私有镜像仓库Harbor的安装与配置全指南

一、Harbor核心价值与适用场景

在容器化技术普及的今天，企业对于镜像管理的安全性、可控性和效率提出了更高要求。Harbor作为CNCF（云原生计算基金会）毕业项目，通过提供基于角色的访问控制（RBAC）、镜像复制、漏洞扫描等企业级功能，成为构建私有镜像仓库的首选方案。其典型应用场景包括：

1. 金融行业合规要求：需满足等保2.0三级的数据加密传输与存储规范
2. 多分支机构协同：通过Project机制实现不同团队的镜像隔离管理
3. 混合云环境部署：支持与AWS ECR、Azure ACR等公有云仓库的镜像同步
4. DevOps流水线集成：与Jenkins、GitLab CI等工具无缝对接实现自动化镜像构建

二、安装前环境准备

2.1 硬件资源规划

2.2 软件依赖检查

# 验证Docker版本（需19.03+）
docker --version
# 检查Docker Compose（需1.25+）
docker-compose --version
# 确认系统时间同步（NTP服务）
timedatectl status | grep "NTP synchronized"

2.3 证书配置方案

推荐使用Let’s Encrypt免费证书或企业CA签发的证书：

# 生成私钥（RSA 2048位）
openssl genrsa -out harbor.key 2048
# 生成证书请求（需填写CN=域名）
openssl req -new -key harbor.key -out harbor.csr
# 签发证书（示例为自签名证书）
openssl x509 -req -days 3650 -in harbor.csr -signkey harbor.key -out harbor.crt

三、标准化安装流程

3.1 离线安装包准备

1. 访问GitHub Release页面下载对应版本（推荐v2.9.0+）
2. 解压后检查目录结构：

   harbor/
   ├── common/          # 共享配置文件
   ├── install.sh       # 安装脚本
   ├── prepare          # 准备脚本
   └── harbor.yml.tmpl  # 配置模板

3.2 配置文件定制化

修改harbor.yml关键参数：

hostname: registry.example.com  # 必须与证书CN一致
http:
  port: 80
https:
  port: 443
  certificate: /path/to/harbor.crt
  private_key: /path/to/harbor.key
harbor_admin_password: Harbor12345  # 初始管理员密码
database:
  password: root123  # 数据库密码
storage_driver:
  name: filesystem  # 可选oss/s3/gcs等
  filesystem:
    rootdirectory: /data

3.3 执行安装命令

# 生成实际配置文件
./prepare
# 启动服务（后台运行）
./install.sh --with-trivy --with-chartmuseum

四、核心功能配置

4.1 用户与权限管理

1. LDAP集成配置：

   # 在harbor.yml中添加
   auth_mode: ldap
   ldap:
   url: ldap://ldap.example.com
   search_dn: cn=admin,dc=example,dc=com
   search_password: ldap123
   base_dn: dc=example,dc=com
   uid: uid
   filter: (objectClass=person)

2. RBAC策略示例：

   • 开发人员：仅能pull/push指定项目的镜像
   • 运维人员：可进行系统级配置和镜像扫描
   • 审计员：仅能查看操作日志

4.2 镜像复制策略

配置跨数据中心镜像同步：

{
  "name": "dc-beijing-to-shanghai",
  "src_registry": {
    "url": "https://registry.beijing.example.com",
    "insecure": false
  },
  "dest_registry": {
    "url": "https://registry.shanghai.example.com",
    "insecure": false
  },
  "dest_namespace": "library",
  "trigger": {
    "type": "immediate",
    "schedule": null
  },
  "filters": [
    {
      "type": "name",
      "pattern": "^library/.*"
    }
  ]
}

4.3 漏洞扫描配置

启用Trivy扫描器：

# 在harbor.yml中启用
trivy:
  ignore_unfixed: false
  skip_update: false
  insecure: false
  severity: 'CRITICAL,HIGH'
  debug_mode: false

五、生产环境优化

5.1 高可用架构设计

推荐采用以下部署模式：

1. 主从复制：主节点处理写操作，从节点提供读服务
2. 分布式存储：使用Ceph/GlusterFS替代本地存储
3. 负载均衡：配置Nginx或HAProxy实现流量分发

5.2 性能调优参数

# 调整Docker守护进程配置
echo '{"max-concurrent-uploads": 10}' > /etc/docker/daemon.json
# 优化Harbor数据库连接池
# 在harbor.yml中修改
database:
  max_idle_conns: 50
  max_open_conns: 100

5.3 监控指标集成

1. Prometheus配置：

   # 添加到prometheus.yml
   scrape_configs:
   - job_name: 'harbor'
    static_configs:
      - targets: ['harbor-core:8000']

2. 关键监控指标：

   • harbor_project_count：项目总数
   • harbor_artifact_pull_total：镜像拉取次数
   • harbor_scan_job_duration_seconds：扫描耗时

六、常见问题解决方案

6.1 证书问题排查

# 检查证书有效期
openssl x509 -noout -dates -in harbor.crt
# 验证证书链完整性
openssl verify -CAfile ca.crt harbor.crt

6.2 数据库迁移指南

1. 备份现有数据：

   docker exec -it harbor-db pg_dump -U postgres -d registry > backup.sql

2. 恢复数据到新实例：

   docker exec -i harbor-new-db psql -U postgres -d registry < backup.sql

6.3 升级注意事项

1. 升级前必须执行备份
2. 检查版本兼容性矩阵
3. 执行预检脚本：

   ./prepare --check-upgrade

七、最佳实践建议

1. 镜像命名规范：采用<项目>/<镜像>:<标签>格式
2. 标签策略：
   • latest标签仅用于开发环境
   • 生产环境使用语义化版本号（如v1.2.3）
3. 清理策略：
   • 设置镜像保留策略（如保留最近3个版本）
   • 定期执行garbage-collect命令

通过系统化的安装配置和持续优化，Harbor可为企业提供安全、高效的镜像管理服务。建议每季度进行安全审计和性能评估，确保系统始终处于最佳运行状态。