Harbor离线部署实战:从零搭建私有镜像仓库

最新推荐文章于 2026-05-13 05:28:44 发布
原创 最新推荐文章于 2026-05-13 05:28:44 发布 · 923 阅读 · 8 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#Harbor #离线安装 #私有镜像仓库

1. 为什么需要私有镜像仓库

在企业级开发环境中,使用公共镜像仓库存在诸多限制。首先是安全性问题,公共仓库的镜像来源不可控,可能存在恶意代码或漏洞风险。其次是稳定性问题,依赖外网访问会导致构建流程不可控。最后是性能问题,每次拉取镜像都需要从外网下载,严重影响CI/CD效率。

私有镜像仓库就像是你家里的专属冰箱,所有食材(镜像)都经过严格检查,随时取用不受外界干扰。Harbor作为企业级Registry解决方案,提供了镜像同步、漏洞扫描、权限控制等高级功能,特别适合金融、政务等对安全要求高的场景。

我在某金融机构的项目中就遇到过这样的痛点:每次Jenkins构建都要从外网拉取基础镜像,不仅耗时还经常因网络问题失败。后来部署Harbor后,构建时间从原来的15分钟缩短到3分钟,稳定性也大幅提升。

2. 环境准备与离线包获取

2.1 基础环境检查

在开始之前,请确保你的服务器满足以下条件:

  • 操作系统:CentOS 7.6+ 或 Ubuntu 18.04+
  • 内存:至少8GB(4GB可能启动失败)
  • 磁盘空间:100GB以上(镜像很占空间)
  • Docker版本:20.10.5+
  • Docker Compose:v2.2.2+

可以用这些命令检查环境:

# 检查内核版本
uname -r
# 检查Docker状态
docker version
docker-compose version

2.2 离线包获取技巧

Harbor提供两种安装包:

  • 在线包(10MB左右):安装时下载镜像
  • 离线包(1GB左右):包含所有依赖镜像

在内网环境我们当然选择离线包。获取最新版离线包的三种方式:

  1. 通过有外网的机器下载:
wget https://github.com/goharbor/harbor/releases/download/v2.6.1/harbor-offline-installer-v2.6.1.tgz
  1. 使用CDN加速链接(国内访问更快)
  2. 从其他环境导出现有Harbor的镜像包

建议下载后校验SHA256值,避免文件损坏:

sha256sum harbor-offline-installer-v2.6.1.tgz

3. 证书配置实战

3.1 自签名证书生成

生产环境建议使用正规CA证书,测试环境可以用OpenSSL自签证书。这里有个坑要注意:证书必须包含Subject Alternative Name (SAN),否则Docker会报错。

完整生成流程:

# 创建证书目录
mkdir -p /usr/local/harbor/certs && cd $_

# 生成CA私钥
openssl genrsa -out ca.key 4096

# 生成CA证书(有效期10年)
openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Shanghai/L=Shanghai/O=YourCompany/OU=IT/CN=harbor.yourdomain.com" \
 -key ca.key \
 -out ca.crt

# 生成服务器私钥
openssl genrsa -out harbor.yourdomain.com.key 4096

# 生成CSR
openssl req -sha512 -new \
 -subj "/C=CN/ST=Shanghai/L=Shanghai/O=YourCompany/OU=IT/CN=harbor.yourdomain.com" \
 -key harbor.yourdomain.com.key \
 -out harbor.yourdomain.com.csr

# 创建v3.ext文件
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth 
subjectAltName = @alt_names

[alt_names]
DNS.1=harbor.yourdomain.com
DNS.2=harbor
DNS.3=*.yourdomain.com
EOF

# 生成证书
openssl x509 -req -sha512 -days 3650 \
 -extfile v3.ext \
 -CA ca.crt -CAkey ca.key -CAcreateserial \
 -in harbor.yourdomain.com.csr \
 -out harbor.yourdomain.com.crt

3.2 证书转换与配置

Docker对证书格式有特殊要求,需要进行转换:

openssl x509 -inform PEM -in harbor.yourdomain.com.crt -out harbor.yourdomain.com.cert

