Harbor私有镜像仓库搭建指南：从零开始的完整部署教程

一、Harbor简介与核心价值

Harbor是由VMware开源的企业级Docker镜像仓库，提供镜像存储、访问控制、镜像签名及漏洞扫描等核心功能。相较于公有云镜像服务，Harbor具有三大优势：

1. 数据主权控制：所有镜像数据存储在企业私有环境
2. 网络性能优化：避免公有云跨区域传输的延迟问题
3. 安全合规保障：满足金融、政务等行业的等保要求

典型应用场景包括：

• 微服务架构下的镜像集中管理
• 离线环境中的镜像分发
• 开发-测试-生产环境的镜像同步
• 混合云架构的镜像统一管理

二、部署环境准备

2.1 硬件配置要求

组件	最低配置	推荐配置
服务器	2核4G	4核8G+
磁盘空间	40GB	200GB+（SSD优先）
网络带宽	100Mbps	千兆网络

2.2 软件依赖检查

# 检查Docker版本（需17.06+）
docker --version
# 检查Docker Compose版本（需1.18.0+）
docker-compose --version
# 安装依赖包（以CentOS为例）
yum install -y yum-utils device-mapper-persistent-data lvm2

2.3 网络环境配置

• 开放端口：80, 443, 4443（默认）
• 防火墙规则示例：

  firewall-cmd --permanent --add-port={80,443,4443}/tcp
  firewall-cmd --reload

三、Harbor安装部署流程

3.1 下载安装包

# 获取最新版本（示例为2.5.0）
wget https://github.com/goharbor/harbor/releases/download/v2.5.0/harbor-offline-installer-v2.5.0.tgz
tar xvf harbor-offline-installer-v2.5.0.tgz
cd harbor

3.2 配置文件修改

编辑harbor.yml核心配置项：

hostname: harbor.example.com  # 需配置DNS解析
http:
  port: 80
https:
  certificate: /data/cert/server.crt
  private_key: /data/cert/server.key
harbor_admin_password: Harbor12345  # 默认管理员密码
database:
  password: root123
  max_open_conns: 1000
  max_idle_conns: 500
storage_driver:
  name: filesystem
  filesystem:
    rootdirectory: /var/lib/harbor

3.3 安装执行

# 生成自签名证书（生产环境建议使用CA证书）
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout /data/cert/server.key -out /data/cert/server.crt \
  -subj "/CN=harbor.example.com"
# 执行安装
./install.sh --with-trivy  # 包含漏洞扫描组件

四、核心功能配置

4.1 项目管理配置

通过Web界面（默认端口80）进行操作：

1. 创建项目组（如dev/test/prod）
2. 设置项目访问权限：
   • 公开项目：所有用户可拉取
   • 私有项目：需授权访问
3. 配置镜像自动清理策略：

   {
     "policy": [
       {
         "disabled": false,
         "rules": [
           {
             "action": "retain",
             "params": {
               "latestPushedN": 5
             },
             "tagSelectors": ["**"]
           }
         ]
       }
     ]
   }

4.2 复制策略配置

跨集群镜像同步示例：

# 源仓库配置
source:
  type: harbor
  url: https://source-harbor.example.com
  username: admin
  password: Harbor12345
# 目标仓库配置
destination:
  type: harbor
  url: https://dest-harbor.example.com
  username: admin
  password: Harbor12345
# 复制规则
rules:
  - name: "prod-to-test"
    src_filters:
      - repository: "library/**"
    dest_namespace: "library"
    trigger:
      type: "manual"

4.3 漏洞扫描配置

启用Trivy扫描组件：

# 修改harbor.yml
trivy:
  ignore_unfixed: false
  skip_update: false
  insecure: false
  severity: "CRITICAL,HIGH"

扫描结果查看：

# 通过API获取扫描报告
curl -u admin:Harbor12345 \
  -X GET "https://harbor.example.com/api/v2.0/projects/1/repositories/library%2Fnginx/artifacts/latest/vulnerabilities"

