Harbor 源碼淺析?www.qikqiak.com

Harbor 是一個(gè)CNCF基金會(huì)托管的開源的可信的云原生docker registry項(xiàng)目，可以用于存儲(chǔ)、簽名、掃描鏡像內(nèi)容，Harbor 通過添加一些常用的功能如安全性、身份權(quán)限管理等來擴(kuò)展 docker registry 項(xiàng)目，此外還支持在 registry 之間復(fù)制鏡像，還提供更加高級(jí)的安全功能，如用戶管理、訪問控制和活動(dòng)審計(jì)等，在新版本中還添加了Helm倉庫托管的支持。

本文所有源碼基于 Harbor release-1.7.0 版本進(jìn)行分析。

Harbor最核心的功能就是給 docker registry 添加上一層權(quán)限保護(hù)的功能，要實(shí)現(xiàn)這個(gè)功能，就需要我們?cè)谑褂?docker login、pull、push 等命令的時(shí)候進(jìn)行攔截，先進(jìn)行一些權(quán)限相關(guān)的校驗(yàn)，再進(jìn)行操作，其實(shí)這一系列的操作 docker registry v2 就已經(jīng)為我們提供了支持，v2 集成了一個(gè)安全認(rèn)證的功能，將安全認(rèn)證暴露給外部服務(wù)，讓外部服務(wù)去實(shí)現(xiàn)。

docker registry v2 認(rèn)證

上面我們說了 docker registry v2 將安全認(rèn)證暴露給了外部服務(wù)使用，那么是怎樣暴露的呢？我們?cè)诿钚兄休斎雂ocker login https://registry.qikqiak.com為例來為大家說明下認(rèn)證流程：

• 1. docker client 接收到用戶輸入的 docker login 命令，將命令轉(zhuǎn)化為調(diào)用 engine api 的 RegistryLogin 方法
• 2. 在 RegistryLogin 方法中通過 http 盜用 registry 服務(wù)中的 auth 方法
• 3. 因?yàn)槲覀冞@里使用的是 v2 版本的服務(wù)，所以會(huì)調(diào)用 loginV2 方法，在 loginV2 方法中會(huì)進(jìn)行 /v2/ 接口調(diào)用，該接口會(huì)對(duì)請(qǐng)求進(jìn)行認(rèn)證
• 4. 此時(shí)的請(qǐng)求中并沒有包含 token 信息，認(rèn)證會(huì)失敗，返回 401 錯(cuò)誤，同時(shí)會(huì)在 header 中返回去哪里請(qǐng)求認(rèn)證的服務(wù)器地址
• 5. registry client 端收到上面的返回結(jié)果后，便會(huì)去返回的認(rèn)證服務(wù)器那里進(jìn)行認(rèn)證請(qǐng)求，向認(rèn)證服務(wù)器發(fā)送的請(qǐng)求的 header 中包含有加密的用戶名和密碼
• 6. 認(rèn)證服務(wù)器從 header 中獲取到加密的用戶名和密碼，這個(gè)時(shí)候就可以結(jié)合實(shí)際的認(rèn)證系統(tǒng)進(jìn)行認(rèn)證了，比如從數(shù)據(jù)庫中查詢用戶認(rèn)證信息或者對(duì)接 ldap 服務(wù)進(jìn)行認(rèn)證校驗(yàn)
• 7. 認(rèn)證成功后，會(huì)返回一個(gè) token 信息，client 端會(huì)拿著返回的 token 再次向 registry 服務(wù)發(fā)送請(qǐng)求，這次需要帶上得到的 token，請(qǐng)求驗(yàn)證成功，返回狀態(tài)碼就是200了
• 8. docker client 端接收到返回的200狀態(tài)碼，說明操作成功，在控制臺(tái)上打印Login Succeeded的信息

