一、环境准备与安全加固

1.1 基础环境配置

在部署私有镜像仓库前，需完成主机环境的基础配置。首先建议关闭非必要安全策略以避免组件间通信阻塞：

# 临时关闭防火墙（生产环境建议配置精确规则）
systemctl stop firewalld
systemctl disable firewalld
# 调整SELinux策略（永久生效需修改配置文件）
setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=permissive/g' /etc/selinux/config

1.2 网络环境优化

为确保仓库服务可被内部网络访问，需建立主机名与IP的静态映射。编辑/etc/hosts文件添加如下内容（示例IP需替换为实际值）：

192.168.1.100 registry.local.net

建议使用内部DNS服务替代hosts文件修改，实现更灵活的主机名管理。对于跨机房访问场景，需在安全组规则中放行5000（HTTP）和443（HTTPS）端口。

二、容器运行时部署

2.1 Docker引擎安装

主流Linux发行版可通过包管理器快速安装Docker：

# CentOS/RHEL系统
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io
# 启动服务并设置开机自启
systemctl enable --now docker

安装完成后建议配置镜像加速源，编辑/etc/docker/daemon.json：

{
  "registry-mirrors": ["https://<mirror-domain>"]
}

2.2 Compose工具部署

服务编排工具推荐使用最新稳定版Docker Compose：

# 下载指定版本（建议检查官网获取最新版本号）
COMPOSE_VERSION=1.29.2
curl -L "https://github.com/docker/compose/releases/download/${COMPOSE_VERSION}/docker-compose-$(uname -s)-$(uname -m)" \
  -o /usr/local/bin/docker-compose
# 添加执行权限并验证
chmod +x /usr/local/bin/docker-compose
docker-compose version

三、镜像仓库核心组件部署

3.1 Harbor安装包获取

推荐使用离线安装包简化部署流程：

# 创建工作目录并下载安装包（版本号需确认最新稳定版）
mkdir -p /opt/harbor && cd /opt/harbor
wget https://storage.googleapis.com/harbor-releases/release-2.4.0/harbor-offline-installer-v2.4.1.tgz
tar zxvf harbor-offline-installer-v*.tgz
cd harbor

3.2 核心配置调整

编辑harbor.yml配置文件（原harbor.cfg），重点关注以下参数：

hostname: registry.local.net  # 必须与DNS解析一致
http:
  port: 80
https:  # 生产环境必须启用
  port: 443
  certificate: /path/to/cert.pem
  private_key: /path/to/key.pem
harbor_admin_password: ComplexPass@123  # 修改默认密码
data_volume: /data/harbor  # 持久化存储路径

3.3 数据库初始化（可选）

对于高并发场景，建议配置外部数据库：

database:
  password: root@123
  max_idle_conns: 50
  max_open_conns: 100
  # 外部数据库配置示例
  # external_database:
  #   harbor:
  #     host: mysql.example.com
  #     port: 3306
  #     username: harbor
  #     password: Harbor@123
  #     database: harbor

四、服务启动与验证

4.1 初始化安装

执行安装脚本自动完成服务部署：

# 安装前建议先执行prepare脚本（2.4+版本）
./prepare
# 启动服务（加--with-clair启用漏洞扫描）
docker-compose up -d

4.2 功能验证

通过客户端工具验证基础功能：

# 登录测试（使用配置的管理员账号）
docker login registry.local.net
# 镜像推送测试
docker tag alpine registry.local.net/library/alpine:test
docker push registry.local.net/library/alpine:test
# Web界面访问
# 浏览器访问 https://registry.local.net (默认账号admin/配置的密码)

五、生产环境优化建议

5.1 高可用架构

• 部署3节点以上Harbor集群
• 使用共享存储（如NFS、对象存储）作为数据卷
• 配置负载均衡器实现流量分发

5.2 安全加固方案

• 启用双向TLS认证
• 配置网络策略限制访问源IP
• 定期更新组件版本修补漏洞
• 启用日志审计功能记录操作轨迹

5.3 运维监控体系

# 在docker-compose.yml中添加监控组件
prometheus:
  image: prom/prometheus
  ports:
    - "9090:9090"
  volumes:
    - ./prometheus.yml:/etc/prometheus/prometheus.yml

六、常见问题处理

1. 证书错误：确保客户端信任仓库证书，企业环境可配置私有CA
2. 存储不足：监控/data/harbor目录使用情况，设置自动清理策略
3. 性能瓶颈：调整max_job_workers参数（默认10）提升并发处理能力
4. 版本兼容：Docker客户端版本需与Harbor API版本匹配

通过以上标准化部署流程，开发团队可在2小时内完成企业级镜像仓库的搭建。建议结合CI/CD流水线实现镜像自动构建与推送，配合漏洞扫描功能构建完整的容器安全体系。对于超大规模场景，可考虑采用分布式架构实现水平扩展。