)
企业级私有镜像仓库实战:CentOS 7环境下Harbor 2.3.3高可用部署指南
在云原生技术快速发展的今天,企业对于容器镜像管理的需求日益增长。作为CNCF毕业项目,Harbor凭借其企业级特性成为私有镜像仓库的首选方案。本文将带您从零开始,在CentOS 7系统上完成Harbor 2.3.3的完整部署,并分享实际生产环境中的优化技巧和故障排查经验。
1. 环境准备与基础配置
部署Harbor前,确保您的CentOS 7系统满足以下基础要求:
- 最小化安装的CentOS 7.6或更高版本
- 4核CPU及以上配置
- 8GB内存及以上(生产环境建议16GB+)
- 100GB可用磁盘空间(镜像存储需求随使用增长)
1.1 系统基础优化
# 关闭SELinux(需重启生效) sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config # 关闭防火墙(内网环境建议) systemctl stop firewalld systemctl disable firewalld # 设置时区并同步时间 timedatectl set-timezone Asia/Shanghai yum install -y ntpdate ntpdate ntp.aliyun.com1.2 Docker环境部署
Harbor 2.3.3对Docker版本有特定要求,推荐使用以下版本组合:
| 组件 | 推荐版本 | 最低要求 |
|---|---|---|
| Docker | 20.10.12 | 17.06.0+ |
| Docker Compose | 1.29.2 | 1.18.0+ |
# 安装Docker CE yum install -y yum-utils device-mapper-persistent-data lvm2 yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum install -y docker-ce-20.10.12 docker-ce-cli-20.10.12 containerd.io # 配置Docker加速器和日志轮转 mkdir -p /etc/docker cat > /etc/docker/daemon.json <<EOF { "registry-mirrors": ["https://registry.docker-cn.com"], "log-driver": "json-file", "log-opts": { "max-size": "100m", "max-file": "3" } } EOF # 启动并设置开机自启 systemctl daemon-reload systemctl enable docker --now1.3 安装Docker Compose
# 下载指定版本Docker Compose curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose # 设置执行权限 chmod +x /usr/local/bin/docker-compose # 验证安装 docker-compose version2. Harbor离线安装包获取与校验
2.1 下载Harbor离线包
推荐从官方GitHub Release页面获取最新稳定版:
wget https://github.com/goharbor/harbor/releases/download/v2.3.3/harbor-offline-installer-v2.3.3.tgz # 校验文件完整性 sha256sum harbor-offline-installer-v2.3.3.tgz # 正确输出应为:5fd00772c749a2c849a5c1d4a31e4267e3cfe6a5d8e8e8f8e8c8b8c8b8c8b8c2.2 解压安装包
tar xvf harbor-offline-installer-v2.3.3.tgz -C /usr/local/ cd /usr/local/harbor3. Harbor核心配置详解
3.1 harbor.yml关键配置解析
# 主机名配置(必须与访问地址一致) hostname: registry.yourcompany.com # 协议设置(https需配置证书) protocol: https certificate: /your/certificate/path private_key: /your/private/key/path # 管理员密码(首次登录使用) harbor_admin_password: YourStrongPassword123 # 数据库配置(生产环境建议外置) database: password: root123 max_idle_conns: 50 max_open_conns: 100 # 数据持久化路径 data_volume: /data/harbor # 日志配置 log: level: info rotate_count: 50 rotate_size: 200M location: /var/log/harbor3.2 生产环境推荐配置
# 启用漏洞扫描功能 trivy: ignore_unfixed: false skip_update: false insecure: false # 副本数配置(高可用部署) nginx: replicas: 2 portal: replicas: 2 core: replicas: 2 jobservice: replicas: 2 registry: replicas: 24. 安装与初始化流程
4.1 执行安装脚本
# 准备安装环境 ./prepare # 开始安装 ./install.sh --with-trivy --with-chartmuseum提示:安装过程可能持续5-15分钟,取决于服务器性能。首次安装会下载必要的容器镜像。
4.2 验证安装结果
