SEARU.ORG
当前位置:SEARU.ORG > Linux 新闻 > 正文

企业级容器Registry开源项目Harbor架构简介

企业级容器Registry开源Harbor架构简介

作者:姜坦 张海宁

1. Harbor项目

VMware公司最近开源了企业级Registry项目Harbor,由VMware中国研发的团队负责开发。Harbor项目是帮助用户迅速搭建一个企业级的registry 服务。它以Docker公司开源的registry为基础,提供了管理UI, 基于角色的访问控制(Role Based Access Control),AD/LDAP集成、以及审计日志(Audit logging) 等企业用户需求的功能,同时还原生支持中文,对广大中国用户是一个好消息。本文将介绍Harbor项目的主要组件,并阐述Harbor的工作原理。

(源代码地址:https://github.com/vmware/harbor )

  

2.架构介绍

1)    主要组件

Harbor在架构上主要由五个组件构成:

·      ProxyHarbor的registry, UI, token等服务,通过一个前置的反向代理统一接收浏览器、Docker客户端的请求,并将请求转发给后端不同的服务。

·      Registry: 负责储存Docker镜像,并处理docker push/pull 命令。由于我们要对用户进行访问控制,即不同用户对Docker image有不同的读写权限,Registry会指向一个token服务,强制用户的每次docker pull/push请求都要携带一个合法的token, Registry会通过公钥对token 进行解密验证。

·      Core services: 这是Harbor的核心功能,主要提供以下服务:

o   UI:提供图形化界面,帮助用户管理registry上的镜像(image), 并对用户进行授权。

o   webhook:为了及时获取registry 上image状态变化的情况, 在Registry上配置webhook,把状态变化传递给UI模块。

o   token 服务:负责根据用户权限给每个docker push/pull命令签发token. Docker 客户端向Regiøstry服务发起的请求,如果不包含token,会被重定向到这里,获得token后再重新向Registry进行请求。

·      Database:core services提供数据库服务,负责储存用户权限、审计日志、Docker image分组信息等数据。

·      Log collector:为了帮助监控Harbor运行,负责收集其他组件的log,供日后进行分析。

 

各个组件之间的关系如下图所示:

 

2)    实现

Harbor的每个组件都是以Docker 容器的形式构建的,因此很自然地,我们使用Docker Compose来对它进行部署。

 

在源代码中(https://github.com/vmware/harbor), 用于部署Harbor的Docker Compose 模板位于 /Deployer/docker-compose.yml. 打开这个模板文件,会发现Harbor由5个容器组成:

·      proxy: Nginx 器构成的反向代理。

·      registry:Docker官方的开源registry 镜像构成的容器实例。

·      ui: 即架构中的core services, 构成此容器的代Harbor目的主体。

·      mysql: 由官方MySql像构成的数据容器。

·      log: 运行着rsyslogd的容器,通log-driver的形式收集其他容器的日志。

几个容器通Docker link的形式接在一起,这样,在容器之间可以通容器名字互相访问端用户而言只需要暴露proxy (即Nginx)的服务端口。

 

 

3. 工作原理

下面以 两个Docker 命令例,解主要件之间如何协同工作。

  1.  docker login

们将Harbor部署在IP 为192.168.1.10的虚机上。用户通过docker login命令向这个Harbor服务发起登录请求:

 

# docker login 192.168.1.10

 

当用户输入所需信息并点车后Docker 端会向地址 “192.168.1.10/v2/” HTTP GET求。 Harbor的各个容器会通以下步骤处理:

(a) 首先,这求会由80端口的proxy容器接收到。根据置的匹配规则 容器中的Nginx会将转发给后端的registry 容器

(b) registry容器一方,由于配置了基于token认证registry会返回错误401,提示Docker访问token务绑定的URL。在Harbor中,这个URL指向Core Services

(c) Docker  端在接到错误后,会向token务的URL发求,并根据HTTP协议的Basic Authentication规范,将用户名密码组合并编码,放在请求头部(header);

(d)似地,求通80端口proxy容器后,Nginx会根据规则转发给ui容器,ui容器token网址的处理程序接收到求后,会将,得到用名、密

(e) 得到用名、密后,ui容器中的代查询数据,将用名、密mysql容器中的数据行比对(注:ui 容器还支持LDAP的认证方式,在那种情况下ui会试图和外部LDAP服务进行通信并校验用户名/密码)。比成功,ui容器会返回表示成功的状态码 并用密钥生成token,放在响应体中返回给Docker 客户端。

 

这个过程中组件间的交互过程如下图所示:

 

至此,一次docker login 成功地完成了,Docker客户端会把步骤(c)中编码后的用户名密码保存在本地的隐藏文件中。

 

2.   docker push

 

用户登录成功后用docker push命令向Harbor 推送一个Docker image

# docker push 192.168.1.10/library/hello-world

 

(a) 首先,docker 客户端会重复login的过程,首先发送请求到registry,之后得到token 服务的地址;

(b) 之后,Docker 客户端在访问ui容器上的token服务时会提供额外信息,指明它要申请一个对image library/hello-world进行push操作的token

(c) token 服务在经过Nginx转发得到这个请求后,会访问数据库核实当前用户是否有权限对该image进行push。如果有权限,它会把image的信息以及push动作进行编码,并用私钥签名,生成token返回给Docker客户端;

(d) 得到token之后 Docker客户端会把token放在请求头部,向registry发出请求,试图开始推送image Registry 收到请求后会用公钥解码token并进行核对,一切成功后,image的传输就开始了。

 

 我们省去proxy转发的步骤,下图描述了这个过程中各组件的通信过程:

 

 

 

4.参考材料

  • 本文并未涉及Harbor项目本身的配置、部署, 这方面请参考Harborgithub上的文档:

https://github.com/vmware/harbor

  • 关于Registry的安全配置及token格式细节,请参考Docker官方文档:

https://docs.docker.com/registry/spec/auth/token/

https://docs.docker.com/registry/spec/auth/jwt/


相关文章: 

开源Registry项目Harbor源代码结构解析

欢迎广大用户使用Harbor项目并反馈意见和建议,也欢迎加入我们贡献代码。如果您是Harbor的用户或开发者,请扫描下面二维码加入Harbor开源项目微信群,以方便沟通。

 

未经允许不得转载:SEARU.ORG » 企业级容器Registry开源项目Harbor架构简介

赞 (0)
分享到:更多 ()

评论 0