1、Harbor

1.1 简介

• 虽然Docker官方提供了公共的镜像仓库，但是从安全和效率等方面考虑，部署我们私有环境内的Registry也是非常必要的。
• Harbor是由VMware公司开源的企业级的Docker Registry管理项目，相比docker官方拥有更丰富的权限权利和完善的架构设计，适用大规模docker集群部署提供仓库服务。
• 它主要提供 Dcoker Registry 管理界面UI，可基于角色访问控制,镜像复制， AD/LDAP 集成，日志审核等功能，完全的支持中文。

1.2 Harbor 的主要功能

• 基于角色的访问控制

用户与Docker镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。

• 基于镜像的复制策略

镜像可以在多个Registry实例中复制（可以将仓库中的镜像同步到远程的Harbor，类似于MySQL主从同步功能），尤其适合于负载均衡，高可用，混合云和多云的场景。

• 图形化用户界面

用户可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。

• 支持 AD/LDAP

Harbor可以集成企业内部已有的AD/LDAP，用于鉴权认证管理。

• 镜像删除和垃圾回收

Harbor支持在Web删除镜像，回收无用的镜像，释放磁盘空间。image可以被删除并且回收image占用的空间。

• 审计管理

所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。

• RESTful API

RESTful API 提供给管理员对于Harbor更多的操控, 使得与其它管理软件集成变得更容易。

• 部署简单

提供在线和离线两种安装工具， 也可以安装到vSphere平台(OVA方式)虚拟设备。
Harbor 的所有组件都在 Docker 中部署，所以 Harbor 可使用 Docker Compose 快速部署。注意： 由于 Harbor 是基于 Docker Registry V2 版本，所以 docker 版本必须 > = 1.10.0 docker-compose >= 1.6.0

1.3 Harbor 架构组件

架构组件图：1、Proxy：反向代理工具
2、Registry：负责存储docker镜像，处理上传/下载命令。对用户进行访问控制，它指向一个token服务，强制用户的每次docker pull/push请求都要携带一个合法的token，registry会通过公钥对token进行解密验证。
3、Core service：Harbor的核心功能：

• UI：图形界面
• Webhook：及时获取registry上image状态变化情况，在registry上配置 webhook，把状态变化传递给UI模块。
• Token服务：复杂根据用户权限给每个docker push/p/ull命令签发token。Docker客户端向registry服务发起的请求，如果不包含token，会被重定向到这里，获得token后再重新向registry进行请求。

4、Database：提供数据库服务，存储用户权限，审计日志，docker image分组信息等数据
5、Log collector：为了帮助监控harbor运行，复责收集其他组件的log，供日后进行分析

2、Harbor 部署