容器镜像仓库Harbor搭建步骤

Harbor 主要特性包括： 1. 基于角色的访问控制（RBAC）：允许管理员根据用户的角色分配访问权限，确保不同的团队或项目能够按需访问其镜像资源，符合企业内部的安全策略和合规要求。 2. 管理用户界面：提供直观的 Web UI，便于用户管理和浏览镜像，以及进行权限配置、策略管理等操作。 3. AD/LDAP 集成：可以与现有的 Active Directory 或 LDAP 目录服务集成，实现用户身份验证和授权，简化用户管理流程。 4. 镜像复制：支持跨数据中心或跨云环境的镜像复制功能，有助于实现地理分布式部署和数据同步。 5. 镜像签名与验证：增强镜像的安全性，通过签名机制确保镜像的完整性和来源可信。 6. 安全扫描：集成了漏洞扫描功能，能够在推送或拉取镜像时自动扫描镜像中的已知安全漏洞，提高容器应用的安全性。 7. 日志与审计：记录操作日志，便于跟踪和审计，满足企业对于合规性的要求。 8. 多租户支持：为不同的团队或项目提供隔离的命名空间，确保资源不被误操作或非法访问。 9. 符合 OCI 标准：不仅支持 Docker 镜像，还兼容 OCI 规范的其他类型制品，适应更广泛的云原生生态。 Harbor 通过上述特性，为企业的容器化应用提供了从开发到生产的全生命周期管理方案，是构建企业级容器平台不可或缺的组件之一。用户可以通过命令行工具或图形界面与其交互，执行镜像的推送、拉取、删除等操作。

Harbor搭建步骤

搭建 Harbor 容器镜像仓库涉及几个关键步骤，以下是基于 CentOS 系统使用 Docker 和 Docker Compose 的一个简化版搭建过程。

准备工作

1. 系统要求：确保你的系统满足 Harbor 的最低硬件和软件要求，通常需要 CentOS 7+，Docker 19.03+，以及 Docker Compose。

2. 安装 Docker 和 Docker Compose：

- 使用 yum 或 dnf 安装 Docker：

sudo yum install docker-ce docker-ce-cli containerd.io

- 启动并设置 Docker 自启动：

sudo systemctl start docker

sudo systemctl enable docker

- 安装 Docker Compose，可以从 Docker 官网下载最新版本的二进制文件并按照指示安装。

下载 Harbor 安装包

访问 Harbor 的 GitHub 仓库（https://github.com/goharbor/harbor/releases）获取最新版本的发行包。例如，使用 wget 下载：

wget https://github.com/goharbor/harbor/releases/download/vX.Y.Z/harbor-online-installer-vX.Y.Z.tgz

其中 `X.Y.Z` 是你要安装的 Harbor 版本号。

解压并准备配置文件

解压缩下载的文件，并修改配置文件（如果需要）：

tar xvf harbor-online-installer-vX.Y.Z.tgz

cd harbor

vi harbor.yml

在 `harbor.yml` 中，你可以配置诸如端口、数据库、存储、认证方式等。默认配置适用于大多数场景，但根据你的实际环境可能需要调整。

安装 Harbor

以 root 用户身份执行安装脚本：

./install.sh --with-clair --with-chartmuseum

这里 `--with-clair` 和 `--with-chartmuseum` 是可选参数，分别用于启用安全扫描和 Helm Chart 存储功能。

启动 Harbor

安装完成后，使用 Docker Compose 启动 Harbor 服务：

cd /usr/local/harbor

sudo docker-compose up -d

访问 Harbor

- 如果你的服务器有公网 IP 并且你已经正确配置了端口映射，可以通过浏览器访问 `http://your_server_ip:port`（默认端口是 80）。

- 登录 Harbor，默认的管理员用户名和密码通常是 `admin/Harbor12345`，首次登录会被要求修改密码。

注意事项

- 在生产环境中，务必遵循最佳实践，比如使用 HTTPS、配置备份策略、监控 Harbor 状态等。

- 按照官方文档检查和调整防火墙规则，确保所需端口开放。

- 定期更新 Harbor 到最新版本以获得安全更新和新功能。