VMware Harbor组件原理分析

最新推荐文章于 2025-06-08 12:14:21 发布
转载 最新推荐文章于 2025-06-08 12:14:21 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/guol/blog/1840973
文章标签:

#运维 #ui #后端

本文深入解析了Harbor的架构及工作原理,Harbor是VMware开源的企业级Registry,支持多种特性如RBAC权限控制、镜像复制、漏洞扫描等。文章详细介绍了Harbor的六大模块及其如何通过Docker容器实现快速部署。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为什么80%的码农都做不了架构师?>>>   hot3.png

Harbor

    harbor是vmware开源的企业级registry,可以让你迅速的搭建自己的私有registry,harbor扩展的docker的registry,使harbor支持以下特性:

  • RBAC 基于角色的权限控制
  • 基于策略的镜像复制
  • 漏扫
  • LDAP/AD支持
  • 镜像删除和垃圾清理
  • Notary 镜像签名
  • 用户界面
  • 审计
  • RESTful api
  • 安装简单(基于compose)

组件

    今天只聊聊harbor的架构,harbor主要有6大模块,默认的每个harbor的组件都被封装成一个docker container,所以可以通过compose来部署harbor,总共分为8个容器运行,通过docker-compose ps来查看

    简易架构图

harbor-adminserver   /harbor/start.sh                 Up (healthy)                                                                   
harbor-db            /usr/local/bin/docker-entr ...   Up (healthy)   3306/tcp                                                        
harbor-jobservice    /harbor/start.sh                 Up                                                                             
harbor-log           /bin/sh -c /usr/local/bin/ ...   Up (healthy)   127.0.0.1:1514->10514/tcp                                       
harbor-ui            /harbor/start.sh                 Up (healthy)                                                                   
nginx                nginx -g daemon off;             Up (healthy)   0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp, 0.0.0.0:80->80/tcp
redis                docker-entrypoint.sh redis ...   Up             6379/tcp                                                        
registry             /entrypoint.sh serve /etc/ ...   Up (healthy)   5000/tcp
  1. harbor-adminserver:harbor系统管理接口,可以修改系统配置以及获取系统信息
  2. harbor-db:存储项目的元数据、用户、规则、复制策略等信息
  3. harbor-jobservice:harbor里面主要是为了镜像仓库之前同步使用的
  4. harbor-log:收集其他harbor的日志信息。rsyslogd
  5. harbor-ui:一个用户界面模块,用来管理registry。主要是前端的页面和后端CURD的接口
  6. nginx:harbor的一个反向代理组件,代理registry、ui、token等服务。这个代理会转发harbor web和docker client的各种请求到后端服务上。是个nginx。nginx负责流量转发和安全验证,对外提供的流量都是从nginx中转,它将流量分发到后端的ui和正在docker镜像存储的docker registry
  7. registry:存储docker images的服务,并且提供pull/push服务。harbor需要对image的访问进行访问控制,当client每次进行pull、push的时候,registry都需要client去token服务获取一个可用的token。
  8. redis:存储缓存信息
  9. webhook:当registry中的image状态发生变化的时候去记录更新日志、复制等操作。
    token service:在docker client进行pull/push的时候今天token的发放。

harbor-login

a  nginx代理在80端口收到client发来的请求,然后把该请求转发到后端的registry。

b  registry收到请求,因为registry是配置的token-based的认证,所以会直接返回一个401状态码,然后返回一个url,通知client去哪里获取token,也就是token service

c  当docker client收到这个url后,会对这个url发起请求,需要在请求头中植入用户名和密码。

d  当请求到达nginx反向代理后,nginx会把该请求转发至ui服务上,因为ui符合token服务在一个容器里面,token服务会解码请求头中用户名和密码

e  拿到用户名和密码后会和db中的进行对比,如果验证无误,则返回成功,在返回的http请求中包含一个私有key

 

harbor-push

省略了proxy转发这一步
当你登录harbor成功后,docker push就可以使用了。

a  docker client和registry交互,获取到token service的url
b  随后docker client和token service交互,告诉token需要进行push操作
c  token服务查看db,该用户是否有相关的权限来push image,如果有相关权限,则返回一个私有的key
d  docker client拿到token后,会对registry发起push请求,当registry收到请求后,会用自己的公钥解密token,如果验证token是合格的,则开始image传输过程 

