下面对 Harbor 做一份系统性、工程视角的介绍,覆盖定位、架构、核心能力、部署模式及适用场景,便于你在实际 DevOps / 平台建设中直接决策使用。
一、Harbor 是什么(一句话定义)
Harbor 是一个企业级私有容器镜像仓库(Container Registry),在 Docker Registry 基础上,增强了权限控制、安全扫描、镜像治理、审计与多集群分发能力。
它解决的不是"能不能存镜像",而是:
在企业环境中,如何"安全、可控、可审计、可规模化"地管理镜像生命周期。
二、Harbor 的核心定位
| 维度 | Harbor 的定位 |
|---|---|
| 技术层 | Docker Registry 的企业增强版 |
| 安全层 | 镜像安全扫描 + 准入控制 |
| 管理层 | 项目级权限 / 配额 / 审计 |
| 架构层 | 多集群、多地域镜像分发 |
| DevOps | CI/CD 镜像中枢 |
三、Harbor 的整体架构
Harbor 是一个多组件微服务架构,典型组件如下:
1️⃣ 核心组件
| 组件 | 作用 |
|---|---|
| Core | API、UI、权限、项目管理 |
| Registry | 原生 Docker Registry,存储镜像 |
| Database | PostgreSQL,存元数据 |
| Redis | 缓存、任务队列 |
| Jobservice | 异步任务(扫描、复制) |
| Trivy | 漏洞扫描引擎 |
| Notary | 镜像签名(可选) |
| Portal | Web UI |
2️⃣ 架构特点
- 完全容器化(Docker / Kubernetes)
- 组件解耦,支持横向扩展
- API First,适合平台二次开发
四、Harbor 的核心功能详解
1️⃣ 项目(Project)与权限模型
Harbor 的最小治理单元是 Project(项目):
- 私有 / 公共项目
- 项目级用户、角色
- 精细化 RBAC
典型角色:
| 角色 | 权限 |
|---|---|
| Project Admin | 全管理 |
| Developer | Push / Pull |
| Guest | 只读 |
👉 适合多团队、多业务线共用一个 Harbor
2️⃣ 镜像安全扫描(Security)
Harbor 内置 Trivy 扫描能力:
- 扫描 OS 包、语言依赖漏洞
- 支持 CVE 等级
- 可配置 阻断策略
典型用法:
- CI 推镜像 → 自动扫描
- 高危漏洞 → 禁止部署
👉 非常适合你现在关心的安全审计、合规场景
3️⃣ 镜像准入控制(Policy)
Harbor 可作为 Kubernetes 准入控制策略源:
- 未扫描 → 不允许拉取
- 高危漏洞 → 禁止部署
- 非签名镜像 → 禁止使用
常与:
- Kyverno
- OPA / Gatekeeper
配合使用
4️⃣ 镜像复制(Replication)
Harbor 支持:
- Harbor → Harbor
- Harbor → Docker Hub / 阿里云 / 腾讯云
- 单向 / 双向
- 定时 / 触发式
典型场景:
- 内网 Harbor → 外网 Harbor
- 总部 → 边缘节点
- 生产 → 灾备
5️⃣ 镜像签名与可信分发(Notary)
- 防止镜像被篡改
- 支持内容信任(Content Trust)
- 适合 高安全等级环境
6️⃣ 审计与合规
- 所有操作有 Audit Log
- 用户、IP、操作、时间可追溯
- 适合:
- 政企
- 国企
- 金融
- 信创环境
五、Harbor 与 Docker Registry 对比
| 对比项 | Docker Registry | Harbor |
|---|---|---|
| 权限 | ❌ 无 | ✅ 项目级 RBAC |
| UI | ❌ 无 | ✅ 完整 Web UI |
| 漏洞扫描 | ❌ | ✅ 内置 |
| 镜像复制 | ❌ | ✅ |
| 审计 | ❌ | ✅ |
| 企业可用性 | ❌ | ✅ |
👉 结论:生产环境必选 Harbor
六、Harbor 的部署方式
1️⃣ Docker Compose(最常见)
- 官方推荐
- 上手快
- 适合中小规模
2️⃣ Kubernetes(Helm)
- 高可用
- 可扩展
- 适合你当前的 K8s / DevOps 平台化
3️⃣ 离线部署
- 支持
- 非常适合你提到的 内网 / 无外网服务器
七、Harbor 的典型使用场景
🟢 DevOps 镜像中枢
text
GitLab CI
↓
Build Image
↓
Push Harbor
↓
Scan / Policy
↓
Deploy K8s🟢 多集群镜像统一管理
- 测试 / 预发 / 生产
- 多地域、多机房
🟢 信创 / 内网环境
- 无外网
- 自建 Harbor
- 可控、可审计
八、与其他仓库的对比(简述)
| 产品 | 适合谁 |
|---|---|
| Harbor | 企业自建、私有云 |
| Docker Hub | 公网开源 |
| Nexus | 偏 Maven / NPM |
| GitLab Registry | 小规模 DevOps |
| 阿里云 ACR | 云原生用户 |
九、总结一句话
Harbor 是"企业级容器镜像治理中心",而不仅仅是一个镜像仓库。