Docker搭建Harbor私有镜像仓库（命令行模式）全流程指南

一、Harbor私有镜像仓库的核心价值

在容器化技术普及的今天，企业构建私有镜像仓库已成为保障软件供应链安全的关键环节。Harbor作为CNCF（云原生计算基金会）毕业的开源项目，提供以下核心优势：

1. 安全控制：支持RBAC权限管理、镜像签名、漏洞扫描
2. 高效管理：提供Web界面与API双模式操作，支持项目级隔离
3. 高可用架构：支持多节点部署、数据库主从、存储冗余
4. 生态集成：完美兼容Docker Registry V2协议，支持Helm Chart存储

相较于公有云服务，自建Harbor可降低长期使用成本，避免数据泄露风险，尤其适合金融、政府等对数据主权有严格要求的行业。

二、环境准备与前置条件

硬件配置建议

组件	最低配置	推荐配置
服务器	2核4G	4核8G+
磁盘空间	40GB（SSD）	200GB+（SSD）
网络带宽	10Mbps	100Mbps+

软件依赖清单

# 系统要求（以Ubuntu 20.04为例）
sudo apt update
sudo apt install -y docker.io docker-compose git
# 验证安装
docker --version  # 应输出Docker版本
docker-compose --version  # 应输出Compose版本

网络配置要点

1. 开放端口：80(HTTP)、443(HTTPS)、4443(Notary服务)
2. 域名准备：建议申请专用域名（如harbor.example.com）
3. 防火墙规则：放行上述端口，限制源IP范围

三、命令行部署全流程

1. 下载安装包

# 获取最新稳定版（以2.9.0为例）
wget https://github.com/goharbor/harbor/releases/download/v2.9.0/harbor-offline-installer-v2.9.0.tgz
tar xvf harbor-offline-installer-v2.9.0.tgz
cd harbor

2. 配置文件定制

编辑harbor.yml.tmpl文件，关键配置项：

hostname: harbor.example.com  # 必须与DNS解析一致
http:
  port: 80
https:
  certificate: /data/cert/harbor.crt  # 需提前准备证书
  private_key: /data/cert/harbor.key
harbor_admin_password: Harbor12345  # 初始管理员密码
database:
  password: root123  # 数据库密码
  max_idle_conns: 100
  max_open_conns: 1000
storage_driver:
  name: filesystem
  fs:
    rootpath: /data/registry

证书生成指南（自签名证书示例）：

mkdir -p /data/cert
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout /data/cert/harbor.key -out /data/cert/harbor.crt \
  -subj "/CN=harbor.example.com"

3. 安装执行

# 生成最终配置文件
cp harbor.yml.tmpl harbor.yml
# 执行安装（需root权限）
sudo ./install.sh --with-trivy --with-chartmuseum

参数说明：

• --with-trivy：启用漏洞扫描功能
• --with-chartmuseum：支持Helm Chart存储
• --with-notary：可选镜像签名服务

4. 启动验证

# 检查服务状态
sudo docker-compose ps
# 查看日志
sudo docker-compose logs -f
# 访问测试
curl -I https://harbor.example.com
# 应返回HTTP 200状态码

四、运维管理实战

1. 日常操作命令集

# 启动服务
cd /path/to/harbor
sudo docker-compose start
# 停止服务
sudo docker-compose stop
# 重启服务（推荐修改配置后使用）
sudo docker-compose down
sudo docker-compose up -d
# 备份数据
sudo tar -czvf harbor_backup_$(date +%Y%m%d).tar.gz /data

2. 镜像操作示例

# 登录仓库
docker login harbor.example.com
# 输入用户名/密码（admin/Harbor12345）
# 推送镜像
docker tag nginx:latest harbor.example.com/library/nginx:v1
docker push harbor.example.com/library/nginx:v1
# 拉取镜像
docker pull harbor.example.com/library/nginx:v1

3. 用户权限管理

# 创建项目
curl -u admin:Harbor12345 -X POST "https://harbor.example.com/api/v2.0/projects" \
  -H "Content-Type: application/json" \
  -d '{"project_name": "devops", "public": false}'
# 创建用户
curl -u admin:Harbor12345 -X POST "https://harbor.example.com/api/v2.0/users" \
  -H "Content-Type: application/json" \
  -d '{"username": "devuser", "email": "dev@example.com", "password": "DevPass123"}'
# 分配角色
curl -u admin:Harbor12345 -X PUT "https://harbor.example.com/api/v2.0/projects/devops/members" \
  -H "Content-Type: application/json" \
  -d '{"role_id": 2, "username": "devuser"}'  # 2=开发者角色