至此，整個(gè)登錄過程完成，整個(gè)過程可以用下面的流程圖來說明：

要完成上面的登錄認(rèn)證過程有兩個(gè)關(guān)鍵點(diǎn)需要注意：怎樣讓 registry 服務(wù)知道服務(wù)認(rèn)證地址？我們自己提供的認(rèn)證服務(wù)生成的 token 為什么 registry 就能夠識(shí)別？

對(duì)于第一個(gè)問題，比較好解決，registry 服務(wù)本身就提供了一個(gè)配置文件，可以在啟動(dòng) registry 服務(wù)的配置文件中指定上認(rèn)證服務(wù)地址即可，其中有如下這樣的一段配置信息：

...... auth:token:realm: token-realmservice: token-serviceissuer: registry-token-issuerrootcertbundle: /root/certs/bundle ......

其中 realm 就可以用來指定一個(gè)認(rèn)證服務(wù)的地址，下面我們可以看到 Harbor 中該配置的內(nèi)容

關(guān)于 registry 的配置，可以參考官方文檔：https://docs.docker.com/registry/configuration/

第二個(gè)問題，就是 registry 怎么能夠識(shí)別我們返回的 token 文件？如果按照 registry 的要求生成一個(gè) token，是不是 registry 就可以識(shí)別了？所以我們需要在我們的認(rèn)證服務(wù)器中按照 registry 的要求生成 token，而不是隨便亂生成。那么要怎么生成呢？我們可以在 docker registry 的源碼中可以看到 token 是如何定義的，文件路徑在distribution/registry/token/token.go，從源碼中我們可以看到 token 是通過JWT（JSON Web Token）來實(shí)現(xiàn)的，所以我們按照要求生成一個(gè) JWT 的 token 就可以了。

Harbor 認(rèn)證

上面我們已經(jīng)說明了 docker registry v2 認(rèn)證的整個(gè)流程，Harbor 實(shí)際上核心的功能就是提供上面的認(rèn)證服務(wù)的功能。我們?cè)?Harbor 的源碼目錄中可以查看到 registry 服務(wù)的配置文件，路徑為：make/common/templates/registry/config.yml，其中有兩個(gè)非常重要的配置信息：

...... auth:token:issuer: harbor-token-issuerrealm: $public_url/service/tokenrootcertbundle: /etc/registry/root.crtservice: harbor-registry ......

一個(gè)就是上面我們提到的 auth.token.realm，是用來提供 registry v2 安全認(rèn)證的外部服務(wù)地址，這里默認(rèn)的配置是$public_url/service/token，其中$public_url就是 Harbor 服務(wù)的主域地址，所以安全認(rèn)證服務(wù)就是去請(qǐng)求/service/token這個(gè)地址了，由于 Harbor 是基于 beego 這個(gè) web 框架進(jìn)行開發(fā)的，所以我們只需要去查找下/service/token這個(gè)路由，就可以找到對(duì)應(yīng)的請(qǐng)求處理方法了。可以很容易在文件src/core/router.go文件中找到改路由：

func initRouters() {......beego.Router("/service/token", &token.Handler{})...... }

上面的請(qǐng)求處理方法在src/core/service/token.go文件中，里面有一個(gè)Get方法就是用來處理該請(qǐng)求的：

func (h *Handler) Get() {request := h.Ctx.Requestlog.Debugf("URL for token request: %s", request.URL.String())service := h.GetString("service")tokenCreator, ok := creatorMap[service]if !ok {errMsg := fmt.Sprintf("Unable to handle service: %s", service)log.Errorf(errMsg)h.CustomAbort(http.StatusBadRequest, errMsg)}token, err := tokenCreator.Create(request)if err != nil {if _, ok := err.(*unauthorizedError); ok {h.CustomAbort(http.StatusUnauthorized, "")}log.Errorf("Unexpected error when creating the token, error: %v", err)h.CustomAbort(http.StatusInternalServerError, "")}h.Data["json"] = tokenh.ServeJSON()}