五、高级运维技巧

5.1 性能优化方案

1. 数据库调优：

   -- 修改PostgreSQL配置
   ALTER SYSTEM SET max_connections = 500;
   ALTER SYSTEM SET shared_buffers = 256MB;

2. 缓存配置：

   # 在harbor.yml中配置
   cache:
     enabled: true
     layer_cache_size: 10GB

3. 存储优化：

   • 使用对象存储（如MinIO、S3）
   • 配置存储类策略：

     {
       "storage": {
         "filesystem": {
           "rootdirectory": "/var/lib/harbor",
           "storage_class": "standard"
         }
       }
     }

5.2 高可用架构

1. 主从复制架构：

   • 主库处理写操作
   • 从库提供读服务
   • 配置Keepalived实现VIP切换

2. 集群部署方案：

   # 修改harbor.yml支持集群
   cluster:
     enable: true
     nodes:
       - name: node1
         hostname: harbor-node1
         http_port: 80
       - name: node2
         hostname: harbor-node2
         http_port: 80

5.3 监控告警配置

1. Prometheus监控：

   # 添加prometheus配置
   metrics:
     enabled: true
     core:
       address: 0.0.0.0
       port: 9090

2. 告警规则示例：

   groups:
   - name: harbor.rules
     rules:
     - alert: HighDiskUsage
       expr: (node_filesystem_avail_bytes{fstype="xfs"} / node_filesystem_size_bytes{fstype="xfs"}) * 100 < 20
       for: 5m
       labels:
         severity: warning
       annotations:
         summary: "磁盘空间不足 {{ $labels.instance }}"

六、常见问题解决方案

6.1 证书问题处理

错误现象：x509: certificate signed by unknown authority

解决方案：

1. 将CA证书添加到Docker信任链：

   mkdir -p /etc/docker/certs.d/harbor.example.com
   cp /data/cert/server.crt /etc/docker/certs.d/harbor.example.com/ca.crt
   systemctl restart docker

2. 登录时指定证书：

   docker login --tlsverify harbor.example.com \
     --tlscacert=/data/cert/server.crt \
     --tlscert=/path/to/client.cert \
     --tlskey=/path/to/client.key

6.2 性能瓶颈分析

诊断工具：

# 监控Harbor组件状态
docker-compose ps
# 查看日志
docker-compose logs -f core
# 性能分析
top -p $(pgrep -f harbor)

优化建议：

• 增加Registry内存限制（修改docker-compose.yml）
• 启用Redis缓存
• 优化数据库查询

6.3 升级维护流程

1. 备份数据：

   # 备份数据库
   docker exec -it harbor-db pg_dump -U postgres -F c registry > registry.dump
   # 备份配置文件
   cp harbor.yml harbor.yml.bak

2. 执行升级：

   # 下载新版本
   wget https://github.com/goharbor/harbor/releases/download/v2.6.0/harbor-offline-installer-v2.6.0.tgz
   # 停止服务
   docker-compose down
   # 替换二进制文件
   tar xvf harbor-offline-installer-v2.6.0.tgz -C /opt --strip-components=1
   # 启动服务
   docker-compose up -d

七、最佳实践建议

1. 安全配置：

   • 启用双因素认证
   • 定期轮换管理员密码
   • 限制API访问频率

2. 备份策略：

   • 每日全量备份
   • 每周异地备份
   • 保留最近30天的备份

3. 版本管理：

   • 保持主版本一致（如全部使用2.x）
   • 避免跨大版本升级
   • 升级前在测试环境验证

4. 容量规划：

   • 按镜像增长量预留30%空间
   • 定期清理未使用的镜像
   • 监控存储使用趋势

通过本教程的系统学习，开发者可以掌握Harbor从基础部署到高级运维的全流程技能。实际部署时建议先在测试环境验证配置，再逐步推广到生产环境。对于大型企业，建议结合CI/CD流水线实现镜像的自动构建、扫描和部署，构建完整的DevOps体系。