然后在harbor.yml中配置:

https:
  port: 443
  certificate: /usr/local/harbor/certs/harbor.yourdomain.com.crt
  private_key: /usr/local/harbor/certs/harbor.yourdomain.com.key

4. Harbor安装与初始化

4.1 配置文件详解

解压安装包后,重点修改harbor.yml:

hostname: harbor.yourdomain.com  # 必须与证书CN一致

# 数据持久化目录(建议挂载大容量磁盘)
data_volume: /data/harbor

# 数据库配置(生产环境建议外接数据库)
database:
  password: StrongPassword123
  max_idle_conns: 50
  max_open_conns: 100

# 开启漏洞扫描(需要额外存储空间)
trivy:
  skip_update: true  # 离线环境必须设为true

4.2 安装过程

执行安装脚本时建议记录日志,方便排查问题:

tar -zxvf harbor-offline-installer-v2.6.1.tgz
cd harbor
./install.sh --with-trivy --with-chartmuseum | tee install.log

安装成功后你会看到:

✔ ----Harbor has been installed and started successfully.----

可以用docker-compose检查服务状态:

docker-compose ps

5. Docker客户端配置

5.1 证书分发

每台需要访问Harbor的Docker主机都需要CA证书:

mkdir -p /etc/docker/certs.d/harbor.yourdomain.com
cp ca.crt /etc/docker/certs.d/harbor.yourdomain.com/

5.2 登录验证

测试登录(首次登录需修改admin密码):

docker login harbor.yourdomain.com -u admin -p Harbor12345

如果使用HTTP而非HTTPS,需要修改daemon.json:

{
  "insecure-registries": ["harbor.yourdomain.com"]
}

6. 日常维护技巧

6.1 数据备份

Harbor的数据主要包括:

  • 配置文件:/path/to/harbor.yml
  • 数据卷:/data/harbor
  • 数据库:默认在PostgreSQL容器内

建议的备份方案:

# 备份配置和数据
tar -czvf harbor-backup-$(date +%Y%m%d).tar.gz /path/to/harbor.yml /data/harbor

# 备份数据库
docker exec -it harbor-db pg_dump -U postgres registry > registry.sql

6.2 常见问题解决

问题1:docker login报错x509证书错误

  • 检查证书CN与hostname是否一致
  • 确认客户端已正确安装CA证书
  • 检查系统时间是否准确

问题2:磁盘空间不足

  • 定期清理无用镜像:harbor.yml中设置storage_quota
  • 启用垃圾回收:docker-compose stop -> registry garbage-collect

问题3:容器频繁重启

  • 检查日志:docker-compose logs -f
  • 常见内存不足导致OOM,建议增加swap空间

7. 进阶配置建议

7.1 高可用部署

生产环境建议采用:

  • 后端存储:使用S3或分布式文件系统
  • 数据库:外接PostgreSQL集群
  • 多节点部署:通过负载均衡接入

7.2 与CI/CD集成

在Jenkins中配置:

pipeline {
  environment {
    HARBOR_CREDS = credentials('harbor-credential')
  }
  stages {
    stage('Push Image') {
      steps {
        sh '''
          docker login -u $HARBOR_CREDS_USR -p $HARBOR_CREDS_PSW harbor.yourdomain.com
          docker push harbor.yourdomain.com/myproject/app:${BUILD_NUMBER}
        '''
      }
    }
  }
}

