角色的访问控制 ：用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。

2）镜像同步 ： 镜像可以在多个Registry实例中同步。尤其适合于负载均衡，高可用，混合云和多云的场景。

3）图形化用户界面 ： 用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。

4）AD/LDAP 支持 ： Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。

5）审计管理 ： 所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

6）国际化 ： 已拥有多国语言的本地化版本。

7）RESTful API ： 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

8）部署简单 ： 提供在线和离线两种安装工具。

3.Harbor整体架构

架构图

如图所示是harbor2.0的架构图，从上到下分为代理层、功能层和数据层

1）代理层：

代理层实质上是一个 Nginx 反向代理，负责接收不同类型的客户端请求，包括浏览器、用户脚本、Docker 等，并根据请求类型和 URI 转发给不同的后端服务进行处理。

2）功能层：

Portal：是一个基于 Argular 的前端应用，提供 Harbor 用户访问的界面。

Core：是 Harbor 中的核心组件，封装了 Harbor 绝大部分的业务逻辑。

JobService：异步任务组件，负责 Harbor 中很多比较耗时的功能，比如 Artifact 复制、扫描、垃圾回收等。

Docker Distribution：Harbor 通过 Distribution 实现 Artifact 的读写和存取等功能。

RegistryCtl：Docker Distribution 的控制组件。

Notary（可选）：基于 TUF 提供镜像签名管理的功能。

扫描工具（可选）：镜像的漏洞检测工具。

ChartMuseum（可选）：提供 API 管理非 OCI 规范的 Helm Chart，随着兼容 OCI 规范的 Helm Chart 在社区上被更广泛地接受，Helm Chart 能以 Artifact 的形式在 Harbor 中存储和管理，不再依赖 ChartMuseum，因此 Harbor 可能会在后续版本中移除对 ChartMuseum 的支持。

3）数据层：

Redis：主要作为缓存服务存储一些生命周期较短的数据，同时对于 JobService 还提供了类似队列的功能。

PostgreSQL：存储 Harbor 的应用数据，比如项目信息、用户与项目的关系、管理策略、配置信息、Artifact 的元数据等等。

Artifact 存储：存储 Artifact 本身的内容，也就是每次推送镜像、Helm Chart 或其他 Artifact 时，数据最终存储的地方。默认情况下，Harbor 会把 Artifact 写入本地文件系统中。用户也可以修改配置，将 Artifact 存储在外部存储中，例如亚马逊的对象存储 S3、谷歌云存储 GCS、阿里云的对象存储 OSS 等等

4.harbor服务实现：

Harbor的每个组件都是以Docker容器的形式构建的，官方也是使用Docker Compose来对它进行部署。用于部署Harbor的Docker Compose模板位于 harbor/docker-compose.yml,打开这个模板文件，发现Harbor是由9个容器组成的。

容器汇总整理

容器介绍：

1）nginx：负责流量转发和安全验证，对外提供的流量都是从nginx中转，所以开放https的443端口和http的80端口，它将流量分发到后端的ui和正在docker镜像存储的docker registry。

2）harbor-jobservice：harbor的job管理模块，job在harbor里面主要是为了镜像仓库之前同步使用的;

3）harbor-core：harbor的Harbor 中的核心组件;

4) registry：docker原生的仓库，负责保存镜像。

5）harbor-protal：提供 Harbor 用户访问的界面。

6）harbor-db：harbor的数据库，这里保存了系统的job以及项目、人员权限管理。由于本harbor的认证也是通过数据，在生产环节大多对接到企业的ldap中；

7）harbor-log：harbor-log是harbor的日志服务，统一管理harbor的日志。通过inspect可以看出容器统一将日志输出的syslog。

8）redis：缓存服务存储一些生命周期较短的数据

9）registryctl：Docker Distribution 的控制组件

以上容器通过Docker link的形式连接在一起并且在容器之间可以通过容器名字互相访问。对终端用户而言，只需要暴露proxy （即Nginx）的服务端口。