Harbor 主要特性包括: 1. 基于角色的访问控制(RBAC):允许管理员根据用户的角色分配访问权限,确保不同的团队或项目能够按需访问其镜像资源,符合企业内部的安全策略和合规要求。 2. 管理用户界面:提供直观的 Web UI,便于用户管理和浏览镜像,以及进行权限配置、策略管理等操作。 3. AD/LDAP 集成:可以与现有的 Active Directory 或 LDAP 目录服务集成,实现用户身份验证和授权,简化用户管理流程。 4. 镜像复制:支持跨数据中心或跨云环境的镜像复制功能,有助于实现地理分布式部署和数据同步。 5. 镜像签名与验证:增强镜像的安全性,通过签名机制确保镜像的完整性和来源可信。 6. 安全扫描:集成了漏洞扫描功能,能够在推送或拉取镜像时自动扫描镜像中的已知安全漏洞,提高容器应用的安全性。 7. 日志与审计:记录操作日志,便于跟踪和审计,满足企业对于合规性的要求。 8. 多租户支持:为不同的团队或项目提供隔离的命名空间,确保资源不被误操作或非法访问。 9. 符合 OCI 标准:不仅支持 Docker 镜像,还兼容 OCI 规范的其他类型制品,适应更广泛的云原生生态。 Harbor 通过上述特性,为企业的容器化应用提供了从开发到生产的全生命周期管理方案,是构建企业级容器平台不可或缺的组件之一。用户可以通过命令行工具或图形界面与其交互,执行镜像的推送、拉取、删除等操作。
Harbor搭建步骤
搭建 Harbor 容器镜像仓库涉及几个关键步骤,以下是基于 CentOS 系统使用 Docker 和 Docker Compose 的一个简化版搭建过程。
准备工作
1. 系统要求:确保你的系统满足 Harbor 的最低硬件和软件要求,通常需要 CentOS 7+,Docker 19.03+,以及 Docker Compose。
2. 安装 Docker 和 Docker Compose:
- 使用 yum 或 dnf 安装 Docker:
sudo yum install docker-ce docker-ce-cli containerd.io
- 启动并设置 Docker 自启动:
sudo systemctl start docker
sudo systemctl enable docker
- 安装 Docker Compose,可以从 Docker 官网下载最新版本的二进制文件并按照指示安装。
下载 Harbor 安装包
访问 Harbor 的 GitHub 仓库(https://github.com/goharbor/harbor/releases)获取最新版本的发行包。例如,使用 wget 下载:
wget https://github.com/goharbor/harbor/releases/download/vX.Y.Z/harbor-online-installer-vX.Y.Z.tgz
其中 `X.Y.Z` 是你要安装的 Harbor 版本号。
解压并准备配置文件
解压缩下载的文件,并修改配置文件(如果需要):
tar xvf harbor-online-installer-vX.Y.Z.tgz
cd harbor
vi harbor.yml
在 `harbor.yml` 中,你可以配置诸如端口、数据库、存储、认证方式等。默认配置适用于大多数场景,但根据你的实际环境可能需要调整。
安装 Harbor
以 root 用户身份执行安装脚本:
./install.sh --with-clair --with-chartmuseum
这里 `--with-clair` 和 `--with-chartmuseum` 是可选参数,分别用于启用安全扫描和 Helm Chart 存储功能。
启动 Harbor
安装完成后,使用 Docker Compose 启动 Harbor 服务:
cd /usr/local/harbor
sudo docker-compose up -d
访问 Harbor
- 如果你的服务器有公网 IP 并且你已经正确配置了端口映射,可以通过浏览器访问 `http://your_server_ip:port`(默认端口是 80)。
- 登录 Harbor,默认的管理员用户名和密码通常是 `admin/Harbor12345`,首次登录会被要求修改密码。
注意事项
- 在生产环境中,务必遵循最佳实践,比如使用 HTTPS、配置备份策略、监控 Harbor 状态等。
- 按照官方文档检查和调整防火墙规则,确保所需端口开放。
- 定期更新 Harbor 到最新版本以获得安全更新和新功能。