 

附加

    clair

        是 coreos 开源的容器漏洞扫描工具,在容器逐渐普及的今天,容器镜像安全问题日益严重。clair 是目前少数的开源安全扫描工具,主要提供OS(centos,debian,ubuntu等)的软件包脆弱性扫描。clair的可以单机部署也可以部署到k8s上,可以与现有的registry集成。harbor 很好的整合了 clair ,通过简单的UI就可以对上传的镜像扫描,还可以通过每天的定时扫描对所有镜像进行统一扫描,架构如下:

    Notary
        是一套docker镜像的签名工具, 用来保证镜像在pull,push和传输工程中的一致性和完整性。避免中间人攻击,避免非法的镜像更新和运行。

 

转载于:https://my.oschina.net/guol/blog/1840973

2、harbor核心原理详解
xuebo1129927648的博客
07-04 36
Harbor 通过模块化设计和多层安全机制,解决了企业级环境中容器镜像的存储、分发、安全和管理需求。Harbor 作为企业级容器镜像仓库,通过多层架构设计实现高效的镜像存储与分发。Harbor架构中的Job Service如何实现异步任务处理?详细说明Harbor的Proxy模块在请求处理过程中的具体作用。介绍一下Harbor的核心服务组件的主要功能。
Harbor 组成原理
qq_38729241的博客
12-04 1343
通过了解 Harbor 由哪些组件服务构成,达到具备理解 Harbor HA 架构的能力,以及具备自己设计 HA 架构的能力。
Harbor仓库镜像扫描原理
chunyusheng2547的博客
10-25 764
harbor仓库中的镜像扫描这个功能,看似很高大上,其实等你了解了它的底层原理与流程,你就会发现就是做了那么一件事而已,用通俗的一句话概括,就是找到每个镜像文件系统中已经安装的软件包与版本,然后跟官方系统公布的信息比对,官方已经给出了在哪个系统版本上哪个软件版本有哪些漏洞,比如...
Harbor-组件简介
Edidaughter的博客
03-17 2385
1.整体架构 在早期的版本中,Harbor的功能主要围绕Docker镜像的管理展开。Harbor的开发者希望让用户通过一个统一的地址同时进行推送和拉取,以及利用图形界面对镜像进行浏览和其他管理工作。关于推送和拉取这一部分功能,Docker公司开源的Distribution项目应用广泛,可以支持不同类型的存储,而且比较成熟和稳定。因此,Harbor选择由Distribution处理客户端镜像的推送和拉取请求,并通过围绕Distribution增加其他组件的方式来提供管理功能。这种方式一方面减少了开发工作量;
Harbor高可用理论及实践(汇聚篇)
weixin_30794491的博客
07-01 650
目录 一、理论概述 什么是harbor harbor要解决的问题 有了docker自带的registry为什么还要用harbor harbor的架构组件 Harbor工作原理 二、部署harbor及其主从复制 环境 ...
Harbor工作原理及使用指南
最新发布
北斗云的博客
06-08 832
Harbor作为企业级容器镜像注册表,其工作原理涉及多个核心流程和机制,包括用户认证、镜像管理、安全扫描、复制同步等。本节将详细介绍Harbor的工作原理,帮助读者深入理解Harbor的内部机制和运行流程。
Docker Harbor概述及构建(图文详解)
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
03-29 2305
文章目录一、Docker Harbor概述1、Harbor的优势2、Harbor知识点3、Docker私有仓库架构二、Harbor构建Docker私有仓库 一、Docker Harbor概述 有可视化的Web管理界面,可以方便管理Docker镜像,又提供了多个项目的镜像权限管理及控制功能 HarborVMware公司开源的企业级Docker Registry项目 1、Harbor的优势 基于角色控制 基于镜像的复制策略 支持LDAP/AD 图像删除和垃圾收集 图像UI 审计 RESTful API
Docker私有仓库Harbor理论与部署
weixin_45724795的博客
04-24 478
前言:HarborVmwar 公司开源的 企业级的 Docker Registry 管理项目 它主要 提供 Dcoker Registry 管理UI,可基于角色访问控制, AD/LDAP 集成,日志审核等功能,完全的支持中文 Harbor 的所有组件都在 Dcoker 中部署,所以 Harbor 可使用 Docker Compose 快速部署。 文章目录一、Harbor概述1.Harbor理...
5.Docker-harbor私有仓库部署与管理
day day up
09-17 1404