记得在Harbor中创建机器人账户专门用于CI/CD,不要直接使用admin账户。

eee77
关注
Docker(十六):使用Docker部署Harbor私有镜像仓库
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
03-28 4万+
🟢 Docker(十六):使用Docker部署Harbor私有镜像仓库
部署docker私有镜像仓库harbor
m0_55912651的博客
06-20 1927
Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目,它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。
Harbor 离线部署实战:从搭建企业级私有镜像仓库
最新发布
weixin_30706691的博客
05-13 365
本文详细介绍了Harbor离线部署的全过程,包括准备工作、系统环境配置、证书安全加固、服务安装与初始化以及客户端接入与日常运维。通过实战经验分享,帮助企业快速搭建安全稳定的私有镜像仓库,特别适合金融等对安全性要求高的行业。
Harbor离线部署全攻略:从搭建私有镜像仓库
algae的博客
02-24 1009
本文详细介绍了在无外网访问的内网环境中,如何利用官方提供的harbor-offline-installer离线安装包,从开始部署企业级私有镜像仓库Harbor。内容涵盖部署前的Docker与Docker Compose环境准备、核心配置文件harbor.yml的详解与修改、一键安装启动步骤,以及后续的Docker客户端配置、镜像推送拉取测试和进阶运维指南,为内网开发团队提供了一套完整、可靠的私有化镜像管理解决方案。
Kubernetes使用Harbor私有镜像仓库
Java大数据联盟
09-03 3627
Kubernetes使用Harbor私有镜像仓库1 安装说明1.1 安装要求说明1.2 安装版本说明1.3 集群效果说明2 安装步骤2.1 安装Docker2.2 安装Docker-Compose2.3 安装Harbor2.4 配置Docker客户端3 测试3.1 创建Harbor项目3.2 推送Docker镜像3.3 拉取Docker镜像 1 安装说明 1.1 安装要求说明 集群要求说明:在安装 Harbor 私有镜像仓库之前,需要先有一个K8S集群,本文中使用的集群的搭建过程请见 基于CentOS 7
搭建专属Docker镜像仓库Harbor私有仓库全攻略
m0_65643526的博客
08-12 2154
摘要:本文详细介绍了企业级Docker镜像仓库Harbor私有部署方案,解决公共镜像仓库访问慢、不安全等问题。内容涵盖环境准备(Ubuntu系统、Docker安装)、Harbor部署(证书生成、配置文件修改)、Web界面访问配置及镜像推送/拉取操作全流程。通过搭建私有仓库,开发者可获得更稳定快速的镜像管理体验,支持团队协作和版本控制。文章提供了从开始的完整操作指南,包括常见问题解决方案,适合运维和开发人员参考实施。
Docker 搭建本地Harbor私有镜像仓库
2403_86763298的博客
07-13 1539
优势:架构简单、部署成本低、数据冗余可靠,适合中小型企业内部镜像管理;适用场景:内部开发 / 测试环境、非核心生产环境,可接受分钟级故障恢复的场景。
docker-compose;私有镜像仓库harbor搭建;镜像推送到私有仓库harbor
weixin_44681307的博客
11-30 1891
Docker Compose是一个用于定义和运行多容器Docker应用程序的工具。它允许你通过一个单独的YAML文件来定义应用程序的服务、网络和卷等配置,然后使用简单的命令来创建和管理这些容器。 Harbor是一个开源的企业级Docker仓库,提供了一个安全可靠的容器镜像存储和分发解决方案。
部署Harbor私有仓库
2301_81259717的博客
07-12 1552
Harbor简介Docker容器应用的开发和运行离不开可靠的镜像管理,Docker官方提供了原生的Registry,但其功能比较简单,而且没有可视化界面,自然无法满足企业级的需求。虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署私有环境内的Registry也是非常必要的。
离线安装 Harbor:企业级私有镜像仓库搭建指南
m0_46879864的博客
08-19 908
