第十四篇 - Docker私有镜像仓库的安装和使用

一、为什么需要私有镜像仓库？

在容器化部署场景中，Docker官方镜像仓库（Docker Hub）存在两大痛点：网络依赖与安全风险。国内开发者常因网络问题导致镜像拉取失败，而企业核心业务镜像若直接托管在公有云，可能面临数据泄露风险。私有镜像仓库通过本地化部署，既能解决网络问题，又能通过权限控制、镜像签名等机制保障安全性。

以某金融企业为例，其将核心交易系统镜像存储在私有仓库后，镜像推送/拉取速度提升80%，且通过RBAC权限模型，将开发人员操作权限细化到镜像仓库级别，有效防止了误操作风险。

二、私有镜像仓库技术选型

当前主流方案分为两类：

1. 轻量级Registry：Docker官方提供的镜像仓库，适合中小团队快速部署
2. 企业级Harbor：VMware开源的增强型仓库，支持镜像扫描、权限管理、多租户等企业级功能

方案对比

三、Docker Registry安装实战

3.1 基础部署

# 启动基础Registry（无认证）
docker run -d -p 5000:5000 --name registry registry:2
# 测试推送镜像
docker tag alpine:latest localhost:5000/my-alpine
docker push localhost:5000/my-alpine

此方案存在安全隐患，需通过HTTPS加固。

3.2 HTTPS配置（生产环境必备）

1. 生成自签名证书：

   mkdir -p certs
   openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
   -x509 -days 365 -out certs/domain.crt -subj "/CN=registry.example.com"

2. 启动加密Registry：

   docker run -d \
   -p 5000:5000 \
   --name registry \
   -v $(pwd)/certs:/certs \
   -e REGISTRY_HTTP_ADDR=0.0.0.0:5000 \
   -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
   -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
   registry:2

3. 客户端配置信任（Linux示例）：

   sudo mkdir -p /etc/docker/certs.d/registry.example.com:5000
   sudo cp certs/domain.crt /etc/docker/certs.d/registry.example.com:5000/ca.crt
   sudo systemctl restart docker

四、Harbor高级部署指南

4.1 安装前准备

• 硬件要求：2核4G以上（生产环境建议4核8G）
• 软件依赖：Docker 17.06+、Docker Compose 1.18+
• 存储配置：建议使用独立磁盘存储镜像

4.2 离线安装步骤

1. 下载安装包：

   wget https://github.com/goharbor/harbor/releases/download/v2.9.0/harbor-offline-installer-v2.9.0.tgz
   tar xvf harbor-offline-installer-v2.9.0.tgz
   cd harbor

2. 修改配置文件（harbor.yml）：

   hostname: harbor.example.com
   http:
   port: 80
   https:
   certificate: /data/cert/domain.crt
   private_key: /data/cert/domain.key
   harbor_admin_password: Harbor12345
   database:
   password: root123

3. 执行安装：

   ./install.sh --with-trivy  # 包含漏洞扫描组件

4.3 核心功能配置

项目空间管理：

# 通过API创建项目
curl -u "admin:Harbor12345" -X POST -H "Content-Type: application/json" \
  "http://harbor.example.com/api/v2.0/projects" \
  -d '{"project_name": "dev-team", "public": false}'

镜像保留策略：

// 在Web界面配置保留规则
{
  "rules": [
    {
      "action": "retain",
      "params": {
        "tagSelectors": ["*-latest"],
        "untagged": false
      },
      "template": "保留所有latest标签镜像"
    },
    {
      "action": "expire",
      "params": {
        "nDays": 30,
        "untagged": true
      },
      "template": "删除30天前的无标签镜像"
    }
  ]
}

五、企业级实践建议

5.1 高可用架构

推荐采用主从复制模式：

主仓库（上海） → 从仓库（北京）
  │               │
  ├─ 开发集群     ├─ 生产集群

通过Harbor的复制策略实现跨数据中心同步。

5.2 安全加固方案

1. 镜像签名：使用Notary对关键镜像签名

   # 初始化Notary服务器
   docker run -d --name notary-server \
   -p 4443:4443 \
   -e NOTARY_SERVER_STORAGE_TYPE=mysql \
   -e NOTARY_SERVER_MYSQL_DATABASE=notaryserver \
   -e NOTARY_SERVER_MYSQL_HOST=mysql \
   -e NOTARY_SERVER_MYSQL_PASSWORD=password \
   notary-server

2. 漏洞扫描：配置Clair每日扫描

   # 在harbor.yml中启用
   trivy:
   ignore_unfixed: false
   skip_update: false
   insecure: false

5.3 性能优化技巧

• 存储优化：使用ZFS/Btrfs文件系统
• 缓存加速：配置前端CDN缓存
• 网络优化：启用HTTP/2协议

六、常见问题解决方案

Q1：推送镜像时出现”x509: certificate signed by unknown authority”
A：检查客户端是否配置了正确的CA证书路径，或临时禁用证书验证（仅测试环境）：

echo '{"insecure-registries":["registry.example.com"]}' > /etc/docker/daemon.json
systemctl restart docker

Q2：Harbor启动后500错误
A：检查数据库连接是否正常，查看日志定位问题：

docker-compose logs -f harbor-db

Q3：镜像复制延迟过高
A：调整复制任务并发数（在Web界面→系统管理→复制管理→编辑任务→高级设置中修改）。

七、总结与展望

私有镜像仓库的部署需要综合考虑安全性、可用性和运维成本。对于初创团队，Docker Registry是轻量级选择；对于中大型企业，Harbor提供的权限管理、漏洞扫描等企业级功能更具价值。未来随着容器技术的演进，镜像仓库将向AI辅助安全扫描、跨云镜像管理等方向发展。

建议读者根据实际需求选择方案，并定期进行镜像备份和安全审计。通过合理配置私有仓库，可显著提升容器化部署的效率和安全性。