部署Harbor与K8s集成指南：打造企业级镜像管理方案

作者：Nicky2025.10.10 18:40浏览量：0

简介：本文详细介绍如何部署Harbor镜像仓库并配置其在Kubernetes集群中的使用，涵盖环境准备、Harbor安装、证书配置、K8s集成及高可用优化，为企业提供安全高效的容器镜像管理方案。

部署Harbor镜像仓库并在k8s配置使用

一、环境准备与需求分析

1.1 基础环境要求

部署Harbor镜像仓库需满足以下条件：

服务器配置：建议4核8G以上，存储空间根据镜像规模预留（通常200GB起）
操作系统：CentOS 7/8或Ubuntu 20.04 LTS（推荐）
依赖组件：Docker Engine 19.03+、Docker Compose 1.25+
网络要求：开放443（HTTPS）、80（HTTP）、22（SSH）端口，建议配置负载均衡器

1.2 Kubernetes集群准备

集群版本：1.18+（支持Ingress API）
存储类：配置动态存储卷（如NFS、Ceph或云存储）
网络插件：Calico/Flannel等支持NetworkPolicy的CNI
证书管理：建议使用cert-manager或企业CA签发证书

二、Harbor核心组件部署

2.1 安装Docker与Docker Compose

# Ubuntu示例
curl -fsSL https://get.docker.com | sh
systemctl enable docker
curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

2.2 Harbor离线安装包准备

从Harbor官方发布页下载对应版本

解压后修改harbor.yml配置文件：

hostname: harbor.example.com  # 必须与DNS解析一致
http:
port: 80
https:
port: 443
certificate: /data/cert/harbor.crt
private_key: /data/cert/harbor.key
harbor_admin_password: Harbor12345  # 初始密码
database:
password: root123
max_idle_conns: 50
max_open_conns: 100
storage_driver:
name: filesystem
settings:
 rootdirectory: /var/lib/registry

2.3 证书配置最佳实践

自签名证书生成：

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /data/cert/harbor.key -out /data/cert/harbor.crt \
-subj "/CN=harbor.example.com/O=Harbor"

企业CA签发：将CA证书导入所有节点/etc/docker/certs.d/harbor.example.com/目录

2.4 启动Harbor服务

./install.sh --with-notary --with-trivy --with-chartmuseum
docker-compose ps  # 验证服务状态

三、Kubernetes集成配置

3.1 创建命名空间与Secret

# harbor-secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: harbor-registry
  namespace: kube-system
type: kubernetes.io/dockerconfigjson
data:
  .dockerconfigjson: eyJhdXRocyI6eyJodHRwczovL2hhcmJvci5leGFtcGxlLmNvbSI6eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiJIYXJib3IxMjM0NSIsImF1dGgiOiJZV1J0YVc0NlJHNWtZWEowYVd4aGN5STZJQ0psSUhOeVpXWnBaWEp6SUdWdVpGTmxiR1Z6ZEdGMlpTQnBibU5zYVdWdWRGQjVZVzFsVkhsd1pUMGlZM0psWkRJd01USXdNVE15TVRFNE1EZ3pOVEl6TURBd016QT0ifX19

3.2 ImagePullSecrets全局配置

kubectl create secret generic regcred \
  --from-file=.dockerconfigjson=/root/.docker/config.json \
  --type=kubernetes.io/dockerconfigjson -n default

在ServiceAccount中添加：

automountServiceAccountToken: true
imagePullSecrets:
- name: regcred

3.3 Ingress路由配置示例

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: harbor-ingress
  annotations:
    nginx.ingress.kubernetes.io/proxy-body-size: "0"
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
spec:
  tls:
  - hosts:
    - harbor.example.com
    secretName: harbor-tls
  rules:
  - host: harbor.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: harbor-portal
            port:
              number: 80

