一、环境准备与前提条件

1.1 Kubernetes集群基础要求

Kubernetes集群需满足以下核心条件：

• 版本要求：建议使用1.18+稳定版本，确保支持Ingress、StatefulSet等关键功能
• 节点资源：至少2个Worker节点（建议4核8G+配置），预留10%资源用于系统组件
• 网络插件：需部署Calico/Flannel等CNI插件，确保Pod间网络互通
• 存储方案：配置StorageClass（如NFS/Ceph），为Harbor提供持久化存储

1.2 Docker环境配置

在所有节点执行以下操作：

# 安装Docker CE
curl -fsSL https://get.docker.com | sh
# 配置cgroup驱动（与kubelet一致）
cat > /etc/docker/daemon.json <<EOF
{
  "exec-opts": ["native.cgroupdriver=systemd"],
  "registry-mirrors": ["https://<mirror>.mirror.aliyuncs.com"]
}
EOF
systemctl restart docker

1.3 Helm安装配置

推荐使用Helm3管理Harbor部署：

# 安装Helm
curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3
chmod 700 get_helm.sh && ./get_helm.sh
# 添加Harbor仓库
helm repo add harbor https://helm.goharbor.io

二、Harbor私有仓库搭建

2.1 部署架构设计

推荐采用高可用架构：

• 数据库：外部PostgreSQL（1主1备）
• 存储：分布式对象存储（MinIO/S3）
• 缓存：Redis集群（3节点）
• 负载均衡：Nginx Ingress Controller

2.2 Helm部署Harbor

创建values-custom.yaml自定义配置：

expose:
  type: ingress
  tls:
    enabled: true
    certSource: secret
    secret:
      secretName: "harbor-tls"
      namespace: "harbor"
  ingress:
    hosts:
      - core: harbor.example.com
      - notary: notary.example.com
persistence:
  persistentVolumeClaim:
    registry:
      storageClass: "managed-nfs-storage"
      accessMode: ReadWriteOnce
      size: 100Gi
database:
  internal:
    password: "Harbor12345"

执行部署命令：

kubectl create ns harbor
helm install harbor harbor/harbor -f values-custom.yaml -n harbor

2.3 关键配置验证

1. 检查Pod状态：

   kubectl get pods -n harbor | grep -v Running | wc -l

2. 验证Ingress路由：

   curl -I https://harbor.example.com

3. 初始化管理员账户：

   kubectl logs -n harbor <harbor-core-pod> | grep "admin password"

三、Docker镜像管理

3.1 镜像推送配置

1. 配置Docker信任证书：

   mkdir -p /etc/docker/certs.d/harbor.example.com
   scp root@harbor-server:/path/to/ca.crt /etc/docker/certs.d/harbor.example.com/

2. 登录Harbor仓库：

   docker login harbor.example.com
   # 输入用户名/密码（admin/初始化密码）

3.2 镜像构建规范

推荐使用多阶段构建的Dockerfile示例：

# 基础镜像层
FROM eclipse-temurin:17-jdk-jammy as builder
WORKDIR /app
COPY . .
RUN ./gradlew bootJar
# 运行时镜像层
FROM eclipse-temurin:17-jre-jammy
WORKDIR /app
COPY --from=builder /app/build/libs/*.jar app.jar
EXPOSE 8080
ENTRYPOINT ["java","-jar","app.jar"]

3.3 镜像命名规范

遵循以下命名规则：

harbor.example.com/<project>/<app-name>:<version>-<env>
# 示例：
harbor.example.com/devops/user-service:1.0.2-prod

四、SpringBoot应用部署

4.1 Kubernetes部署清单

创建deployment.yaml示例：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: user-service
spec:
  replicas: 3
  selector:
    matchLabels:
      app: user-service
  template:
    metadata:
      labels:
        app: user-service
    spec:
      containers:
      - name: user-service
        image: harbor.example.com/devops/user-service:1.0.2-prod
        ports:
        - containerPort: 8080
        resources:
          requests:
            cpu: "500m"
            memory: "512Mi"
          limits:
            cpu: "1000m"
            memory: "1Gi"
        envFrom:
        - configMapRef:
            name: user-service-config
        - secretRef:
            name: user-service-secrets

