Docker镜像仓库Harbor安装部署详细教程

一、Harbor简介与核心价值

Harbor是由VMware开发的开源Docker镜像仓库管理工具，提供基于角色的访问控制（RBAC）、镜像复制、漏洞扫描及审计日志等企业级功能。相较于原生Docker Registry，Harbor通过Web界面和API接口简化了镜像管理流程，尤其适合需要多项目隔离、高安全性要求的开发团队。

核心功能亮点

1. 权限管理：支持项目级、镜像级权限控制，可集成LDAP/AD
2. 镜像复制：支持跨集群镜像同步，保障高可用性
3. 安全扫描：集成Clair进行漏洞检测，自动拦截高危镜像
4. 审计日志：完整记录用户操作，满足合规性要求

二、安装前环境准备

硬件配置建议

组件	最低配置	推荐配置
服务器	2核4G	4核8G+
磁盘空间	40GB（SSD优先）	100GB+（SSD）
网络带宽	100Mbps	1Gbps

软件依赖清单

1. 操作系统：CentOS 7/8、Ubuntu 18.04/20.04（推荐）
2. Docker引擎：19.03+（需开启TCP监听）
3. Docker Compose：1.25+
4. 依赖包：curl wget git conntrack-tools socat

配置优化步骤

1. 内核参数调整：
   ```bash

   修改/etc/sysctl.conf

   net.ipv4.ip_forward=1
   net.bridge.bridge-nf-call-ip6tables=1
   net.bridge.bridge-nf-call-iptables=1

应用配置

sudo sysctl -p

2. **Docker服务配置**：
```bash
# 创建/etc/docker/daemon.json
{
  "insecure-registries": ["harbor.example.com"],
  "registry-mirrors": ["https://<mirror-url>"]
}
# 重启服务
sudo systemctl restart docker

三、Harbor安装部署流程

1. 下载安装包

# 获取最新版本（示例为v2.9.0）
wget https://github.com/goharbor/harbor/releases/download/v2.9.0/harbor-offline-installer-v2.9.0.tgz
tar xvf harbor-offline-installer-v2.9.0.tgz
cd harbor

2. 配置文件修改

编辑harbor.yml.tmpl（安装前需重命名为harbor.yml）：

hostname: harbor.example.com  # 必须为FQDN
http:
  port: 80
https:
  certificate: /data/cert/harbor.crt
  private_key: /data/cert/harbor.key
harbor_admin_password: Harbor12345  # 初始密码
database:
  password: root123
  max_open_conns: 1000
  max_idle_conns: 500

关键配置项说明：

• data_volume：建议使用独立磁盘挂载（如/data）
• log.level：生产环境建议设置为info
• jobservice.max_job_workers：根据CPU核心数调整（默认10）

3. 安装执行

# 生成自签名证书（测试环境）
mkdir -p /data/cert
openssl req -newkey rsa:4096 -nodes -sha256 -keyout /data/cert/harbor.key \
  -x509 -days 365 -out /data/cert/harbor.crt -subj "/CN=harbor.example.com"
# 执行安装
sudo ./install.sh --with-notary --with-trivy  # 可选组件

安装过程监控：

• 观察docker-compose ps状态，所有容器应显示Up
• 检查日志：docker logs -f harbor-core

四、Harbor高级配置

1. 集成LDAP认证

# 在harbor.yml中添加
auth_mode: ldap
ldap:
  url: ldap://ldap.example.com
  search_dn: uid=admin,ou=people,dc=example,dc=com
  search_password: ldap123
  base_dn: dc=example,dc=com
  uid: uid
  filter: (objectClass=person)
  scope: 2

2. 镜像复制规则配置

通过Web界面操作路径：
系统管理 → 复制管理 → 新建复制规则

• 目标端类型：Harbor/Docker Registry
• 触发模式：手动/定时/事件触发
• 过滤器：可按仓库名称、标签规则过滤

3. 漏洞扫描配置

# 在harbor.yml中启用Trivy
trivy:
  ignore_unfixed: false
  skip_update: false
  insecure: false
  severity: CRITICAL,HIGH

扫描策略优化：

• 设置定时扫描任务（建议非业务高峰期）
• 配置自动阻止策略（阻止高危镜像下载）

五、常见问题解决方案

1. 证书错误处理

现象：x509: certificate signed by unknown authority
解决方案：

# 将证书添加到系统信任链
sudo cp /data/cert/harbor.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

2. 数据库连接失败

排查步骤：

1. 检查harbor.yml中数据库密码
2. 验证数据库容器状态：

   docker-compose ps | grep harbor-db
   docker logs -f harbor-db

3. 检查磁盘空间：df -h /data/database

3. 性能优化建议

• 存储优化：
  • 使用SSD存储镜像数据
  • 配置storage_driver为overlay2
• 网络优化：
  • 调整max_connections参数（默认100）
  • 启用HTTP/2协议（需Nginx反向代理）

六、运维管理最佳实践

1. 备份策略

# 完整备份命令
docker-compose down
tar czvf harbor-backup-$(date +%Y%m%d).tar.gz /data
docker-compose up -d

备份内容：

• 数据库目录（/data/database）
• 配置文件（harbor.yml）
• 证书文件（/data/cert/）

2. 升级流程

1. 下载新版本安装包
2. 执行备份
3. 停止服务：

   cd harbor
   docker-compose down

4. 覆盖文件并升级：

   ./prepare --with-notary --with-trivy
   ./install.sh

3. 监控指标

关键监控项：
| 指标 | 告警阈值 | 监控工具 |
|——————————|————————|—————————-|
| 磁盘使用率 | >85% | Prometheus+Grafana|
| 镜像拉取延迟 | >500ms | Harbor自带仪表盘 |
| 数据库连接数 | >80% | Node Exporter |

七、企业级部署建议

1. 高可用架构：

   • 使用Keepalived+VIP实现域名漂移
   • 配置共享存储（NFS/Ceph）
   • 部署多节点复制集群

2. 安全加固：

   • 启用HTTPS强制跳转
   • 配置IP白名单
   • 定期更新证书（建议90天周期）

3. CI/CD集成：

   • 配置Jenkins/GitLab CI自动推送镜像
   • 设置镜像构建触发器
   • 实现环境隔离（Dev/Test/Prod）

通过以上详细部署流程和优化建议，开发者可以快速搭建符合企业级标准的Docker镜像仓库。实际部署时建议先在测试环境验证配置，再逐步推广到生产环境。