一、为何需要本地镜像仓库？

在Kubernetes集群中，镜像拉取效率直接影响Pod的启动速度和集群稳定性。当依赖公共镜像仓库（如Docker Hub）时，网络延迟、带宽限制或仓库故障都可能导致镜像拉取失败。本地镜像仓库通过以下方式解决这些问题：

1. 加速镜像分发：集群内节点直接从本地仓库拉取镜像，避免外部网络瓶颈。
2. 离线环境支持：在无互联网连接的场景下，仍能完成镜像部署。
3. 安全控制：通过私有仓库限制镜像访问权限，防止恶意镜像注入。
4. 镜像版本管理：集中存储和管理镜像版本，确保集群一致性。

以某金融企业为例，其生产环境通过部署Harbor本地仓库，将镜像拉取时间从30秒缩短至2秒，同时避免了因公共仓库限流导致的部署中断。

二、本地镜像仓库技术选型

1. 主流方案对比

推荐选择：Harbor因其完善的权限管理和安全特性，成为生产环境首选。

2. Harbor核心组件

• Proxy：反向代理，提供统一的访问入口。
• Registry：存储镜像的核心服务。
• Core Services：包含API、认证、元数据管理。
• Database：存储用户、项目和镜像元数据。
• Job Service：执行镜像扫描、复制等后台任务。

三、部署Harbor本地镜像仓库

1. 环境准备

• 服务器要求：建议4核8G以上，存储空间根据镜像量预估。
• 操作系统：CentOS 7/8或Ubuntu 20.04+。
• 依赖安装：

  yum install -y docker-ce docker-ce-cli containerd.io
  systemctl enable --now docker

2. 安装Harbor

步骤1：下载安装包

wget https://github.com/goharbor/harbor/releases/download/v2.9.0/harbor-online-installer-v2.9.0.tgz
tar xvf harbor-online-installer-v2.9.0.tgz
cd harbor

步骤2：配置harbor.yml

hostname: registry.example.com  # 替换为实际域名或IP
http:
  port: 80
https:
  certificate: /data/cert/server.crt
  private_key: /data/cert/server.key
harbor_admin_password: Harbor12345  # 默认管理员密码
database:
  password: root123
  max_open_conns: 1000
  max_idle_conns: 500

步骤3：执行安装

./install.sh

安装完成后，访问http://registry.example.com，使用默认账号admin和配置的密码登录。

3. 配置Kubernetes访问仓库

方式1：使用Secret（推荐）

kubectl create secret docker-registry regcred \
  --docker-server=registry.example.com \
  --docker-username=admin \
  --docker-password=Harbor12345

在Pod的spec中引用该Secret：

spec:
  containers:
  - name: nginx
    image: registry.example.com/library/nginx:latest
  imagePullSecrets:
  - name: regcred

方式2：配置全局Insecure Registry（仅测试环境）

修改/etc/docker/daemon.json：

{
  "insecure-registries": ["registry.example.com"]
}

重启Docker服务：

systemctl restart docker

四、高级功能实践

1. 镜像自动清理

Harbor支持按保留策略自动删除旧镜像。配置示例：

# 在harbor.yml中启用垃圾回收
trash:
  enabled: true
  retain_for: 7d  # 保留7天未引用的镜像

执行垃圾回收：

docker run -it --name gc --rm --network host \
  -v /data:/var/lib/registry \
  goharbor/harbor-garbage-collector:v2.9.0 \
  --dry-run=false

2. 镜像复制规则

将镜像同步至其他仓库（如阿里云CR）：

1. 在Harbor中创建目标端点。
2. 配置复制规则：
   • 源项目：library
   • 目标项目：aliyun-cr/library
   • 触发模式：手动/定时

3. 高可用部署

方案1：Harbor集群

• 部署多个Harbor实例，共享后端存储（如NFS、S3）。
• 使用Keepalived+VIP实现前端负载均衡。

方案2：与Kubernetes集成

将Harbor部署为Kubernetes StatefulSet：

apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: harbor
spec:
  serviceName: harbor
  replicas: 3
  selector:
    matchLabels:
      app: harbor
  template:
    metadata:
      labels:
        app: harbor
    spec:
      containers:
      - name: harbor-core
        image: goharbor/harbor-core:v2.9.0
        volumeMounts:
        - name: harbor-data
          mountPath: /var/lib/registry
  volumeClaimTemplates:
  - metadata:
      name: harbor-data
    spec:
      accessModes: [ "ReadWriteOnce" ]
      resources:
        requests:
          storage: 100Gi

五、安全加固建议

1. 启用HTTPS：使用Let’s Encrypt免费证书或自签名证书。
2. 限制访问IP：在Harbor的nginx.conf中配置allow规则。
3. 定期审计：通过Harbor API导出操作日志，分析异常行为。
4. 镜像签名：使用Cosign等工具对镜像进行签名验证。

六、常见问题排查

1. 镜像拉取失败：

   • 检查kubectl describe pod中的Events信息。
   • 验证Secret是否正确挂载到Pod。
   • 使用docker pull命令在节点上直接测试。

2. Harbor服务不可用：

   • 查看日志：docker logs -f harbor-core。
   • 检查数据库连接：netstat -tulnp | grep 5432。
   • 重启服务：docker-compose restart。

3. 存储空间不足：

   • 执行df -h检查磁盘使用情况。
   • 清理未使用的镜像或扩展存储。

七、总结与展望

部署本地镜像仓库是Kubernetes集群高效运行的关键一步。通过Harbor的企级功能，企业可以实现镜像的全生命周期管理，同时提升安全性和部署效率。未来，随着eBPF等技术的发展，镜像仓库有望与集群网络深度集成，进一步优化镜像分发路径。

行动建议：

1. 立即在测试环境部署Harbor，验证功能完整性。
2. 制定镜像命名规范和保留策略，避免仓库膨胀。
3. 定期进行安全演练，确保仓库在攻击场景下的可用性。