Harbor私有仓库搭建与运维全攻略

1. Harbor私有仓库构建指南

在企业级容器化部署中，镜像管理是DevOps流程的关键环节。Harbor作为CNCF毕业项目，提供了企业级的Registry解决方案。本文将详细介绍如何从零开始搭建个人专属的Harbor私有仓库，涵盖安装配置、权限管理到日常运维的全套实践方案。

提示：生产环境建议使用https协议，本文示例为演示方便使用http，实际部署时请配置有效SSL证书

1.1 环境准备

基础环境要求：

• Linux服务器（本文以CentOS 7.9为例）
• Docker 20.10.0+
• Docker Compose 1.29.2+
• 至少4核CPU/8GB内存/100GB存储

bash复制# 验证Docker环境
docker --version
docker-compose --version

存储规划建议：

• /data：Harbor数据目录（建议单独挂载）
• /var/log/harbor：日志目录
• /backup：定期备份目录

2. Harbor安装部署

2.1 获取安装包

官方提供两种安装方式：

1. 在线安装包（约500MB）
2. 离线安装包（约900MB）

bash复制wget https://github.com/goharbor/harbor/releases/download/v2.6.0/harbor-offline-installer-v2.6.0.tgz
tar xvf harbor-offline-installer-v2.6.0.tgz
cd harbor

2.2 配置文件修改

核心配置文件harbor.yml需要调整以下参数：

yaml复制hostname: registry.yourdomain.com  # 修改为实际域名或IP
http:
  port: 80
harbor_admin_password: Harbor12345  # 建议修改复杂密码
database:
  password: root123  # 数据库密码
data_volume: /data/harbor  # 数据存储路径

注意：生产环境必须配置https，证书需包含hostname指定的域名

2.3 执行安装脚本

bash复制./install.sh

安装过程会：

1. 加载Docker镜像（约10个服务组件）
2. 初始化数据库
3. 启动各服务容器
4. 创建默认管理员账户

验证服务状态：

bash复制docker-compose ps

正常应显示10个服务均为"Up"状态

3. 核心功能配置

3.1 用户与权限管理

Harbor提供三级权限体系：

1. 系统管理员：管理所有项目
2. 项目管理员：管理指定项目
3. 开发者：推送/拉取镜像

创建项目示例：

1. 登录Admin控制台
2. 进入"项目"→"新建项目"
3. 设置项目名称（如dev-team）
4. 配置访问级别（公开/私有）

3.2 镜像同步策略

配置远程仓库同步：

1. 进入"管理"→"注册表"
2. 添加远程仓库（如Docker Hub）
3. 设置同步规则（定时/手动）
4. 配置过滤器（按名称/标签）

yaml复制# 示例复制策略
filters:
  - repository: library/nginx
    tag: "1.21.*"
    labels: ["production"]

3.3 漏洞扫描集成

启用Trivy扫描器：

1. 编辑harbor.yml

yaml复制trivy:
  ignore_unfixed: true
  skip_update: false

2. 重新部署

bash复制./install.sh --with-trivy

扫描策略配置：

• 定时扫描：每日凌晨执行
• 推送时扫描：镜像上传后自动触发
• 手动扫描：按需执行

4. 日常运维实践

4.1 备份与恢复

完整备份方案：

bash复制# 数据备份
tar czvf harbor-backup-$(date +%Y%m%d).tar.gz /data/harbor

# 数据库备份
docker exec -it harbor-db pg_dump -U postgres registry > registry.sql

# 配置备份
cp -r /opt/harbor /backup/harbor-conf

恢复流程：

1. 停止Harbor服务
2. 还原数据文件
3. 导入数据库
4. 重启服务

4.2 性能调优

常见优化参数：

yaml复制# harbor.yml调优项
log:
  level: info
  rotate_count: 50
  rotate_size: 200MB

jobservice:
  max_job_workers: 10

registry:
  cache:
    layer: filesystem
    blobdescriptor: redis

4.3 监控配置

Prometheus监控指标：

• 容器状态
• API请求量
• 存储空间使用率
• 扫描任务队列

Grafana看板示例：

1. 容器内存/CPU使用率
2. 镜像推送/拉取次数
3. 漏洞扫描结果统计
4. 存储空间趋势图

5. 典型问题排查

5.1 镜像推送失败

常见错误及解决方案：

5.2 存储空间不足

清理策略：

1. 按标签保留策略

bash复制harbor retention --project dev-team --keep-tags 5

2. 定时清理无效镜像

bash复制docker exec harbor-registry registry garbage-collect /etc/registry/config.yml

3. 启用存储配额限制

5.3 高可用方案

生产环境推荐架构：

• 前端：Nginx+Keepalived
• 后端：Harbor多实例+共享存储
• 数据库：PostgreSQL主从
• Redis：哨兵模式

部署步骤：

1. 配置共享存储（NFS/CEPH）
2. 部署数据库集群
3. 同步Harbor配置文件
4. 配置负载均衡

6. 进阶使用技巧

6.1 与CI/CD集成

Jenkins流水线示例：

groovy复制pipeline {
  agent any
  stages {
    stage('Build') {
      steps {
        sh 'docker build -t ${REGISTRY}/dev-team/app:${BUILD_NUMBER} .'
      }
    }
    stage('Push') {
      steps {
        withCredentials([usernamePassword(
          credentialsId: 'harbor-creds',
          usernameVariable: 'USER',
          passwordVariable: 'PASS'
        )]) {
          sh '''
            docker login -u $USER -p $PASS ${REGISTRY}
            docker push ${REGISTRY}/dev-team/app:${BUILD_NUMBER}
          '''
        }
      }
    }
  }
}

6.2 自定义扩展

Webhook配置示例：

yaml复制# harbor.yml配置
notifications:
  webhooks:
    - name: slack-alert
      url: https://hooks.slack.com/services/...
      events:
        - push
        - delete
      attach_payload: true

6.3 版本升级策略

稳妥升级步骤：

1. 查看版本兼容性矩阵
2. 完整备份数据和配置
3. 停止当前版本服务
4. 获取新版本安装包
5. 迁移配置文件
6. 执行升级脚本
7. 验证服务功能

升级回滚方案：

1. 恢复备份数据
2. 回退到旧版本镜像
3. 重建数据库索引
4. 重启旧版本服务

我在实际运维中发现，定期执行registry garbage-collect能有效回收存储空间，建议每月至少执行一次。对于频繁更新的开发环境，可以设置标签保留策略自动清理旧镜像。