一、为什么需要私有镜像仓库？

在容器化部署中，镜像仓库是存储和分发容器镜像的核心基础设施。公有云提供的镜像仓库（如Docker Hub）虽然方便，但存在以下风险：

1. 安全风险：企业核心业务的镜像可能包含敏感信息，暴露在公有仓库中可能引发数据泄露。
2. 网络依赖：国内用户访问海外镜像仓库可能面临网络延迟或中断。
3. 成本控制：公有仓库的存储和拉取流量可能产生额外费用。
4. 合规要求：金融、政府等行业对数据存储有严格的本地化要求。

私有镜像仓库通过本地化部署，可实现镜像的集中管理、权限控制和审计追踪，是生产环境的关键组件。

二、搭建Harbor私有镜像仓库

1. 环境准备

• 服务器要求：建议2核4G以上配置，操作系统为CentOS 7/8或Ubuntu 20.04+。
• 依赖安装：

  # CentOS示例
  sudo yum install -y docker-ce docker-ce-cli containerd.io
  sudo systemctl enable --now docker

2. Harbor安装

2.1 下载安装包

从Harbor官方GitHub获取最新版本，例如：

wget https://github.com/goharbor/harbor/releases/download/v2.9.0/harbor-online-installer-v2.9.0.tgz
tar xvf harbor-online-installer-v2.9.0.tgz
cd harbor

2.2 配置修改

编辑harbor.yml文件，关键配置项：

hostname: reg.example.com  # 替换为实际域名或IP
http:
  port: 80
  # 如需HTTPS，配置以下参数
  # tls:
  #   certificate: /path/to/cert.pem
  #   private_key: /path/to/key.pem
harbor_admin_password: Harbor12345  # 管理员密码
database:
  password: root123  # 数据库密码

2.3 安装执行

sudo ./install.sh

安装完成后，访问http://<hostname>，默认管理员账号为admin，密码为配置文件中设置的密码。

3. 基础功能验证

3.1 登录测试

docker login reg.example.com
# 输入用户名admin和配置的密码

3.2 创建项目

在Harbor Web界面创建项目（如myapp），并设置访问权限为”公开”或”私有”。

三、镜像上传与下载实战

1. 镜像标记与上传

1.1 标记镜像

docker tag nginx:latest reg.example.com/myapp/nginx:v1

此命令将本地nginx:latest镜像标记为指向私有仓库的myapp/nginx:v1。

1.2 推送镜像

docker push reg.example.com/myapp/nginx:v1

推送过程中，Harbor会自动创建镜像的元数据记录。

2. 镜像下载

2.1 拉取镜像

docker pull reg.example.com/myapp/nginx:v1

2.2 运行容器

docker run -d -p 8080:80 reg.example.com/myapp/nginx:v1

3. 高级功能实践

3.1 机器人账号配置

在Harbor中创建机器人账号，生成访问令牌：

1. 进入”系统管理”→”机器人账号”
2. 设置权限（如仅允许myapp项目的读取权限）
3. 生成令牌并保存

使用机器人账号拉取镜像：

docker login reg.example.com --username=robot$myapp --password=<token>

3.2 镜像复制策略

配置从Harbor到其他仓库的自动复制：

1. 进入”系统管理”→”复制管理”
2. 添加目标仓库（如另一个Harbor实例）
3. 创建复制规则，设置触发条件（如手动/定时）

3.3 漏洞扫描

Harbor内置Clair扫描引擎，可自动检测镜像漏洞：

# 推送镜像后，在Web界面查看"漏洞"标签页
# 或通过API获取扫描结果
curl -u admin:Harbor12345 "http://reg.example.com/api/v2.0/projects/myapp/repositories/nginx/artifacts/v1/vulnerabilities"

四、运维与优化建议

1. 存储管理

• 定期清理：使用Harbor的垃圾回收功能清理未引用的镜像层：

  sudo /usr/local/bin/docker-compose -f /path/to/harbor/docker-compose.yml down
  sudo /usr/local/bin/docker run -it --name gc --rm --volumes-from registry goharbor/harbor-jobservice:v2.9.0 /harbor/gc.sh

• 存储扩容：监控/data目录使用情况，必要时扩展磁盘或配置分布式存储。

2. 高可用部署

• 多节点架构：使用Harbor的复制功能实现多地域部署。
• 负载均衡：配置Nginx或HAProxy实现HTTP/HTTPS的负载均衡。

3. 备份策略

• 配置备份：定期备份harbor.yml和数据库（PostgreSQL）：

  sudo pg_dump -U postgres -h 127.0.0.1 -p 5432 registry > harbor_db_backup.sql

• 镜像备份：使用skopeo工具导出镜像：

  skopeo copy docker://reg.example.com/myapp/nginx:v1 docker-archive:nginx_v1.tar

五、常见问题解决方案

1. 登录失败

• 错误现象：Error response from daemon: login attempt to http://reg.example.com/v2/ failed
• 解决方案：
  1. 检查Harbor服务是否运行：sudo docker-compose ps
  2. 确认域名解析正确：ping reg.example.com
  3. 检查防火墙规则：sudo iptables -L

2. 推送速度慢

• 优化措施：
  1. 启用HTTP/2协议（修改Nginx配置）
  2. 配置镜像加速器：

     // /etc/docker/daemon.json
     {
       "registry-mirrors": ["https://<mirror-url>"]
     }

  3. 使用docker push --debug查看详细日志

3. 存储空间不足

• 处理步骤：
  1. 运行垃圾回收
  2. 删除未使用的项目
  3. 扩展存储设备

六、总结与扩展

通过搭建Harbor私有镜像仓库，开发者可实现：

1. 安全控制：基于角色的访问控制和审计日志
2. 性能优化：本地化存储减少网络依赖
3. 合规保障：满足数据主权要求

未来可探索：

• 与CI/CD流水线集成（如Jenkins、GitLab CI）
• 配置镜像签名验证（Notary集成）
• 实现多云镜像管理（通过Harbor的复制功能）

私有镜像仓库是容器化部署的关键基础设施，合理规划和管理可显著提升研发效率和系统安全性。建议定期评估存储需求、更新Harbor版本，并建立完善的备份恢复机制。