上面的方法通過參數(shù) service 來獲取一個(gè) tokenCreator，然后調(diào)用 Create 方法生成 token，方法如下：

func (g generalCreator) Create(r *http.Request) (*models.Token, error) {var err errorscopes := parseScopes(r.URL)log.Debugf("scopes: %v", scopes)ctx, err := filter.GetSecurityContext(r)if err != nil {return nil, fmt.Errorf("failed to get security context from request")}pm, err := filter.GetProjectManager(r)if err != nil {return nil, fmt.Errorf("failed to get project manager from request")}// for docker loginif !ctx.IsAuthenticated() {if len(scopes) == 0 {return nil, &unauthorizedError{}}}access := GetResourceActions(scopes)err = filterAccess(access, ctx, pm, g.filterMap)if err != nil {return nil, err}return MakeToken(ctx.GetUsername(), g.service, access) }

這里就做了一系列的權(quán)限校驗(yàn)，如果沒有問題就生成一個(gè) token 對(duì)象返回，這里生成的 Token 對(duì)象結(jié)構(gòu)體如下：

type Token struct {Token string `json:"token"`ExpiresIn int `json:"expires_in"`IssuedAt string `json:"issued_at"` }

和 JWT 定義的 token 格式是保持一致的，所以 docker registry v2 能夠識(shí)別我們返回的 token 字符串。

Harbor API

上面是 Harbor 提供的最核心的認(rèn)證服務(wù)功能，除此之外還有很多其他的功能，比如 Harbor 還提供了一個(gè)額外的 Dashboard 可供我們操作，還支持 Helm Chart 倉庫。同樣我們?cè)倏聪轮暗膕rc/core/router.go文件：