# 检查容器状态 docker-compose ps # 预期输出示例 Name Command State Ports -------------------------------------------------------------------------------------------- harbor-core /harbor/entrypoint.sh Up (healthy) harbor-db /docker-entrypoint.sh 96 Up (healthy) 5432/tcp harbor-jobservice /harbor/entrypoint.sh Up (healthy) harbor-log /bin/sh -c /usr/local/bin/ ... Up (healthy) 127.0.0.1:1514->10514/tcp harbor-portal nginx -g daemon off; Up (healthy) 8080/tcp nginx nginx -g daemon off; Up (healthy) 0.0.0.0:80->8080/tcp, 0.0.0.0:443->8443/tcp redis redis-server /etc/redis.conf Up (healthy) 6379/tcp registry /home/harbor/entrypoint.sh Up (healthy) 5000/tcp registryctl /home/harbor/start.sh Up (healthy) trivy-adapter /home/scanner/entrypoint.sh Up (healthy) 8080/tcp5. 常见问题与深度排错指南
5.1 安装阶段典型错误
问题1:Docker未正确重启导致服务启动失败
# 解决方案 systemctl restart docker docker-compose down -v ./install.sh问题2:端口冲突导致Nginx启动失败
# 检查端口占用 netstat -tulnp | grep -E '80|443' # 解决方案:修改harbor.yml中的端口配置或释放被占用的端口5.2 运行阶段故障排查
问题3:磁盘空间不足导致上传失败
# 检查磁盘使用 df -h # 解决方案:扩展磁盘或清理旧镜像 docker system prune -af问题4:证书过期导致访问失败
# 检查证书有效期 openssl x509 -in /data/cert/server.crt -noout -dates # 解决方案:更新证书后重启服务 docker-compose down -v docker-compose up -d6. 生产环境优化实践
6.1 性能调优参数
# 在harbor.yml中添加以下配置 jobservice: max_job_workers: 10 job_loggers: 10 core: token_expiration: 30 core_url: https://registry.yourcompany.com6.2 备份与恢复策略
备份脚本示例:
#!/bin/bash BACKUP_DIR=/backup/harbor-$(date +%Y%m%d) mkdir -p $BACKUP_DIR # 备份数据库 docker exec -i harbor-db pg_dump -U postgres registry > $BACKUP_DIR/registry.sql # 备份配置文件 cp -r /usr/local/harbor/harbor.yml $BACKUP_DIR/ cp -r /data/harbor/secret $BACKUP_DIR/ # 备份镜像存储 rsync -avz /data/registry $BACKUP_DIR/6.3 高可用架构设计
对于生产环境,建议采用以下架构:
- 前端负载均衡:使用Nginx/HAProxy实现多Harbor节点负载
- 共享存储:使用NFS/CEPH保证镜像数据一致性
- 外置数据库:使用PostgreSQL集群或云数据库服务
- Redis集群:提升会话和缓存性能
7. 日常运维与监控
7.1 健康检查端点
Harbor提供以下健康检查接口:
| 端点 | 用途 | 示例 |
|---|---|---|
| /api/v2.0/health | 核心服务状态 | curl -k https://registry.yourcompany.com/api/v2.0/health |
| /service/notifications/health | 通知服务状态 | curl -k https://registry.yourcompany.com/service/notifications/health |
7.2 Prometheus监控集成
Harbor内置Prometheus指标端点,配置示例:
# prometheus.yml配置片段 scrape_configs: - job_name: 'harbor' metrics_path: '/metrics' static_configs: - targets: ['harbor-core:8080', 'harbor-jobservice:8080']7.3 日志分析最佳实践
# 查看实时日志 tail -f /var/log/harbor/*.log # 错误日志过滤 grep -E 'ERROR|WARN' /var/log/harbor/core.log在实际生产环境中,我们通常会遇到镜像同步速度慢的问题。通过调整registry组件的以下参数可以显著提升性能:
registry: storage: filesystem: maxthreads: 100 cache: blobdescriptor: redis redis: addr: "redis:6379"
