一、Harbor镜像仓库概述

Harbor是由VMware公司开源的企业级Docker Registry管理工具，提供基于角色的访问控制、镜像复制、漏洞扫描、审计日志等核心功能。相较于原生Docker Registry，Harbor通过Web界面和REST API简化了镜像管理流程，支持多租户隔离和LDAP/AD集成，特别适合中大型企业构建私有镜像仓库。

核心优势

安全增强：内置HTTPS支持、镜像签名验证和漏洞扫描
管理便捷：提供Web控制台和CLI工具，支持镜像标签管理、垃圾回收
高可用设计：支持多节点部署和数据库主从复制
扩展性强：通过插件机制支持Notary（镜像签名）、Clair（漏洞扫描）等组件

二、环境准备与前提条件

硬件配置建议

组件	最低配置	推荐配置
服务器	2核4G	4核8G+
磁盘空间	100GB	500GB+（根据镜像量）
网络带宽	10Mbps	100Mbps+

软件依赖清单

操作系统：CentOS 7/8、Ubuntu 18.04/20.04或RHEL 7/8
Docker引擎：19.03+（建议使用最新稳定版）
Docker Compose：1.25+（用于单机部署）
依赖包：curl wget git等基础工具

网络规划要点

开放端口：80（HTTP）、443（HTTPS）、4222（WebSocket）
推荐使用反向代理（Nginx/HAProxy）处理SSL终止
配置防火墙规则仅允许必要IP访问

三、安装部署流程详解

方案一：在线安装（推荐）

# 1. 下载安装脚本
curl -L https://github.com/goharbor/harbor/releases/download/v2.7.0/harbor-online-installer-v2.7.0.tgz -o harbor.tgz
tar xvf harbor.tgz
cd harbor
# 2. 配置harbor.yml
vim harbor.yml
# 关键配置项示例：
hostname: reg.example.com
http:
  port: 80
https:
  certificate: /data/cert/server.crt
  private_key: /data/cert/server.key
harbor_admin_password: Harbor12345
database:
  password: root123
  max_open_conns: 1000
  max_idle_conns: 50
# 3. 执行安装
./install.sh --with-clair --with-trivy  # 可选组件

方案二：离线安装（无外网环境）

下载离线包和依赖镜像
使用docker load导入所有镜像
修改配置文件后执行./install.sh

验证安装结果

# 检查服务状态
docker-compose ps
# 预期输出：
Name                     Command               State                    Ports
-------------------------------------------------------------------------------------
harbor-core         /harbor/harbor_core          Up (healthy)
harbor-db           /docker-entrypoint.sh mysqld  Up (healthy)
harbor-jobservice   /harbor/harbor_jobservice    Up (healthy)
...
# 测试登录
docker login reg.example.com
# 输入用户名admin和配置的密码

四、核心功能配置指南

1. 用户与权限管理

# 在harbor.yml中配置认证模式
auth_mode: db_auth  # 数据库认证
# 或
auth_mode: ldap_auth
ldap:
  url: ldap://ldap.example.com
  search_base: ou=users,dc=example,dc=com
  uid: uid
  filter: (objectClass=person)

角色权限矩阵：
| 角色 | 项目权限 | 系统权限 |
|———————|—————————————————-|———————————————|
| 管理员 | 所有操作 | 系统配置、用户管理 |
| 开发人员 | 推送/拉取镜像、创建项目 | 无 |
| 访客 | 仅拉取公开镜像 | 无 |

2. 镜像复制策略

# 通过API创建复制规则示例
POST /api/v2.0/replication/policies
{
  "name": "prod-to-dev",
  "projects": [{"project_id": 1}],
  "target_id": 2,
  "trigger": {
    "type": "manual"  // 或"scheduled"
  },
  "filters": [
    {
      "type": "name",
      "value": "*.release"
    }
  ],
  "enabled": true
}

3. 漏洞扫描配置

# 启用Trivy扫描器
trivy:
  enabled: true
  ignore_unfixed: false
  skip_update: false
  insecure: false
  severity: "CRITICAL,HIGH"

扫描报告解读要点：

严重等级（CRITICAL/HIGH/MEDIUM/LOW）
漏洞CVSS评分
修复建议（升级版本或补丁）

五、运维与优化实践

1. 日常维护命令

# 垃圾回收（清理未标记的镜像层）
docker-compose run --rm -e STORAGE_DRIVER=vfs jobservice "harbor-garbage-collector"
# 日志轮转配置
vim /etc/logrotate.d/harbor
# 示例配置：
/var/log/harbor/*.log {
  daily
  rotate 7
  compress
  missingok
  notifempty
  copytruncate
}