func initRouters() {// standaloneif !config.WithAdmiral() {// Controller API:beego.Router("/c/login", &controllers.CommonController{}, "post:Login")beego.Router("/c/log_out", &controllers.CommonController{}, "get:LogOut")beego.Router("/c/reset", &controllers.CommonController{}, "post:ResetPassword")beego.Router("/c/userExists", &controllers.CommonController{}, "post:UserExists")beego.Router("/c/sendEmail", &controllers.CommonController{}, "get:SendResetEmail")// API:beego.Router("/api/projects/:pid([0-9]+)/members/?:pmid([0-9]+)", &api.ProjectMemberAPI{})beego.Router("/api/projects/", &api.ProjectAPI{}, "head:Head")beego.Router("/api/projects/:id([0-9]+)", &api.ProjectAPI{})beego.Router("/api/users/:id", &api.UserAPI{}, "get:Get;delete:Delete;put:Put")beego.Router("/api/users", &api.UserAPI{}, "get:List;post:Post")beego.Router("/api/users/:id([0-9]+)/password", &api.UserAPI{}, "put:ChangePassword")beego.Router("/api/users/:id/sysadmin", &api.UserAPI{}, "put:ToggleUserAdminRole")beego.Router("/api/usergroups/?:ugid([0-9]+)", &api.UserGroupAPI{})beego.Router("/api/ldap/ping", &api.LdapAPI{}, "post:Ping")beego.Router("/api/ldap/users/search", &api.LdapAPI{}, "get:Search")beego.Router("/api/ldap/groups/search", &api.LdapAPI{}, "get:SearchGroup")beego.Router("/api/ldap/users/import", &api.LdapAPI{}, "post:ImportUser")beego.Router("/api/email/ping", &api.EmailAPI{}, "post:Ping")}// APIbeego.Router("/api/ping", &api.SystemInfoAPI{}, "get:Ping")beego.Router("/api/search", &api.SearchAPI{})beego.Router("/api/projects/", &api.ProjectAPI{}, "get:List;post:Post")beego.Router("/api/projects/:id([0-9]+)/logs", &api.ProjectAPI{}, "get:Logs")beego.Router("/api/projects/:id([0-9]+)/_deletable", &api.ProjectAPI{}, "get:Deletable")beego.Router("/api/projects/:id([0-9]+)/metadatas/?:name", &api.MetadataAPI{}, "get:Get")beego.Router("/api/projects/:id([0-9]+)/metadatas/", &api.MetadataAPI{}, "post:Post")beego.Router("/api/projects/:id([0-9]+)/metadatas/:name", &api.MetadataAPI{}, "put:Put;delete:Delete")beego.Router("/api/repositories", &api.RepositoryAPI{}, "get:Get")beego.Router("/api/repositories/scanAll", &api.RepositoryAPI{}, "post:ScanAll")beego.Router("/api/repositories/*", &api.RepositoryAPI{}, "delete:Delete;put:Put")beego.Router("/api/repositories/*/labels", &api.RepositoryLabelAPI{}, "get:GetOfRepository;post:AddToRepository")beego.Router("/api/repositories/*/labels/:id([0-9]+)", &api.RepositoryLabelAPI{}, "delete:RemoveFromRepository")beego.Router("/api/repositories/*/tags/:tag", &api.RepositoryAPI{}, "delete:Delete;get:GetTag")beego.Router("/api/repositories/*/tags/:tag/labels", &api.RepositoryLabelAPI{}, "get:GetOfImage;post:AddToImage")beego.Router("/api/repositories/*/tags/:tag/labels/:id([0-9]+)", &api.RepositoryLabelAPI{}, "delete:RemoveFromImage")beego.Router("/api/repositories/*/tags", &api.RepositoryAPI{}, "get:GetTags;post:Retag")beego.Router("/api/repositories/*/tags/:tag/scan", &api.RepositoryAPI{}, "post:ScanImage")beego.Router("/api/repositories/*/tags/:tag/vulnerability/details", &api.RepositoryAPI{}, "Get:VulnerabilityDetails")beego.Router("/api/repositories/*/tags/:tag/manifest", &api.RepositoryAPI{}, "get:GetManifests")beego.Router("/api/repositories/*/signatures", &api.RepositoryAPI{}, "get:GetSignatures")beego.Router("/api/repositories/top", &api.RepositoryAPI{}, "get:GetTopRepos")beego.Router("/api/jobs/replication/", &api.RepJobAPI{}, "get:List;put:StopJobs")beego.Router("/api/jobs/replication/:id([0-9]+)", &api.RepJobAPI{})beego.Router("/api/jobs/replication/:id([0-9]+)/log", &api.RepJobAPI{}, "get:GetLog")beego.Router("/api/jobs/scan/:id([0-9]+)/log", &api.ScanJobAPI{}, "get:GetLog")beego.Router("/api/system/gc", &api.GCAPI{}, "get:List")beego.Router("/api/system/gc/:id", &api.GCAPI{}, "get:GetGC")beego.Router("/api/system/gc/:id([0-9]+)/log", &api.GCAPI{}, "get:GetLog")beego.Router("/api/system/gc/schedule", &api.GCAPI{}, "get