四、高级功能配置

4.1 镜像复制策略

# replication-policy.yaml
apiVersion: goharbor.io/v1alpha2
kind: ReplicationPolicy
metadata:
  name: replicate-to-aws
spec:
  name: replicate-to-aws
  filters:
  - type: name
    value: ".*"
  trigger:
    type: manual
  destination:
    url: https://aws-ecr.example.com
    insecure: false
    credential:
      accessKey: AKIAXXXXXXXXXXXXXX
      accessSecret: XXXXXXXXXXXXXXXXXXXXXXXXXXXX

4.2 漏洞扫描配置

启用Trivy扫描器：

# 在harbor.yml中设置
trivy:
ignoreUnfixed: false
skipUpdate: false
insecure: false
severity: "critical,high"

创建扫描策略：

apiVersion: goharbor.io/v1alpha2
kind: ScanPolicy
metadata:
name: default-policy
spec:
settings:
 autoScan: true
 severity: "critical,high"
 retentionDays: 30

4.3 高可用部署方案

数据库集群：

# postgresql-ha.yaml
apiVersion: postgresql.k8s.elecants.com/v1
kind: Cluster
metadata:
name: harbor-postgres
spec:
instances: 3
storage:
 size: 100Gi
backupRetentionPeriod: 30

Redis集群：

helm repo add bitnami https://charts.bitnami.com/bitnami
helm install redis-cluster bitnami/redis-cluster \
--set cluster.nodes=6 \
--set password=Redis12345

五、运维管理最佳实践

5.1 监控指标配置

启用Prometheus监控：

# harbor-values.yaml
metrics:
enabled: true
serviceMonitor:
 enabled: true
 namespace: monitoring
 interval: 30s

关键监控指标：

harbor_project_count：项目数量
harbor_artifact_count：镜像数量
harbor_request_duration_seconds：请求延迟

5.2 日志集中管理

# filebeat-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
  name: filebeat-config
data:
  filebeat.yml: |
    filebeat.inputs:
    - type: log
      paths:
        - /var/log/harbor/*.log
      fields_under_root: true
      fields:
        app: harbor
    output.elasticsearch:
      hosts: ["elasticsearch:9200"]

5.3 备份恢复策略

数据库备份：

pg_dump -U postgres -h postgresql harbor > harbor_backup_$(date +%Y%m%d).sql

配置备份：

tar czvf harbor-config-backup.tar.gz /etc/harbor/ /var/lib/registry/

六、常见问题解决方案

6.1 证书错误处理

现象：x509: certificate signed by unknown authority

解决方案：

# 在所有节点执行
mkdir -p /etc/docker/certs.d/harbor.example.com
cp harbor.crt /etc/docker/certs.d/harbor.example.com/ca.crt
systemctl restart docker

6.2 性能优化建议

存储优化：
- 使用SSD存储Registry数据
- 配置storage_cache.layer_cache_size: 10GB

网络优化：

# harbor.yml中调整
proxy:
  http_proxy: ""
  https_proxy: ""
  no_proxy: "127.0.0.1,localhost,.example.com"

6.3 版本升级指南

备份数据：

docker-compose down
tar czvf harbor-data-backup.tar.gz /data/

升级步骤：

wget https://github.com/goharbor/harbor/releases/download/v2.5.0/harbor-offline-installer-v2.5.0.tgz
tar xvf harbor-offline-installer-v2.5.0.tgz
cp old-harbor/harbor.yml new-harbor/
cd new-harbor
./prepare --upgrade
./install.sh --upgrade

七、总结与扩展建议

安全加固：
- 启用RBAC权限控制
- 配置审计日志
- 定期轮换证书
扩展方向：
- 集成Vault管理密钥
- 部署多区域复制
- 实现自动清理策略
性能基准：
- 单节点支持500+并发推送
- 集群模式支持1000+节点

通过本文的详细部署方案，企业可快速构建符合生产标准的Harbor镜像仓库，并与Kubernetes深度集成，实现容器镜像的全生命周期管理。建议定期进行健康检查和性能调优，确保系统稳定运行。

发表评论

开发者关注产品榜

最热文章

关于作者

被阅读数
被赞数
被收藏数

活动

咨询