手把手教你搭建镜像仓库并上传/下载镜像

在DevOps实践中，镜像仓库是容器化部署的核心基础设施。无论是私有化部署还是团队协作，搭建一个安全高效的镜像仓库都能显著提升开发效率。本文将手把手教你从零开始搭建镜像仓库，并详细演示镜像上传与下载的全流程操作。

一、镜像仓库的核心价值与选型建议

镜像仓库作为容器镜像的存储中心，承担着镜像版本管理、安全扫描和分发加速等关键职责。根据使用场景，镜像仓库可分为三类：

1. 公有云服务：如Docker Hub、阿里云ACR等，适合中小团队快速使用，但存在数据隐私风险。
2. 开源自托管方案：Harbor、Nexus Repository等，提供完整权限控制和审计功能，适合企业私有化部署。
3. 轻量级私有仓库：Docker Registry作为官方基础组件，适合开发者本地测试或小型团队。

对于企业级需求，推荐使用Harbor（基于Docker Registry二次开发），其提供RBAC权限管理、镜像复制、漏洞扫描等高级功能。本文将以Harbor 2.0+版本为例进行演示。

二、Harbor镜像仓库搭建全流程

1. 环境准备

• 服务器配置：建议4核8G以上，存储空间根据镜像规模预留（通常500GB起）。
• 操作系统：CentOS 7/8或Ubuntu 20.04 LTS。
• 依赖安装：

  # 安装Docker与Docker Compose
  curl -fsSL https://get.docker.com | sh
  sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
  sudo chmod +x /usr/local/bin/docker-compose

2. Harbor离线安装

1. 从Harbor官方Release下载离线包（如harbor-offline-installer-v2.4.3.tgz）。

2. 解压并修改配置文件：

   tar xzf harbor-offline-installer-v2.4.3.tgz
   cd harbor
   cp harbor.yml.tmpl harbor.yml

   关键配置项说明：

   hostname: registry.example.com  # 修改为实际域名或IP
   http:
     port: 80
   https:  # 生产环境必须启用HTTPS
     certificate: /path/to/cert.pem
     private_key: /path/to/key.pem
   storage_driver:
     name: filesystem
     settings:
       rootdirectory: /data/harbor

3. 执行安装脚本：

   ./install.sh

   安装完成后，访问http://<hostname>（默认管理员账号：admin/Harbor12345）。

三、镜像上传与下载实战

1. 客户端配置

在开发机上配置Docker信任Harbor仓库：

# 创建目录并生成证书（生产环境需使用正规CA证书）
mkdir -p /etc/docker/certs.d/registry.example.com
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout /etc/docker/certs.d/registry.example.com/key.pem \
  -out /etc/docker/certs.d/registry.example.com/cert.pem \
  -subj "/CN=registry.example.com"
# 重启Docker服务
systemctl restart docker

2. 镜像上传流程

1. 登录仓库：

   docker login registry.example.com

   输入Harbor管理员账号或项目级账号。

2. 标记镜像：

   docker tag nginx:latest registry.example.com/library/nginx:v1.0

   格式说明：<仓库地址>/<项目名>/<镜像名>:<标签>。

3. 推送镜像：

   docker push registry.example.com/library/nginx:v1.0

3. 镜像下载流程

docker pull registry.example.com/library/nginx:v1.0

若遇到权限问题，需确保：

• 用户已被授权访问对应项目
• 镜像标签存在且未被删除

四、高级功能实践

1. 项目与权限管理

在Harbor Web界面中：

1. 创建项目（如dev-team）
2. 添加成员并分配角色：
   • 开发者：可推送/拉取镜像
   • 访客：仅可拉取镜像
   • 管理员：完整权限

2. 镜像复制策略

配置跨区域镜像同步：

1. 在System Management → Replication创建规则
2. 设置源项目与目标仓库（如阿里云ACR）
3. 配置定时同步或事件触发

3. 漏洞扫描集成

Harbor内置Clair扫描引擎：

# 手动触发扫描
curl -u admin:Harbor12345 -X POST "http://registry.example.com/api/v2.0/projects/library/repositories/nginx/artifacts/v1.0/scan"

扫描结果可在镜像详情页查看CVE漏洞列表。

五、运维与故障排查

1. 常见问题解决方案

• 502 Bad Gateway：检查Nginx代理配置，确认Harbor核心服务是否运行。
• 证书错误：确保客户端证书与服务器证书匹配，使用docker --tlsverify参数强制验证。
• 存储空间不足：通过df -h检查磁盘使用率，配置Harbor的自动清理策略。

2. 日志分析

关键日志路径：

/var/log/harbor/core.log          # 核心服务日志
/var/log/harbor/registry.log     # 镜像存储日志
/var/log/harbor/portal.log       # Web界面日志

使用journalctl -u harbor查看系统服务日志。

六、最佳实践建议

1. 备份策略：定期备份Harbor数据库（PostgreSQL）和存储目录。
2. 高可用方案：使用Harbor集群模式（需共享存储和负载均衡器）。
3. 镜像命名规范：采用<应用名>-<环境>-<版本>格式（如user-service-prod-v2.1.0）。
4. 安全加固：
   • 启用HTTPS强制跳转
   • 定期轮换管理员密码
   • 限制匿名访问

通过本文的详细指导，读者已掌握从环境搭建到高级运维的全流程技能。实际生产环境中，建议结合CI/CD流水线（如Jenkins、GitLab CI）实现镜像的自动构建与推送，进一步提升DevOps效率。”