阿里云镜像仓库Harbor的部署教程与SSL配置

本文档详细介绍了如何在企业环境中部署和配置一个安全可靠的容器镜像仓库Harbor。首先，部署Harbor前需确保系统已安装Docker和Docker Compose，因为它们是Harbor运行的基础。安装Docker的步骤可以通过执行`curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun`来完成，这会从阿里云镜像源安装Docker。接着，安装Docker Compose，通过`yum install epel-release`获取额外的软件包，然后执行`yum install docker-compose`。 下载Harbor的离线安装包，可以从GitHub上获取最新版本（这里以v2.1.4为例）：`wget https://github.com/goharbor/harbor/releases/download/v2.1.4/harbor-offline-installer-v2.1.4.tgz`，解压后进行下一步操作。在配置harbor.yml文件时，重要设置包括： 1. 主机名和端口：将hostname设为`harbor.wxxsxx.com`，HTTP服务监听`port:48888`，HTTPS服务监听`port:443`。 2. 证书管理：为了确保HTTPS通信的安全，需要生成和配置证书，包括`certificate`和`private_key`的路径，以及`harbor_admin_password`用于管理员登录的密码。 3. 数据库配置：数据库连接信息，如`database.password:root123`，同时设置了最大空闲连接数`max_idle_conns`和最大打开连接数`max_open_conns`，以及数据卷路径`data_volume:/data`。 4. 安全选项：Clair和Trivy的安全扫描设置，如`clair.updaters_interval`、`trivy.ignore_unfixed`等，确保镜像安全。 5. JobService和通知设置：定义了JobWorker的最大数量，以及Webhook Job的最大重试次数。 6. 日志配置：包括日志级别、本地日志文件的旋转策略（`rotate_count`和`rotate_size`）以及日志存储位置。 在整个部署过程中，证书的生成至关重要，它涉及证书颁发机构（CA）、服务器证书（.crt和.key文件）的创建。生成这些证书通常涉及自签名或者由外部认证机构签发，这里提到的是生成自签名CA的过程，包括CA证书、私钥的生成，并最终为harbor.wxxsxx.com生成服务器证书。在生产环境中，可能还需要进行更复杂的SSL/TLS配置和证书管理。 总结来说，本文档提供了一个全面的步骤指南，帮助读者在企业级环境中安装和配置Harbor镜像仓库，确保了系统的安全性、稳定性和性能。