VMware中Harbor組件的原理是什么

VMware中Harbor組件的原理是什么，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

    簡易架構圖

harbor-adminserver   /harbor/start.sh                 Up (healthy)                                                                   
harbor-db            /usr/local/bin/docker-entr ...   Up (healthy)   3306/tcp                                                        
harbor-jobservice    /harbor/start.sh                 Up                                                                             
harbor-log           /bin/sh -c /usr/local/bin/ ...   Up (healthy)   127.0.0.1:1514->10514/tcp                                       
harbor-ui            /harbor/start.sh                 Up (healthy)                                                                   
nginx                nginx -g daemon off;             Up (healthy)   0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp, 0.0.0.0:80->80/tcp
redis                docker-entrypoint.sh redis ...   Up             6379/tcp                                                        
registry             /entrypoint.sh serve /etc/ ...   Up (healthy)   5000/tcp

1. harbor-adminserver：harbor系統管理接口，可以修改系統配置以及獲取系統信息

2. harbor-db：存儲項目的元數據、用戶、規則、復制策略等信息

3. harbor-jobservice：harbor里面主要是為了鏡像倉庫之前同步使用的

4. harbor-log：收集其他harbor的日志信息。rsyslogd

5. harbor-ui：一個用戶界面模塊，用來管理registry。主要是前端的頁面和后端CURD的接口

6. nginx：harbor的一個反向代理組件，代理registry、ui、token等服務。這個代理會轉發harbor web和docker client的各種請求到后端服務上。是個nginx。nginx負責流量轉發和安全驗證，對外提供的流量都是從nginx中轉，它將流量分發到后端的ui和正在docker鏡像存儲的docker registry

7. registry：存儲docker images的服務，并且提供pull/push服務。harbor需要對image的訪問進行訪問控制，當client每次進行pull、push的時候，registry都需要client去token服務獲取一個可用的token。

8. redis：存儲緩存信息

9. webhook：當registry中的image狀態發生變化的時候去記錄更新日志、復制等操作。
   token service：在docker client進行pull/push的時候今天token的發放。

harbor-login

a  nginx代理在80端口收到client發來的請求，然后把該請求轉發到后端的registry。

b  registry收到請求，因為registry是配置的token-based的認證，所以會直接返回一個401狀態碼，然后返回一個url，通知client去哪里獲取token，也就是token service

c  當docker client收到這個url后，會對這個url發起請求，需要在請求頭中植入用戶名和密碼。

d  當請求到達nginx反向代理后，nginx會把該請求轉發至ui服務上，因為ui符合token服務在一個容器里面，token服務會解碼請求頭中用戶名和密碼

e  拿到用戶名和密碼后會和db中的進行對比，如果驗證無誤，則返回成功，在返回的http請求中包含一個私有key

harbor-push

省略了proxy轉發這一步
當你登錄harbor成功后，docker push就可以使用了。

a  docker client和registry交互，獲取到token service的url
b  隨后docker client和token service交互，告訴token需要進行push操作
c  token服務查看db，該用戶是否有相關的權限來push image，如果有相關權限，則返回一個私有的key
d  docker client拿到token后，會對registry發起push請求，當registry收到請求后，會用自己的公鑰解密token，如果驗證token是合格的，則開始image傳輸過程 

附加

    clair

        是 coreos 開源的容器漏洞掃描工具，在容器逐漸普及的今天，容器鏡像安全問題日益嚴重。clair 是目前少數的開源安全掃描工具，主要提供OS（centos，debian，ubuntu等）的軟件包脆弱性掃描。clair的可以單機部署也可以部署到k8s上，可以與現有的registry集成。harbor 很好的整合了 clair ，通過簡單的UI就可以對上傳的鏡像掃描，還可以通過每天的定時掃描對所有鏡像進行統一掃描，架構如下：

關于VMware中Harbor組件的原理是什么問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。