Docker Registry与Harbor镜像仓库部署全攻略

在容器化技术日益普及的今天，镜像仓库作为容器生态的核心组件，承担着镜像存储、分发与管理的重任。本文将深入探讨Docker Registry与Harbor镜像仓库的部署细节，从基础概念到高级配置，为开发者及企业用户提供一份详尽的部署指南。

一、镜像仓库基础概念

1.1 Docker Registry

Docker Registry是Docker官方提供的镜像存储与分发服务，分为公有Registry（如Docker Hub）和私有Registry。私有Registry允许企业在内部网络中部署，实现镜像的集中管理与安全控制。

1.2 Harbor

Harbor是由VMware公司开源的企业级Registry项目，基于Docker Registry V2.0扩展而来。它不仅提供了Registry的核心功能，还集成了用户认证、访问控制、镜像签名、漏洞扫描等高级特性，非常适合企业级应用。

二、环境准备

2.1 硬件要求

• 服务器：建议至少4核CPU、8GB内存、100GB以上磁盘空间（根据实际镜像存储量调整）。
• 网络：确保服务器有稳定的网络连接，便于镜像的上传与下载。

2.2 软件依赖

• 操作系统：推荐使用CentOS 7/8或Ubuntu 18.04/20.04。
• Docker：安装最新稳定版Docker CE或EE。
• Docker Compose（可选）：用于简化Harbor的多容器部署。

2.3 安装前检查

• 确认系统时间同步（使用NTP服务）。
• 检查防火墙设置，确保必要的端口（如5000用于Registry，80/443用于Harbor Web界面）开放。

三、Docker Registry部署

3.1 简单Registry部署

# 安装Docker（若未安装）
sudo apt-get update
sudo apt-get install -y docker.io
# 启动Registry容器
docker run -d -p 5000:5000 --restart=always --name registry registry:2

此命令将启动一个基础的Docker Registry，监听5000端口。

3.2 配置HTTPS与认证

为增强安全性，建议为Registry配置HTTPS及基本认证。

3.2.1 生成自签名证书

mkdir -p /certs
openssl req -newkey rsa:4096 -nodes -sha256 -keyout /certs/domain.key -x509 -days 365 -out /certs/domain.crt -subj "/CN=your.registry.domain"

3.2.2 创建认证文件

mkdir -p /auth
docker run --entrypoint htpasswd httpd:2 -Bbn username password > /auth/htpasswd

3.2.3 启动带认证的Registry

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /certs:/certs \
  -v /auth:/auth \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  registry:2

四、Harbor部署

4.1 下载Harbor安装包

访问Harbor官方GitHub仓库，下载最新稳定版安装包。

4.2 配置Harbor

解压安装包后，编辑harbor.yml文件，主要配置项包括：

• hostname：设置为服务器的FQDN或IP地址。
• http/https：配置监听端口及证书路径（若使用HTTPS）。
• database：数据库配置（Harbor内置PostgreSQL）。
• harbor_admin_password：设置管理员密码。
• data_volume：镜像存储路径。

4.3 安装与启动

# 安装依赖（如未安装Docker Compose）
sudo apt-get install -y docker-compose
# 执行安装脚本
./install.sh
# 启动Harbor
docker-compose up -d

4.4 访问Harbor

通过浏览器访问https://your.harbor.domain（或HTTP，根据配置），使用默认管理员账号（admin）和设置的密码登录。

五、安全加固与高级配置

5.1 镜像签名

Harbor支持镜像签名，确保镜像来源可信。需配置Notary服务，并在推送镜像时使用docker trust命令进行签名。

5.2 漏洞扫描

Harbor集成了Clair或Trivy等漏洞扫描工具，可定期扫描镜像中的安全漏洞。

5.3 访问控制

利用Harbor的项目（Project）机制，实现不同团队或应用的镜像隔离。通过角色（Role）分配，精细控制用户权限。

5.4 复制策略

Harbor支持镜像复制，可在不同Harbor实例或Registry之间同步镜像，实现灾备或跨地域分发。

六、维护与监控

6.1 日志管理

定期检查Harbor及Docker的日志文件，及时处理错误信息。

6.2 性能监控

使用Prometheus+Grafana等工具监控Harbor及Docker的运行状态，包括CPU、内存、磁盘I/O等。

6.3 备份与恢复

定期备份Harbor的数据库及配置文件，确保数据安全。制定恢复流程，以应对可能的故障。

七、总结

通过本文的介绍，我们了解了Docker Registry与Harbor镜像仓库的基础概念、部署步骤、安全加固及高级功能使用。无论是简单的私有Registry还是功能丰富的Harbor，都能有效满足企业对于镜像管理的需求。在实际部署过程中，应根据具体业务场景和安全要求，灵活调整配置，确保镜像仓库的高效、安全运行。