:Get;put:Put;post:Post")beego.Router("/api/policies/replication/:id([0-9]+)", &api.RepPolicyAPI{})beego.Router("/api/policies/replication", &api.RepPolicyAPI{}, "get:List")beego.Router("/api/policies/replication", &api.RepPolicyAPI{}, "post:Post")beego.Router("/api/targets/", &api.TargetAPI{}, "get:List")beego.Router("/api/targets/", &api.TargetAPI{}, "post:Post")beego.Router("/api/targets/:id([0-9]+)", &api.TargetAPI{})beego.Router("/api/targets/:id([0-9]+)/policies/", &api.TargetAPI{}, "get:ListPolicies")beego.Router("/api/targets/ping", &api.TargetAPI{}, "post:Ping")beego.Router("/api/logs", &api.LogAPI{})beego.Router("/api/configs", &api.ConfigAPI{}, "get:GetInternalConfig")beego.Router("/api/configurations", &api.ConfigAPI{})beego.Router("/api/configurations/reset", &api.ConfigAPI{}, "post:Reset")beego.Router("/api/statistics", &api.StatisticAPI{})beego.Router("/api/replications", &api.ReplicationAPI{})beego.Router("/api/labels", &api.LabelAPI{}, "post:Post;get:List")beego.Router("/api/labels/:id([0-9]+)", &api.LabelAPI{}, "get:Get;put:Put;delete:Delete")beego.Router("/api/labels/:id([0-9]+)/resources", &api.LabelAPI{}, "get:ListResources")beego.Router("/api/systeminfo", &api.SystemInfoAPI{}, "get:GetGeneralInfo")beego.Router("/api/systeminfo/volumes", &api.SystemInfoAPI{}, "get:GetVolumeInfo")beego.Router("/api/systeminfo/getcert", &api.SystemInfoAPI{}, "get:GetCert")beego.Router("/api/internal/syncregistry", &api.InternalAPI{}, "post:SyncRegistry")beego.Router("/api/internal/renameadmin", &api.InternalAPI{}, "post:RenameAdmin")beego.Router("/api/internal/configurations", &api.ConfigAPI{}, "get:GetInternalConfig")// external service that hosted on harbor process:beego.Router("/service/notifications", &registry.NotificationHandler{})beego.Router("/service/notifications/clair", &clair.Handler{}, "post:Handle")beego.Router("/service/notifications/jobs/scan/:id([0-9]+)", &jobs.Handler{}, "post:HandleScan")beego.Router("/service/notifications/jobs/replication/:id([0-9]+)", &jobs.Handler{}, "post:HandleReplication")beego.Router("/service/notifications/jobs/adminjob/:id([0-9]+)", &admin.Handler{}, "post:HandleAdminJob")beego.Router("/service/token", &token.Handler{})beego.Router("/v2/*", &controllers.RegistryProxy{}, "*:Handle")// APIs for chart repositoryif config.WithChartMuseum() {// Charts are controlled under projectschartRepositoryAPIType := &api.ChartRepositoryAPI{}beego.Router("/api/chartrepo/health", chartRepositoryAPIType, "get:GetHealthStatus")beego.Router("/api/chartrepo/:repo/charts", chartRepositoryAPIType, "get:ListCharts")beego.Router("/api/chartrepo/:repo/charts/:name", chartRepositoryAPIType, "get:ListChartVersions")beego.Router("/api/chartrepo/:repo/charts/:name", chartRepositoryAPIType, "delete:DeleteChart")beego.Router("/api/chartrepo/:repo/charts/:name/:version", chartRepositoryAPIType, "get:GetChartVersion")beego.Router("/api/chartrepo/:repo/charts/:name/:version", chartRepositoryAPIType, "delete:DeleteChartVersion")beego.Router("/api/chartrepo/:repo/charts", chartRepositoryAPIType, "post:UploadChartVersion")beego.Router("/api/chartrepo/:repo/prov", chartRepositoryAPIType, "post:UploadChartProvFile")beego.Router("/api/chartrepo/charts", chartRepositoryAPIType, "post:UploadChartVersion")// Repository servicesbeego.Router("/chartrepo/:repo/index.yaml", chartRepositoryAPIType, "get:GetIndexByRepo")beego.Router("/chartrepo/index.yaml", chartRepositoryAPIType, "get:GetIndex")beego.Router("/chartrepo/:repo/charts/:filename", chartRepositoryAPIType, "get:DownloadChart")// Labels for chartchartLabelAPIType := &api.ChartLabelAPI{}beego.Router("/api/chartrepo/:repo/charts/:name/:version/labels", chartLabelAPIType, "get:GetLabels;post:MarkLabel")beego.Router("/api/chartrepo/:repo/charts/:name/:version/labels/:id([0-9]+)", chartLabelAPIType, "delete:RemoveLabel")}// Error pagesbeego.ErrorController(&controllers.ErrorController{})}