2. 性能调优建议

数据库优化：

-- MySQL配置示例
[mysqld]
innodb_buffer_pool_size = 2G
max_connections = 1000
query_cache_size = 64M

存储优化：
- 使用SSD存储镜像数据
- 配置存储类（如AWS EBS gp3）
- 定期执行docker system prune

3. 备份恢复方案

# 完整备份脚本示例
#!/bin/bash
BACKUP_DIR="/backup/harbor_$(date +%Y%m%d)"
mkdir -p $BACKUP_DIR
# 备份数据库
docker exec -it harbor-db mysqldump -uroot -proot123 registry > $BACKUP_DIR/registry.sql
# 备份配置文件
cp -r /path/to/harbor/config $BACKUP_DIR/
# 备份镜像数据（可选）
tar czf $BACKUP_DIR/images.tar.gz /data/registry

六、安全加固最佳实践

1. 网络层防护

配置IP白名单（/etc/hosts.allow）
启用TCP Keepalive检测

限制并发连接数（Nginx配置示例）：

limit_conn_zone $binary_remote_addr zone=harbor:10m;
server {
    listen 443 ssl;
    limit_conn harbor 100;  # 每个IP最大100连接
}

2. 镜像签名验证

# 启用Notary签名服务
notary:
  enabled: true
  server_url: https://notary.example.com

签名验证流程：

生成GPG密钥对
配置config.json指定签名密钥
推送镜像时自动签名
拉取时验证签名有效性

3. 审计日志分析

-- 查询高频操作
SELECT operation, COUNT(*) as cnt 
FROM audit_log 
WHERE op_time > NOW() - INTERVAL 7 DAY
GROUP BY operation
ORDER BY cnt DESC;

关键审计字段：

username：操作账户
project_id：关联项目
repo_name：镜像仓库
tags：镜像标签
op_time：操作时间

七、常见问题解决方案

1. 登录失败排查

# 检查认证服务状态
docker logs harbor-core | grep "auth"
# 常见原因：
# - 时间不同步（NTP服务未配置）
# - 证书过期（检查/data/cert/）
# - 数据库连接失败（检查/var/log/harbor/core.log）

2. 镜像推送缓慢优化

启用HTTP/2协议（Nginx配置）：
```
listen 443 ssl http2;
```

调整Docker客户端MTU值：

# 临时修改
ip link set dev eth0 mtu 1400
# 永久修改需编辑网络配置文件

3. 存储空间不足处理

# 1. 识别大尺寸镜像
docker system df --format "{{.Repository}}:{{.Size}}" | sort -h
# 2. 删除未使用的镜像
docker rmi $(docker images -f "dangling=true" -q)
# 3. 扩展存储（LVM示例）
pvcreate /dev/sdb
vgextend vg_harbor /dev/sdb
lvextend -l +100%FREE /dev/vg_harbor/lv_registry
xfs_growfs /dev/vg_harbor/lv_registry

八、进阶功能探索

1. 多集群镜像分发

通过Harbor的复制功能实现跨集群镜像同步，典型场景包括：

开发环境→测试环境→生产环境
中心仓库→边缘节点
混合云环境（AWS ECR ↔ 本地Harbor）

2. 与CI/CD集成

# GitLab CI示例配置
push_to_harbor:
  stage: deploy
  script:
    - docker login -u $HARBOR_USER -p $HARBOR_PASS reg.example.com
    - docker build -t reg.example.com/$PROJECT_NAME:$CI_COMMIT_SHA .
    - docker push reg.example.com/$PROJECT_NAME:$CI_COMMIT_SHA
  only:
    - master

3. 监控告警设置

推荐监控指标：

存储使用率（>80%告警）
镜像推送失败率（>5%告警）
认证失败次数（阈值10次/分钟）

Prometheus配置示例：

scrape_configs:
  - job_name: 'harbor'
    metrics_path: '/api/v2.0/metrics'
    static_configs:
      - targets: ['harbor-core:8000']

通过本文的详细指导，开发者可以系统掌握Harbor镜像仓库的搭建与运维技巧。从基础环境准备到高级安全配置，每个环节都提供了可落地的实施方案。建议在实际部署前进行小规模测试，并根据企业具体需求调整配置参数。随着容器技术的不断发展，Harbor将持续完善功能，开发者应关注官方文档的更新以获取最新特性。

Harbor镜像仓库搭建全攻略：从零到一的完整实践指南