Harbor企业级镜像仓库实战：用Docker Compose实现高可用+自动备份

Harbor企业级镜像仓库高可用实战：Docker Compose进阶配置指南

在企业级DevOps实践中，镜像仓库的稳定性和可靠性直接关系到整个CI/CD流水线的健康运转。Harbor作为目前最受欢迎的开源企业级Docker镜像仓库解决方案，其生产环境部署需要特别关注高可用架构设计和数据安全策略。本文将深入探讨如何通过Docker Compose实现Harbor的多节点部署、自动备份以及关键服务的持久化配置。

1. 生产环境Harbor架构设计考量

在规划Harbor生产环境部署时，单节点架构往往无法满足企业级需求。一个健壮的Harbor集群需要考虑以下几个核心要素：

• 服务高可用：确保核心组件无单点故障
• 数据持久化：镜像数据和元数据的安全存储
• 性能扩展：支持大规模并发拉取/推送
• 灾备恢复：完善的备份与恢复机制

典型的Harbor高可用架构包含以下组件：

提示：生产环境部署前，建议先进行容量规划，预估每日镜像吞吐量和存储增长需求。

2. 多节点Harbor集群部署实战

下面我们通过修改docker-compose.yml来实现一个基础的多节点Harbor部署方案。这个配置包含两个Harbor节点共享同一个数据库和Redis服务。

version: '3.7' services: # 共享的PostgreSQL服务 postgres: image: postgres:13-alpine container_name: harbor-postgres restart: always volumes: - /data/harbor/postgres:/var/lib/postgresql/data environment: - POSTGRES_USER=harbor - POSTGRES_PASSWORD=${DB_PASSWORD} - POSTGRES_DB=harbor networks: - harbor-net # 共享的Redis服务 redis: image: redis:6-alpine container_name: harbor-redis restart: always command: ["redis-server", "--appendonly", "yes"] volumes: - /data/harbor/redis:/data networks: - harbor-net # Harbor节点1 harbor-node1: image: goharbor/harbor-core:v2.4.1 container_name: harbor-core-1 restart: always depends_on: - postgres - redis environment: - CORE_SECRET=${CORE_SECRET} - DATABASE_URL=postgresql://harbor:${DB_PASSWORD}@postgres:5432/harbor - REDIS_URL=redis://redis:6379/0 volumes: - /data/harbor/node1:/data networks: - harbor-net # Harbor节点2 harbor-node2: image: goharbor/harbor-core:v2.4.1 container_name: harbor-core-2 restart: always depends_on: - postgres - redis environment: - CORE_SECRET=${CORE_SECRET} - DATABASE_URL=postgresql://harbor:${DB_PASSWORD}@postgres:5432/harbor - REDIS_URL=redis://redis:6379/0 volumes: - /data/harbor/node2:/data networks: - harbor-net # 负载均衡器 lb: image: nginx:1.19-alpine container_name: harbor-lb ports: - "80:80" - "443:443" volumes: - ./nginx.conf:/etc/nginx/nginx.conf depends_on: - harbor-node1 - harbor-node2 networks: - harbor-net networks: harbor-net: driver: bridge

关键配置说明：

1. 共享数据库和Redis：所有Harbor节点使用同一个PostgreSQL和Redis实例，确保数据一致性
2. 相同的CORE_SECRET：所有节点必须使用相同的密钥才能组成集群
3. 负载均衡：通过Nginx实现流量分发，配置文件示例：

upstream harbor { server harbor-node1:8080; server harbor-node2:8080; } server { listen 80; listen 443 ssl; ssl_certificate /etc/ssl/certs/harbor.crt; ssl_certificate_key /etc/ssl/private/harbor.key; location / { proxy_pass http://harbor; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }

3. 数据持久化与备份策略

Harbor生产环境中的数据主要分为三类，每种都需要不同的持久化方案：

1. 镜像存储：实际Docker镜像文件
2. 数据库：元数据、用户权限等
3. Redis数据：会话、临时缓存等

3.1 镜像存储方案对比

推荐使用MinIO作为S3兼容存储的配置示例：

services: harbor-core: environment: - REGISTRY_STORAGE=s3 - REGISTRY_STORAGE_S3_REGION=us-east-1 - REGISTRY_STORAGE_S3_BUCKET=harbor-registry - REGISTRY_STORAGE_S3_ROOTDIRECTORY=/harbor - REGISTRY_STORAGE_S3_ACCESSKEY=${S3_ACCESS_KEY} - REGISTRY_STORAGE_S3_SECRETKEY=${S3_SECRET_KEY} - REGISTRY_STORAGE_S3_ENDPOINT=https://minio.example.com - REGISTRY_STORAGE_S3_SECURE=true