上面這個(gè)文件里面就定義了 Harbor 核心的一些 API，其中如果!config.WithAdmiral()為真，則定義的一些用登錄相關(guān)接口就會(huì)生效，Admiral 是 Vmware 的一個(gè)容器管理平臺(tái)，如果我們?cè)谂渲梦募卸x了參數(shù)admiral_url，那么 Harbor 就會(huì)和 Admiral 進(jìn)行交互，如果沒有配置這個(gè)參數(shù)，那么就會(huì)去和我們定義的 login 相關(guān)接口進(jìn)行交互了。我們這里簡(jiǎn)單介紹一下主要的接口，第一個(gè)登錄接口post:Login：

// Login handles login request from UI. func (cc *CommonController) Login() {principal := cc.GetString("principal")password := cc.GetString("password")user, err := auth.Login(models.AuthModel{Principal: principal,Password: password,})if err != nil {log.Errorf("Error occurred in UserLogin: %v", err)cc.CustomAbort(http.StatusUnauthorized, "")}if user == nil {cc.CustomAbort(http.StatusUnauthorized, "")}cc.SetSession("user", *user) }

根據(jù)請(qǐng)求獲取用戶名和密碼，然后調(diào)用auth.Login方法進(jìn)行登錄校驗(yàn)，方法位于文件src/core/auth/authenticator.go下：

// Login authenticates user credentials based on setting. func Login(m models.AuthModel) (*models.User, error) {authMode, err := config.AuthMode()if err != nil {return nil, err}if authMode == "" || dao.IsSuperUser(m.Principal) {authMode = common.DBAuth}log.Debug("Current AUTH_MODE is ", authMode)authenticator, ok := registry[authMode]if !ok {return nil, fmt.Errorf("Unrecognized auth_mode: %s", authMode)}if lock.IsLocked(m.Principal) {log.Debugf("%s is locked due to login failure, login failed", m.Principal)return nil, nil}user, err := authenticator.Authenticate(m)if err != nil {if _, ok = err.(ErrAuth); ok {log.Debugf("Login failed, locking %s, and sleep for %v", m.Principal, frozenTime)lock.Lock(m.Principal)time.Sleep(frozenTime)}return nil, err}err = authenticator.PostAuthenticate(user)return user, err }

通過authenticator.Authenticate方法進(jìn)行驗(yàn)證，這里就需要通過 authMode 來進(jìn)行判斷應(yīng)該調(diào)用哪個(gè)認(rèn)證方法 驗(yàn)證，該參數(shù)就是 Harbor 全局配置文件中的auth_mode參數(shù)，默認(rèn)情況下auth_mode=db_auth，除此之外還可以設(shè)置成ldap_auth來通過提供一個(gè)LDAP Server進(jìn)行用戶認(rèn)證，也可以設(shè)置成uaa_auth來通過 cloud foundry 的 id manager 來進(jìn)行用戶認(rèn)證。比如如果使用數(shù)據(jù)庫驗(yàn)證的話，那么校驗(yàn)方法就在文件src/core/auth/db/db.go中，方法如下：

// Authenticate calls dao to authenticate user. func (d *Auth) Authenticate(m models.AuthModel) (*models.User, error) {u, err := dao.LoginByDb(m)if err != nil {return nil, err}if u == nil {return nil, auth.NewErrAuth("Invalid credentials")}return u, nil }

進(jìn)入LoginByDb方法，位于src/common/dao/user.go文件：

// LoginByDb is used for user to login with database auth mode. func LoginByDb(auth models.AuthModel) (*models.User, error) {o := GetOrmer()var users []models.Usern, err := o.Raw(`select * from harbor_user where (username = ? or email = ?) and deleted = false`,auth.Principal, auth.Principal).QueryRows(&users)if err != nil {return nil, err}if n == 0 {return nil, nil}user := users[0]if user.Password != utils.Encrypt(auth.Password, user.Salt) {return nil, nil}user.Password = "" // do not return the passwordreturn &user, nil }

上面這段代碼邏輯就很簡(jiǎn)單了，首先根據(jù)用戶名獲取用戶，然后將密碼加密進(jìn)行比較，驗(yàn)證通過就將 user 對(duì)象返回，并保存到 session 里面，這個(gè)后面會(huì)用到。