五、性能优化与故障排除

1. 存储优化方案

• 对象存储集成：

  # 在harbor.yml中配置
  storage_driver:
  name: s3
  s3:
    accesskey: your-access-key
    secretkey: your-secret-key
    region: us-west-1
    bucket: harbor-registry
    regionendpoint: https://s3.example.com

• 定期清理：

  # 删除未标记的镜像
  sudo docker run -it --rm -v /var/run/docker.sock:/var/run/docker.sock \
  -v /data/registry:/registry alpine sh -c \
  "apk add --no-cache jq && \
  find /registry/docker/registry/v2/repositories -name '_manifests' -type d | \
  while read dir; do \
    manifests=\$(ls \$dir/tags/*/link 2>/dev/null); \
    for m in \$manifests; do \
      tag=\$(basename \$(dirname \$m)); \
      digest=\$(cat \$m | jq -r '.digest'); \
      if ! docker inspect harbor.example.com/library/\$(basename \$(dirname \$dir)):\$tag >/dev/null 2>&1; then \
        echo "Deleting unused manifest \$tag"; \
        rm -rf \$(dirname \$m); \
      fi; \
    done; \
  done"

2. 常见问题处理

问题1：502 Bad Gateway

• 原因：Nginx代理配置错误
• 解决方案：

  # 检查Nginx配置
  sudo docker-compose exec nginx cat /etc/nginx/nginx.conf
  # 重点检查server_name和proxy_pass配置

问题2：数据库连接失败

• 原因：PostgreSQL密码不匹配
• 解决方案：

  # 修改数据库密码
  sudo docker-compose exec postgresql psql -U postgres -c \
  "ALTER USER harbor WITH PASSWORD 'newpassword';"
  # 同步修改harbor.yml中的password字段

六、安全加固建议

1. 定期轮换证书：建议每90天更新一次
2. 审计日志：启用--with-clair进行漏洞扫描
3. 网络隔离：将Harbor部署在独立VPC
4. 密码策略：在harbor.yml中设置：

   auth_mode: db_auth  # 禁用LDAP时的本地认证
   password_policy:
   min_length: 12
   require_uppercase: true
   require_lowercase: true
   require_number: true
   require_special_char: true

七、升级与扩展指南

1. 版本升级流程

# 1. 备份数据
sudo ./prepare.sh backup /backup
# 2. 下载新版本
wget https://github.com/goharbor/harbor/releases/download/v2.10.0/harbor-offline-installer-v2.10.0.tgz
# 3. 停止服务
sudo docker-compose down
# 4. 更新安装包
tar xvf harbor-offline-installer-v2.10.0.tgz
cd harbor
# 5. 恢复配置
cp /backup/harbor.yml .
# 6. 执行升级
sudo ./install.sh --with-trivy

2. 高可用部署架构

[负载均衡器]
  │
  ├─ [Harbor节点1]
  │   ├─ Nginx
  │   ├─ Core服务
  │   └─ Redis
  │
  └─ [Harbor节点2]
      ├─ Nginx
      ├─ Core服务
      └─ Redis
  │
[共享存储] ← [PostgreSQL集群]

关键配置：

# 在harbor.yml中启用集群模式
redis:
  password: redis123
  sentinel_master_set: harbor-master
  sentinel_nodes:
    - host: redis-sentinel1
      port: 26379
    - host: redis-sentinel2
      port: 26379

八、总结与最佳实践

1. 版本选择：建议使用LTS版本（如2.9.x）
2. 监控指标：重点关注registry_blob_uploads_total、database_connections等指标
3. 备份策略：每日全量备份+每小时增量备份
4. 容量规划：按每月10%的增长率预留空间

通过命令行模式部署Harbor，开发者可以获得对系统的完全控制权，同时保持部署的灵活性和可重复性。实际生产环境中，建议结合Ansible/Terraform等工具实现自动化部署，进一步提升运维效率。