Harbor以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。Harbor 的每个组件都是以 Docker 容器的形式构建的,使用 docker-compose 来对它进行部署。用于部署 Harbor 的 docker-compose 模板位于 harbor/docker-compose.yml。
OpenStack上的Harbor云平台构建与实践
HarborVMware公司开发的一个企业级的Docker registry项目,用于管理和分发Docker镜像,确保安全和高效。在OpenStack环境中集成Harbor,可以为云用户提供便捷的容器镜像存储和分发服务,便于容器化应用的部署和管理...
harbor架构简介
12-11
harbor架构简介:An open source trusted cloud native registry project
bitnami-docker-harbor-jobservice:用于Harbor Jobservice的Bitnami Docker映像
02-22
什么是港口工作服务? Harbor Job Service是Harbor的主要组件之一,Harbour是一个云本地注册表,用于存储,签名和扫描内容。 它们用于图像复制。 TL; DR $ curl -LO https://raw.githubusercontent.com/bitnami/bitnami-docker-harbor-portal/master/docker-compose.yml $ curl -L https://github.com/bitnami/bitnami-docker-harbor-portal/archive/master.tar.gz | tar xz --strip=1 --wildcards ' *-master/config ' $ docker-compose up 请注意,我们正在从Harbor Portal组件存储库下载docker
harbor https镜像仓库安装及原理概述
taoruicheng1的博客
07-30 553
HarborVMware公司开源的企业级DockerRegistry项目,其目标是帮助用户迅速搭建一个企业级的Dockerregistry服务。它以Docker公司开源的registry为基础,提供了管理UI,基于角色的访问控制(Role Based Access Control),AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。harbor的整体架构还是很清晰的,下面简单介绍一下架构图。
Harbor入门
Agnes-井朝
07-22 1500
安装harbor 准备: Linux系统为Centos7. 1. 在要安装的HARBOR的机器上安装DOCKER,如下: • docker ,默认安装即可 yum -y install docker 安装docker。 • docker compose ,安装最新版 curl -L https://github.com/docker/compose/release...
三、Harbor的工作流程
weixin_34090643的博客
12-25 454
Harbor的工作流程 Harbor 运行的逻辑图 如上图所示,Harbor包含6个组件: Proxy(代理):Harbor组件,如注册表,UI和令牌服务,均位于逆向代理之后。代理将来自浏览器和Docker客户端的请求转发到各种后端服务。 Registry(image仓库):负责存储Docker Images和处理Docker pull/push命令。由于Harbor需要强制对imagess进行...
Rancher入门到精通-2.0 harbor镜像仓库原理和安装(转载)
隔壁老瓦的专栏
03-06 2826
目录 一:Harbor简介 1. docker registry的缺点: 2. Harbor优点 3. Harbor介绍 二:Harbor主要组件 三:Harbor架构 1. Harbor登录过程 2. Docker push 的过程 四:harbor镜像仓库部署 1. 安装harbor环境 2. 安装harobr镜像仓库 五:Harbor使用 2. 创建镜像项目kube...
浅谈我对Harbor认识
weixin_33788244的博客
03-22 247
2019独角兽企业重金招聘Python工程师标准>>> ...
Docker Harbor概述及构建
fyb012811的博客
10-28 587
HarborVMware公司开源的企业级Docker Registry 项目,其目标是帮助用户迅速搭建一个 企业级的Docker Registry 服务。Harbor以Docker 公司开源的Registry 为基础,提供了图形管理UI、基于角色的访问控制(Role Based AccessControl)、AD/LDAP集成、以及审计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值