其它的 API 操作類似，在此不再一一講述，另外再和大家介紹一下鏡像倉庫的相關(guān) API 操作，鏡像操作相關(guān) API 主要位于/api/repositories下面，請(qǐng)求處理方法主要位于文件src/ui/api/repository.go中，比如獲取鏡像分頁列表數(shù)據(jù)：

func (ra *RepositoryAPI) Get() {projectID, err := ra.GetInt64("project_id")if err != nil || projectID <= 0 {ra.HandleBadRequest(fmt.Sprintf("invalid project_id %s", ra.GetString("project_id")))return}labelID, err := ra.GetInt64("label_id", 0)if err != nil {ra.HandleBadRequest(fmt.Sprintf("invalid label_id: %s", ra.GetString("label_id")))return}exist, err := ra.ProjectMgr.Exists(projectID)if err != nil {ra.ParseAndHandleError(fmt.Sprintf("failed to check the existence of project %d",projectID), err)return}if !exist {ra.HandleNotFound(fmt.Sprintf("project %d not found", projectID))return}if !ra.SecurityCtx.HasReadPerm(projectID) {if !ra.SecurityCtx.IsAuthenticated() {ra.HandleUnauthorized()return}ra.HandleForbidden(ra.SecurityCtx.GetUsername())return}query := &models.RepositoryQuery{ProjectIDs: []int64{projectID},Name: ra.GetString("q"),LabelID: labelID,}query.Page, query.Size = ra.GetPaginationParams()query.Sort = ra.GetString("sort")total, err := dao.GetTotalOfRepositories(query)if err != nil {ra.HandleInternalServerError(fmt.Sprintf("failed to get total of repositories of project %d: %v",projectID, err))return}repositories, err := getRepositories(query)if err != nil {ra.HandleInternalServerError(fmt.Sprintf("failed to get repository: %v", err))return}ra.SetPaginationHeader(total, query.Page, query.Size)ra.Data["json"] = repositoriesra.ServeJSON() }

上面的邏輯也相對(duì)比較簡(jiǎn)單，獲取請(qǐng)求的參數(shù)，拼湊成一個(gè) RepositoryQuery 對(duì)象，然后根據(jù)該對(duì)象去查詢倉庫列表數(shù)據(jù)，并支持分頁返回，查詢只是就是簡(jiǎn)單的操作數(shù)據(jù)庫而已，其他操作也類似。不過我們仔細(xì)查看改文件中，并沒有提供創(chuàng)建倉庫的接口，這是因?yàn)閯?chuàng)建 Repository 是在上傳鏡像的時(shí)候創(chuàng)建的，這里又回到 registry 的配置文件，里面有一段如下的配置：

...... notifications:endpoints:- name: harbordisabled: falseurl: $core_url/service/notifications ......

其中配置的 url 就是倉庫的一個(gè)回調(diào) web hook 地址，在pull或者push鏡像后就會(huì)觸發(fā)該 hook 請(qǐng)求，比如 Harbor 這里就會(huì)去請(qǐng)求/service/notifications這個(gè) url：

