什么是Harbor

下面对Harbor做一份系统性、工程视角的介绍，覆盖定位、架构、核心能力、部署模式及适用场景，便于你在实际 DevOps / 平台建设中直接决策使用。

一、Harbor 是什么（一句话定义）

Harbor 是一个企业级私有容器镜像仓库（Container Registry），在 Docker Registry 基础上，增强了权限控制、安全扫描、镜像治理、审计与多集群分发能力。

它解决的不是“能不能存镜像”，而是：

在企业环境中，如何“安全、可控、可审计、可规模化”地管理镜像生命周期。

二、Harbor 的核心定位

三、Harbor 的整体架构

Harbor 是一个多组件微服务架构，典型组件如下：

1️⃣ 核心组件

2️⃣ 架构特点

• 完全容器化（Docker / Kubernetes）
• 组件解耦，支持横向扩展
• API First，适合平台二次开发

四、Harbor 的核心功能详解

1️⃣ 项目（Project）与权限模型

Harbor 的最小治理单元是Project（项目）：

• 私有 / 公共项目
• 项目级用户、角色
• 精细化 RBAC

典型角色：

👉适合多团队、多业务线共用一个 Harbor

2️⃣ 镜像安全扫描（Security）

Harbor 内置Trivy扫描能力：

• 扫描 OS 包、语言依赖漏洞
• 支持 CVE 等级
• 可配置阻断策略

典型用法：

• CI 推镜像 → 自动扫描
• 高危漏洞 → 禁止部署

👉非常适合你现在关心的安全审计、合规场景

3️⃣ 镜像准入控制（Policy）

Harbor 可作为Kubernetes 准入控制策略源：

• 未扫描 → 不允许拉取
• 高危漏洞 → 禁止部署
• 非签名镜像 → 禁止使用

常与：

• Kyverno
• OPA / Gatekeeper
  配合使用

4️⃣ 镜像复制（Replication）

Harbor 支持：

• Harbor → Harbor
• Harbor → Docker Hub / 阿里云 / 腾讯云
• 单向 / 双向
• 定时 / 触发式

典型场景：

• 内网 Harbor → 外网 Harbor
• 总部 → 边缘节点
• 生产 → 灾备

5️⃣ 镜像签名与可信分发（Notary）

• 防止镜像被篡改
• 支持内容信任（Content Trust）
• 适合高安全等级环境

6️⃣ 审计与合规

• 所有操作有Audit Log
• 用户、IP、操作、时间可追溯
• 适合：
  • 政企
  • 国企
  • 金融
  • 信创环境

五、Harbor 与 Docker Registry 对比

👉结论：生产环境必选 Harbor

六、Harbor 的部署方式

1️⃣ Docker Compose（最常见）

• 官方推荐
• 上手快
• 适合中小规模

2️⃣ Kubernetes（Helm）

• 高可用
• 可扩展
• 适合你当前的K8s / DevOps 平台化

3️⃣ 离线部署

• 支持
• 非常适合你提到的内网 / 无外网服务器

七、Harbor 的典型使用场景

🟢 DevOps 镜像中枢

GitLab CI ↓ Build Image ↓ Push Harbor ↓ Scan / Policy ↓ Deploy K8s

🟢 多集群镜像统一管理

• 测试 / 预发 / 生产
• 多地域、多机房

🟢 信创 / 内网环境

• 无外网
• 自建 Harbor
• 可控、可审计

八、与其他仓库的对比（简述）

九、总结一句话

Harbor 是“企业级容器镜像治理中心”，而不仅仅是一个镜像仓库。