Harbor 从入门到精通

摘要

Harbor 是一个企业级的容器镜像仓库，提供了镜像存储、访问控制、安全扫描等功能。本文将从 Harbor 的基础概念入手，逐步深入讲解其架构设计、安装部署、使用方法、应用场景以及开发和使用过程中的注意事项。通过详细的代码示例、架构图和流程图，帮助读者快速掌握 Harbor 的核心知识，并能够将其应用于实际项目中。最后，本文将总结 Harbor 的优势和局限性，并提供一些优化建议和参考文献。

---

一、引言

随着容器技术的普及，Docker 镜像的管理和分发成为企业级应用中的重要问题。Harbor 作为一个开源的容器镜像仓库，提供了企业级的解决方案，满足了镜像存储、安全管理和高效分发的需求。本文将为读者提供一份全面的 Harbor 学习指南，帮助读者从入门到精通。

---

二、Harbor 概念讲解

（一）Harbor 简介

Harbor 是一个用于存储和分发 Docker 镜像的企业级 Registry 服务器。它在 Docker 的开源项目 Distribution 的基础上，添加了一些企业需要的功能特性，如镜像同步复制、漏洞扫描和权限管理等。

（二）Harbor 的主要功能

1. 基于角色的访问控制：通过项目组织用户和镜像，支持精细化的权限管理。

2. 镜像复制：支持多种注册表之间的镜像复制，适用于多数据中心和混合云场景。

3. 镜像签名和安全扫描：集成 Notary 和 Clair，提供镜像签名和漏洞扫描功能。

4. 多租户支持：通过项目机制支持多租户，便于不同团队独立管理自己的镜像仓库。

5. 用户认证：支持与 LDAP/AD 集成，实现统一的用户认证和授权。

6. 审计日志：提供详细的操作日志，便于管理员审计和追踪用户操作。

---

三、Harbor 架构

（一）架构总览

Harbor 的架构设计遵循微服务原则，由多个松耦合的组件组成，每个组件负责不同的功能模块。以下是 Harbor 的架构图：

（二）架构组件

1. 代理层

   • 使用 Nginx 作为反向代理，接收客户端请求并转发到后端服务。

2. 功能层

   • Portal：提供用户界面，用于管理镜像和项目。

   • Core：封装了 Harbor 的核心业务逻辑。

   • JobService：负责异步任务，如镜像复制、扫描和垃圾回收。

   • Docker Distribution：实现镜像的读写和存取功能。

   • RegistryCtl：控制 Docker Distribution 的运行。

   • Notary：提供镜像签名管理功能。

   • 扫描工具：用于检测镜像中的安全漏洞。

   • ChartMuseum：管理 Helm Chart。

3. 数据层

   • Redis：作为缓存服务，存储生命周期较短的数据。

   • PostgreSQL：存储 Harbor 的应用数据，如项目信息、用户关系等。

---

四、Harbor 安装与部署

（一）安装步骤

1. 下载安装包

   • 从 Harbor 官方网站 下载适合操作系统的安装包。

2. 解压安装包

   • 将下载的安装包解压到指定目录。

3. 配置 harbor.yml 文件

   • 编辑 harbor.yml 文件，配置 Harbor 的运行参数，如主机名、管理员密码等。

4. 运行安装脚本

   • 执行 ./install.sh 安装 Harbor。

（二）配置 SSL

1. 生成私钥和 CSR 文件

   • 使用 OpenSSL 生成私钥和证书签名请求（CSR）文件。

2. 提交 CSR 到 CA

   • 将 CSR 文件提交到证书颁发机构（CA），请求签发证书。

3. 配置 SSL 证书

   • 将 CA 签发的证书和私钥配置到 Harbor 的 Nginx 服务中。

（三）启动 Harbor

• 使用 docker-compose up -d 命令启动 Harbor。

---

五、Harbor 使用方法

（一）用户管理

1. 创建用户

   • 在 Harbor 的 Web 界面上，进入“用户管理”页面，创建新用户。

2. 分配角色

   • 为用户分配不同的角色，如管理员、开发者等。

（二）项目管理

1. 创建项目

   • 在 Harbor 的 Web 界面上，进入“项目管理”页面，创建新项目。

2. 管理镜像

   • 在项目中上传、下载和管理镜像。

（三）镜像推送与拉取

1. 推送镜像

   • 使用 Docker 命令将镜像推送到 Harbor：

     docker tag myimage:latest 192.168.1.10/library/myimage:latest
     docker push 192.168.1.10/library/myimage:latest

2. 拉取镜像

   • 使用 Docker 命令从 Harbor 拉取镜像：

     docker pull 192.168.1.10/library/myimage:latest

---

六、Harbor 应用场景

（一）容器化应用开发和部署

• 开发人员可以将构建好的镜像推送到 Harbor 中进行存储和管理。在部署阶段，运维人员可以从 Harbor 中拉取镜像，部署到生产环境中。

（二）多环境镜像分发**

• 对于企业内部有多个开发、测试和生产环境的情况，Harbor 可以方便地实现镜像在不同环境之间的分发和同步。

（三）容器镜像安全管理**

• 通过安全扫描功能，企业可以及时发现和修复镜像中的安全漏洞，降低安全风险。

---

七、Harbor 注意事项

（一）性能优化

1. 合理配置存储

   • 根据实际需求配置存储容量，确保镜像的存储和读写性能。

2. 使用缓存

   • 合理使用 Redis 缓存，提高系统的响应速度。

（二）安全性**

1. 启用 SSL

   • 始终使用 SSL 加密通信，防止镜像数据泄露。

2. 定期更新

   • 定期更新 Harbor 和相关组件，修复安全漏洞。

（三）备份与恢复**

1. 定期备份

   • 定期备份 Harbor 的配置文件和数据库，防止数据丢失。

2. 测试恢复

   • 定期测试备份的恢复功能，确保备份有效。

---

八、Harbor 数据流图

（一）镜像推送流程

（二）镜像拉取流程

---

九、总结

Harbor 是一个功能强大、安全可靠的企业级容器镜像仓库。通过本文的介绍，读者可以快速掌握 Harbor 的基础概念、架构设计、安装部署、使用方法、应用场景以及开发和使用过程中的注意事项。Harbor 的优势在于其企业级特性、高可用性和安全性，但也需要注意性能优化和安全性问题。希望本文能够帮助读者从入门到精通 Harbor，并在实际项目中发挥其强大的功能。

---

十、引用

1. Harbor 官方文档：Harbor docs | Harbor 2.13 Documentation

2. Harbor GitHub 仓库：https://github.com/goharbor/harbor

3. Docker 官方文档：Docker Docs