// Post handles POST request, and records audit log or refreshes cache based on event. func (n *NotificationHandler) Post() {var notification models.Notificationerr := json.Unmarshal(n.Ctx.Input.CopyBody(1<<32), &notification)if err != nil {log.Errorf("failed to decode notification: %v", err)return}events, err := filterEvents(&notification)if err != nil {log.Errorf("failed to filter events: %v", err)return}for _, event := range events {repository := event.Target.Repositoryproject, _ := utils.ParseRepository(repository)tag := event.Target.Tagaction := event.Actionuser := event.Actor.Nameif len(user) == 0 {user = "anonymous"}pro, err := config.GlobalProjectMgr.Get(project)if err != nil {log.Errorf("failed to get project by name %s: %v", project, err)return}if pro == nil {log.Warningf("project %s not found", project)continue}go func() {if err := dao.AddAccessLog(models.AccessLog{Username: user,ProjectID: pro.ProjectID,RepoName: repository,RepoTag: tag,Operation: action,OpTime: time.Now(),}); err != nil {log.Errorf("failed to add access log: %v", err)}}()if action == "push" {go func() {exist := dao.RepositoryExists(repository)if exist {return}log.Debugf("Add repository %s into DB.", repository)repoRecord := models.RepoRecord{Name: repository,ProjectID: pro.ProjectID,}if err := dao.AddRepository(repoRecord); err != nil {log.Errorf("Error happens when adding repository: %v", err)}}()if !coreutils.WaitForManifestReady(repository, tag, 5) {log.Errorf("Manifest for image %s:%s is not ready, skip the follow up actions.", repository, tag)return}go func() {image := repository + ":" + tagerr := notifier.Publish(topic.ReplicationEventTopicOnPush, rep_notification.OnPushNotification{Image: image,})if err != nil {log.Errorf("failed to publish on push topic for resource %s: %v", image, err)return}log.Debugf("the on push topic for resource %s published", image)}()if autoScanEnabled(pro) {last, err := clairdao.GetLastUpdate()if err != nil {log.Errorf("Failed to get last update from Clair DB, error: %v, the auto scan will be skipped.", err)} else if last == 0 {log.Infof("The Vulnerability data is not ready in Clair DB, the auto scan will be skipped.", err)} else if err := coreutils.TriggerImageScan(repository, tag); err != nil {log.Warningf("Failed to scan image, repository: %s, tag: %s, error: %v", repository, tag, err)}}}if action == "pull" {go func() {log.Debugf("Increase the repository %s pull count.", repository)if err := dao.IncreasePullCount(repository); err != nil {log.Errorf("Error happens when increasing pull count: %v", repository)}}()}} }

從上面代碼中可以看到首先在 hook 中我們可以獲取到當(dāng)前操作的動(dòng)作，如果是 push 操作，首先判斷 repository 是否存在，如果不存在則創(chuàng)建，對(duì)于 pull 鏡像操作通過 IncreasePullCount 更新數(shù)據(jù)庫 pull 鏡像次數(shù)：

// IncreasePullCount ... func IncreasePullCount(name string) (err error) {o := GetOrmer()num, err := o.QueryTable("repository").Filter("name", name).Update(orm.Params{"pull_count": orm.ColValue(orm.ColAdd, 1),"update_time": time.Now(),})if err != nil {return err}if num == 0 {return fmt.Errorf("Failed to increase repository pull count with name: %s", name)}return nil }

除此之外，在路由文件中還可以看到config.WithChartMuseum()配置，如果在全局配置中配置了with_chartmuseum=true，則就會(huì)開啟 Helm Chart 倉庫所需要的 API，相關(guān)的請(qǐng)求處理方法位于文件src/core/api/chart_repository.go文件中。

除了上面的一些主要功能之外，Harbor 還有很多高級(jí)可能，感興趣的同學(xué)可以下載 Harbor 的源碼自行研究，當(dāng)我們對(duì)源碼比較熟悉之后，對(duì)于我們搭建 Harbor 顯然是非常有幫助的，下節(jié)課給大家介紹怎樣在 Kubernetes 集群中來搭建 Harbor。

推薦

最后打個(gè)廣告，給大家推薦一個(gè)本人精心打造的一個(gè)精品課程，現(xiàn)在限時(shí)優(yōu)惠中：從 Docker 到 Kubernetes 進(jìn)階

微信搜索k8s技術(shù)圈關(guān)注我們的微信公眾帳號(hào)，在微信公眾帳號(hào)中回復(fù) 加群 即可加入到我們的 kubernetes 討論群里面共同學(xué)習(xí)。

總結(jié)

以上是生活随笔為你收集整理的harbor登录验证_Harbor 源码浅析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。