3.2 自动备份实现

对于关键数据的自动备份，我们可以结合cronjob和脚本实现：

#!/bin/bash # 数据库备份 pg_dump -h postgres -U harbor -Fc harbor > /backups/harbor_db_$(date +%Y%m%d).dump # Redis备份 redis-cli -h redis save cp /data/harbor/redis/dump.rdb /backups/redis_$(date +%Y%m%d).rdb # 镜像存储备份（如果是本地存储） rsync -avz /data/harbor/storage /backups/storage_$(date +%Y%m%d) # 上传到远程存储（可选） aws s3 cp /backups s3://harbor-backups/$(date +%Y%m%d) --recursive

可以将此脚本配置为Docker Compose中的定期任务服务：

services: backup: image: alpine:3.14 container_name: harbor-backup volumes: - /data/harbor:/data:ro - /backups:/backups - ./backup.sh:/backup.sh command: ["sh", "-c", "echo '0 2 * * * /backup.sh' > /etc/crontabs/root && crond -f"] environment: - AWS_ACCESS_KEY_ID=${AWS_ACCESS_KEY} - AWS_SECRET_ACCESS_KEY=${AWS_SECRET_KEY} networks: - harbor-net

4. 企业级功能配置

4.1 邮件告警系统

Harbor支持通过SMTP发送各种系统通知，以下是增强版的SMTP配置：

services: harbor-core: environment: - EMAIL_HOST=smtp.office365.com - EMAIL_PORT=587 - EMAIL_USER=notifications@yourcompany.com - EMAIL_PASSWORD=${SMTP_PASSWORD} - EMAIL_FROM=Harbor <notifications@yourcompany.com> - EMAIL_SSL=true - EMAIL_IDENTITY= - NOTIFICATION_ENABLE=true - QUOTA_ENABLE=true - QUOTA_WARNING=90

关键参数说明：

• QUOTA_WARNING：当存储使用量达到90%时发送警告邮件
• EMAIL_IDENTITY：留空使用默认值，某些SMTP服务器需要特定标识
• EMAIL_SSL：建议始终启用，确保认证信息安全

4.2 安全扫描集成

Harbor内置的漏洞扫描功能需要单独配置：

services: trivy-adapter: image: goharbor/trivy-adapter-photon:v2.4.1 container_name: trivy-adapter environment: - SCANNER_LOG_LEVEL=debug - TRIVY_CACHE_DIR=/home/scanner/.cache/trivy - TRIVY_REPORTS_DIR=/home/scanner/.cache/reports - TRIVY_DOWNLOAD_URL=https://github.com/aquasecurity/trivy/releases/download - TRIVY_OFFLINE_SCAN=true - TRIVY_SKIP_UPDATE=false - TRIVY_INSECURE=false - TRIVY_TIMEOUT=5m0s volumes: - /data/harbor/trivy:/home/scanner/.cache depends_on: - redis networks: - harbor-net

扫描策略建议：

• 对新推送的镜像自动执行扫描
• 设置严重级别为High或Critical时阻止拉取
• 定期对仓库中的所有镜像执行全面扫描

5. 监控与维护

生产环境Harbor需要完善的监控体系，以下是关键监控指标：

核心服务健康检查

# 检查核心服务 curl -k https://localhost/api/v2.0/health | jq # 检查数据库连接 docker exec harbor-postgres pg_isready # 检查Redis连接 docker exec harbor-redis redis-cli ping

Prometheus监控指标配置

Harbor内置了Prometheus指标端点，可以通过以下配置暴露：

services: harbor-core: environment: - METRIC_ENABLE=true - METRIC_PATH=/metrics - METRIC_PORT=8081

推荐的Grafana监控看板应包含：

• 镜像推送/拉取速率
• API请求延迟和错误率
• 存储空间使用情况
• 扫描任务队列长度
• 数据库连接池状态

日志收集最佳实践

对于集中式日志收集，建议使用以下配置：

services: harbor-core: logging: driver: "syslog" options: syslog-address: "tcp://logstash:514" tag: "harbor-core"

日常维护检查清单：

1. 定期检查存储空间使用情况
2. 监控数据库性能指标
3. 验证备份的完整性和可恢复性
4. 及时更新Harbor版本和安全补丁
5. 审查用户权限和项目配额