4.2 配置管理方案

1. ConfigMap配置示例：

   kubectl create configmap user-service-config \
   --from-literal=SPRING_PROFILES_ACTIVE=prod \
   --from-literal=SERVER_PORT=8080 \
   --from-literal=DB_URL=jdbc//db-cluster:5432/userdb

2. Secret加密配置：

   kubectl create secret generic user-service-secrets \
   --from-literal=DB_PASSWORD=$(openssl rand -base64 32)

4.3 服务暴露与监控

1. 创建Service资源：

   apiVersion: v1
   kind: Service
   metadata:
   name: user-service
   spec:
   selector:
    app: user-service
   ports:
    - protocol: TCP
      port: 80
      targetPort: 8080
   type: ClusterIP

2. 配置Ingress路由：

   apiVersion: networking.k8s.io/v1
   kind: Ingress
   metadata:
   name: user-service-ingress
   annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
   spec:
   rules:
   - host: api.example.com
    http:
      paths:
      - path: /users
        pathType: Prefix
        backend:
          service:
            name: user-service
            port:
              number: 80

五、运维与优化建议

5.1 镜像安全扫描

配置Harbor自动扫描：

1. 启用Trivy集成：

   # 在values-custom.yaml中添加
   trivy:
   enabled: true
   ignoreUnfixed: false
   skipUpdate: false

2. 创建扫描策略：

   curl -X POST "https://harbor.example.com/api/v2.0/projects/1/policies/vulnerability" \
   -H "accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
    "name": "critical-only",
    "project_id": 1,
    "severity": "critical",
    "automated": true
   }'

5.2 性能优化建议

1. 镜像优化：

• 使用Distroless基础镜像
• 启用Layer缓存
• 压缩镜像层

1. 部署优化：

• 配置PodDisruptionBudget
• 启用HPA自动扩缩容

  apiVersion: autoscaling/v2
  kind: HorizontalPodAutoscaler
  metadata:
  name: user-service-hpa
  spec:
  scaleTargetRef:
    apiVersion: apps/v1
    kind: Deployment
    name: user-service
  minReplicas: 2
  maxReplicas: 10
  metrics:
  - type: Resource
    resource:
      name: cpu
      target:
        type: Utilization
        averageUtilization: 70

5.3 备份恢复方案

1. 定期备份配置：
   ```bash

   备份Harbor数据库

   kubectl exec -n harbor — \
   pg_dump -U postgres -h localhost harbor > harbor_backup.sql

备份持久化数据

kubectl cp -n harbor :/storage /backup/harbor_data

2. 灾难恢复流程：
- 重建K8s集群
- 重新部署Harbor
- 恢复数据库备份
- 导入镜像数据
# 六、常见问题解决方案
## 6.1 镜像推送失败排查
1. 检查证书有效性：
```bash
openssl s_client -connect harbor.example.com:443 -showcerts

1. 验证权限配置：

   kubectl logs -n harbor <harbor-core-pod> | grep "permission denied"

6.2 Pod启动异常处理

1. 检查镜像拉取：

   kubectl describe pod <pod-name> | grep "Failed to pull image"

2. 查看容器日志：

   kubectl logs -n <namespace> <pod-name> --previous

6.3 性能瓶颈分析

1. 资源监控：

   kubectl top pods -n <namespace> --containers

2. 网络诊断：

   kubectl get endpoints <service-name>
   kubectl describe svc <service-name>

通过以上完整方案，开发者可以在Kubernetes环境中构建安全、高效的Docker+Harbor私有镜像仓库，并实现SpringBoot应用的标准化部署。建议结合具体业务场景调整参数配置，定期进行安全审计和性能优化。