第十四篇 - Docker私有镜像仓库的安装和使用

一、引言：为何需要私有镜像仓库？

在Docker生态中，公有镜像仓库（如Docker Hub）虽方便，但存在安全隐患（如镜像篡改）、网络依赖（国内访问慢）及合规性问题（敏感数据外泄）。企业级应用中，私有镜像仓库成为保障安全、提升效率的核心组件。本文将围绕Registry（官方基础方案）与Harbor（企业级增强方案）展开，详解安装、配置与使用全流程。

二、Registry：官方基础镜像仓库的搭建

1. 基础安装与启动

Registry是Docker官方提供的轻量级私有仓库，适合小型团队或测试环境。

# 拉取Registry镜像
docker pull registry:latest
# 启动Registry容器（默认端口5000）
docker run -d -p 5000:5000 --name registry registry:latest

关键点：默认配置下，Registry以非加密HTTP协议运行，仅适用于内网环境。

2. HTTPS加密配置（生产环境必备）

为防止镜像传输被窃听，需配置HTTPS：

1. 生成自签名证书：

   mkdir -p certs
   openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
     -x509 -days 365 -out certs/domain.crt -subj "/CN=registry.example.com"

2. 启动带HTTPS的Registry：

   docker run -d \
     -p 5000:5000 \
     --name registry \
     -v $(pwd)/certs:/certs \
     -e REGISTRY_HTTP_ADDR=0.0.0.0:5000 \
     -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
     -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
     registry:latest

   注意：客户端需将自签名证书的CA加入信任列表，或通过--insecure-registry临时绕过验证（不推荐生产环境使用）。

3. 基础镜像操作示例

# 标记镜像并推送至私有仓库
docker tag ubuntu:latest registry.example.com/myubuntu:latest
docker push registry.example.com/myubuntu:latest
# 从私有仓库拉取镜像
docker pull registry.example.com/myubuntu:latest

三、Harbor：企业级镜像仓库的进阶方案

Harbor在Registry基础上扩展了用户认证、权限管理、镜像复制等功能，适合中大型企业。

1. 安装与初始化

（1）使用离线安装包（推荐）

1. 下载Harbor安装包（如harbor-offline-installer-v2.9.0.tgz）。
2. 解压并修改配置文件harbor.yml：

   hostname: harbor.example.com
   https:
     certificate: /data/cert/domain.crt
     private_key: /data/cert/domain.key
   harbor_admin_password: Admin@123  # 初始管理员密码

3. 执行安装脚本：

   ./install.sh

（2）Docker Compose快速部署

# 拉取Harbor的Docker Compose配置
git clone https://github.com/goharbor/harbor.git
cd harbor/make
# 修改harbor.yml后执行
docker-compose up -d

2. 核心功能配置

（1）用户与项目管理

• 用户管理：通过Web界面或API创建用户，分配角色（如管理员、开发者、访客）。
• 项目隔离：每个项目独立存储镜像，可设置公开/私有权限。

  # 通过Harbor API创建项目（示例）
  curl -u "admin:Admin@123" -X POST -H "Content-Type: application/json" \
    -d '{"project_name": "myproject", "public": false}' \
    https://harbor.example.com/api/v2.0/projects

（2）镜像复制策略

配置跨区域镜像同步，例如将生产环境镜像复制至灾备仓库：

1. 在Harbor中添加目标仓库作为“副本目标”。
2. 创建复制规则，指定源项目、目标项目及触发条件（如定时同步）。

3. 客户端集成

（1）Docker登录与推送

# 登录Harbor（需提前配置HTTPS）
docker login harbor.example.com
# 推送镜像至Harbor项目
docker tag nginx:latest harbor.example.com/myproject/nginx:latest
docker push harbor.example.com/myproject/nginx:latest

（2）Kubernetes集成

在K8s的imagePullSecrets中配置Harbor凭证：

apiVersion: v1
kind: Secret
metadata:
  name: harbor-secret
type: kubernetes.io/dockerconfigjson
data:
  .dockerconfigjson: <base64-encoded-json>  # 通过kubectl create secret生成

四、安全加固与最佳实践

1. 访问控制

• 网络隔离：通过防火墙限制Registry/Harbor的访问IP。
• RBAC权限：Harbor支持基于角色的细粒度权限控制（如只读、推送、删除）。

2. 镜像签名与验证

使用Notary对镜像进行数字签名，防止篡改：

# 初始化Notary服务器（需单独部署）
notary server -config notary-server-config.json &
# 对镜像签名
notary add harbor.example.com/myproject/nginx:latest v1
notary publish harbor.example.com/myproject/nginx

3. 定期维护

• 清理无用镜像：通过Harbor的“垃圾回收”功能或Registry的API删除未标记的镜像层。
• 日志审计：集中收集Registry/Harbor的访问日志，分析异常操作。

五、常见问题与解决方案

1. 客户端推送镜像报错“x509: certificate signed by unknown authority”

原因：客户端未信任Harbor的自签名证书。
解决：

• 将证书拷贝至客户端的信任目录（如/etc/docker/certs.d/harbor.example.com）。
• 或临时禁用验证（不推荐）：

  echo '{"insecure-registries":["harbor.example.com"]}' > /etc/docker/daemon.json
  systemctl restart docker

2. Harbor启动失败，报错“port already in use”

检查：确认5000（HTTP）、80（Web）、443（HTTPS）端口未被占用。
解决：修改harbor.yml中的端口配置，或终止占用进程。

六、总结与展望

私有镜像仓库是Docker企业级应用的核心基础设施。Registry适合轻量级需求，而Harbor通过增强安全性和管理功能，成为中大型企业的首选。未来，随着容器技术的演进，私有仓库将进一步集成AI运维、镜像漏洞扫描等高级能力，助力企业构建更安全的容器化环境。

行动建议：

1. 评估团队规模与安全需求，选择Registry或Harbor。
2. 生产环境务必配置HTTPS与用户认证。
3. 定期审计镜像与访问日志，防范潜在风险。