本文介绍了在离线环境中部署Harbor私有镜像仓库的详细步骤。主要内容包括:环境准备(CentOS 7.9系统、Docker 20.10.23等)、安装部署过程(解压安装包、配置harbor.yml文件、执行安装脚本)、以及验证安装的方法(检查服务状态、访问Web界面、推送测试镜像)。Harbor作为企业级镜像管理解决方案,支持镜像存储、访问控制、漏洞扫描等功能,是构建私有容器平台的核心组件。文章还建议参考官方文档进行更高级的配置。
Harbor私有镜像仓库离线部署实战应用
v5w6x的博客
03-08 400
本文详细介绍了企业级私有镜像仓库Harbor离线部署实战应用。针对内网或安全敏感环境,文章提供了从环境准备、离线安装包获取、核心配置到Docker客户端配置的完整步骤,并深入讲解了项目权限管理、镜像推送拉取等日常操作,帮助企业构建安全、可控、高效的内部容器镜像管理体系。
部署harbor私有镜像仓库及k3s离线部署集群
qq_48621236的博客
11-10 980
harbor私有镜像仓库及k3s离线部署集群
Linux离线安装Harbor镜像仓库
qq_33807380的博客
04-25 2759
Harbor是一个开源的企业级Docker Registry管理项目,由VMware公司开源。它提供了比Docker官方公共镜像仓库更为丰富和安全的功能,尤其适合企业环境使用。Harbor的关键特性包括权限管理(RBAC)、LDAP集成、日志审计、管理界面、自我注册、镜像复制以及漏洞扫描等。Harbor的设计旨在支持多用户环境,允许创建不同的用户和组织,并为他们分配不同的权限,确保了资源的安全隔离和管理的灵活性。
第27关 在K8s集群上使用Helm3部署最新版本v2.10.0的私有镜像仓库Harbor
博哥爱运维
12-27 1万+
对于企业服务来说,有些我们是不想把服务镜像放在公网上面的; 同时如果在有内部的镜像仓库,那拉取镜像的速度就会很快,这时候就需要我们来部署公司内部的私有镜像仓库了,这里博哥会使用我们最常用的harbor部署我们内部的私有镜像仓库
搭建Harbor私有镜像仓库
RtxTitanV的博客
07-05 2581
Docker容器应用的开发和运行离不开可靠的镜像管理,部署一个私有镜像仓库是十分有必要的。虽然Docker官方提供了docker-registry用于构建私有镜像仓库。但它的功能没有Harbor丰富,而Harbor提供了包括权限管理(RBAC)、LDAP、审计、安全漏洞扫描、镜像验真、管理界面等功能,基本满足企业级需求,应用也很广泛。
搭建docker镜像仓库(二):使用harbor搭建本地镜像仓库
虚幻私塾
09-06 2374
在使用Docker拉取镜像时,Docker首先默认从Docker Hub官方下载镜像,很多时候我们的镜像都是使用Dockerfile自定义私有镜像,不对外公开,而且为了安全起见,docker可能在内网环境下运行,所以我们有必要搭建一套docker本地私有镜像仓库,以供整个内网集群环境使用。搭建镜像仓库主流的有两种方法,一种是使用docker官方提供的registry镜像搭建仓库,简单快捷,但是功能有限;
一文掌握Harbor镜像同步公有云镜像仓库实践
StevenZeng学堂
10-02 3319
❤️摘要: 在云原生应用的开发和部署过程中,镜像管理是关键的一环。为了保证高效、安全的镜像分发到多云环境,企业往往使用多个公有云的镜像服务建设自有的镜像仓库来存储业务镜像。在本文中,我们将介绍如何将容器镜像从Harbor 推送到 阿里云镜像仓库,实现镜像的同步与加速分发。
企业级Docker镜像仓库harbor部署和使用
紫川秀的博客
02-09 5601
部署企业私有仓库往往是很有必要的, 他可以帮助你管理企业的一些敏感镜像, 同时由于Docker Hub的下载速度和GFW的原因, 往往需要将一些无法直接下载的镜像导入本地私有仓库. 而Harbor就是部署企业私有仓库的一个不二之选。 Harbar简介 Harbor是VMware公司开源了企业级Registry项目, 其的目标是帮助用户迅速搭建一个企业级的Docker registry服...
Harbor私有镜像仓库离线部署-harbor 2.5.3
渡渡甲的博客
07-15 2392
事实上,Harbor是在DockerRegistry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括管理用户界面,基于角色的访问控制,AD/LDAP集成以及审计日志等,足以满足基本企业需求。2、安装Docker和Docker-compose(这里Docker实现安装好了)在线安装从DockerHub下载Harbor相关镜像,因此安装软件包非常小。1、上传下载好的Harbor包和docker-compose。6、现在就可以使用docker-compose进行管理服务。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值