Harbor容器镜像仓库实战：从安装配置到高可用部署的完整指南

【免责声明：本文由AI辅助生成，内容仅供参考，不构成专业建议。】

Harbor容器镜像仓库实战：从安装配置到高可用部署的完整指南

Harbor是企业级容器镜像仓库。本文分享Harbor的安装配置、高可用部署和安全配置的完整经验。

Harbor概述

核心功能：容器镜像存储和分发、镜像安全扫描、镜像签名、访问控制、镜像复制。

核心概念：Registry（镜像仓库）、Repository（镜像仓库）、Tag（镜像标签）、Artifact（制品）。

版本说明：Harbor 2.x支持OCI标准，支持Helm Chart等制品存储。

Docker Compose安装

下载安装包：wget https://github.com/goharbor/harbor/releases/download/v2.10.0/harbor-offline-installer-v2.10.0.tgz

配置harbor.yml：hostname、port、admin_password、database、storage配置。

配置HTTPS：生产环境必须配置HTTPS。生成自签名证书或使用Let’s Encrypt。

启动Harbor：./install.sh –with notary –with trivy。安装Trivy安全扫描和Notary镜像签名。

Kubernetes集成

Image Pull Secret：kubectl create secret docker-registry harbor-secret –docker-server=harbor.example.com –docker-username=admin –docker-password=Harbor12345 –docker-email=user@example.com

Pod引用Secret：在Pod Spec中引用Image Pull Secret。

Robot Account：在Harbor Web UI创建Robot账户，用于Kubernetes拉取镜像。

Trivy Scanner：Harbor集成Trivy进行镜像漏洞扫描。自动扫描上传的镜像。

高可用部署

多副本部署：Kubernetes上部署多个Harbor副本。使用共享存储（NFS、Ceph）。

数据库高可用：使用外部PostgreSQL主从复制。保证数据库高可用。

Redis高可用：使用Redis Sentinel或Cluster模式。

负载均衡：前端使用Nginx或Ingress做负载均衡。

安全配置

用户权限：创建项目、分配成员、设置角色（Guest/Developer/Maintainer/Admin）。

镜像签名：启用Notary，强制要求镜像签名。保证镜像来源可信。

漏洞扫描：启用Trivy自动扫描。设置漏洞阻断策略，高危漏洞阻止部署。

内容信任：配置Docker Content Trust。确保只拉取签名镜像。

镜像管理最佳实践

命名规范：registry/project/image:tag。清晰的命名便于管理。

版本策略：latest用于开发、语义化版本用于生产。生产禁止使用latest。

清理策略：配置镜像自动清理策略。删除不活跃的镜像和未使用的tag。

复制策略：配置跨数据中心镜像复制。提高镜像获取速度和可用性。

运维管理

日志管理：配置Harbor日志收集到ELK或Loki。监控告警：监控Harbor服务状态和资源使用。备份恢复：定期备份Harbor数据库和存储。版本升级：参考官方升级文档，测试环境先行。

更多技术文章：https://blog.hanyucloud.com | 客服：400-880-3980