Docker教程系列：Harbor私有仓库架构与RBAC权限控制实战指南

---

一、Harbor核心架构解析

1.1 组件化架构设计

Harbor是由VMware开源的企业级Docker Registry平台，对原生Docker Registry进行了功能扩展，提供了Web UI、角色管理、审计日志等企业特性

其主要组件包括：

核心服务组件：

组件名称	功能描述	通信协议
Core	提供API/UI，处理认证、项目管理等核心逻辑	HTTP/HTTPS
Registry	存储和分发容器镜像（基于CNCF Distribution）	HTTP/HTTPS
Database	PostgreSQL存储元数据（用户、项目、策略等）	TCP 5432
Redis	缓存会话和Job队列数据	TCP 6379
Job Service	处理镜像复制、垃圾清理等后台任务	HTTP/HTTPS
Trivy	镜像漏洞扫描组件（可选集成）	HTTP/HTTPS
Notary	镜像签名验证组件（可选）	HTTP/HTTPS

---

1.2 高可用部署方案

# docker-compose.yml片段（多节点部署）
services:
  core:
    image: goharbor/harbor-core:v2.8.0
    environment:
      - REDIS_URL=redis://redis-cluster
      - DATABASE_URL=postgresql://harbor@pgpool:5432/harbor
    deploy:
      replicas: 3

  jobservice:
    image: goharbor/harbor-jobservice:v2.8.0
    depends_on:
      - redis
      - core
    deploy:
      mode: replicated
      replicas: 2

---

二、RBAC权限模型深度配置

2.1 权限体系层级结构

管理所有项目

系统管理员

项目管理员

开发人员

测试人员

运维人员

Pull/Push镜像

管理扫描策略

---

2.2 预置角色权限矩阵

角色	权限项	适用场景
项目管理员	成员管理/镜像删除/扫描策略/Webhook配置	技术负责人
维护人员	镜像推送/拉取/扫描结果查看	DevOps工程师
开发人员	镜像推送/拉取	应用开发团队
访客	仅镜像拉取	外部审计人员
受限用户	指定镜像仓库操作权限	合作伙伴/第三方集成

---

2.3 自定义角色实战

步骤1：创建自定义角色

# 使用Harbor API创建QA角色
curl -X POST -H "Content-Type: application/json" \
  -u admin:Harbor12345 \
  -d '{
    "name": "qa-engineer",
    "permissions": [
      {"action": "pull", "resource": "repository"},
      {"action": "list", "resource": "helm-chart"},
      {"action": "read", "resource": "scan"}
    ]
  }' \
  https://harbor.example.com/api/v2.0/roles

---

三、企业级权限管控方案

LDAP/AD集成配置

# harbor.yml关键配置
auth_mode: ldap_auth
ldap:
  url: ldaps://ldap.example.com:636
  base_dn: ou=users,dc=example,dc=com
  filter: (&(objectClass=person)(memberOf=cn=docker-users,ou=groups,dc=example,dc=com))
  uid: sAMAccountName
  scope: 2
  verify_cert: true

组映射策略：

LDAP组	Harbor角色	访问范围
cn=docker-admins	项目管理员	全部项目
cn=docker-dev	开发人员	前端/后端项目组
cn=docker-auditors	访客	只读审计权限

---

3.2 细粒度镜像权限控制

# 限制特定命名空间
/project-a/
  ├── frontend/
  │   └── dev-team: 读写
  ├── backend/
  │   └── ops-team: 管理
  └── security/
      └── audit-team: 只读

---

四、安全审计与合规管理

4.1 操作日志监控

-- 查询最近一周删除操作
SELECT * FROM audit_log 
WHERE op_type = 'delete' 
AND op_time > NOW() - INTERVAL '7 days';

4.2 镜像安全策略

# 全局策略配置
prevent_vulnerable_images: true
severity: high   # 阻止高危漏洞镜像
automatically_scan_images_on_push: true

---

五、灾备与迁移策略

5.1 数据备份流程

# 数据库备份
docker exec harbor-db pg_dump -U postgres harbor > harbor_db_$(date +%Y%m%d).sql

# 配置文件备份
tar czvf harbor_$(date +%Y%m%d).tar.gz /data/harbor/{secretkey,registry,ca_download}

5.2 跨集群镜像同步

# 复制策略示例
- name: "prod-to-dr"
  description: "生产到灾备中心同步"
  src_registry: https://harbor-prod.example.com
  dest_registry: https://harbor-dr.example.com
  filters:
    - repository: "library/**"
  trigger:
    type: scheduled
    cron: "0 1 * * *"  # 每日凌晨1点执行

---

企业级部署建议：

1. 启用内容信任（DCT）实现镜像签名验证
2. 为系统管理员启用双因素认证
3. 定期执行漏洞数据库更新（Trivy）
4. 通过网络策略限制Registry访问来源
5. 审计日志至少保留180天

安全事件响应清单：
✅ 发现高危漏洞镜像立即隔离
✅ 异常登录尝试触发账户锁定
✅ 敏感操作短信通知管理员
✅ 每月审查RBAC权限分配