本文共 2008 字，大约阅读时间需要 6 分钟。

Harbor镜像仓库配置与镜像签名功能实战指南

Harbor 是一个灵活、高效的镜像仓库解决方案，广泛应用于企业级容器镜像管理。以下是基于 Harbor 和 Trivy 的配置实践，涵盖镜像扫描、内容签名功能及常用操作指南。

Harbor 镜像仓库配置

1. 下载必要工具

• 下载 docker-compose：通过 GitHub 提取发布包，安装命令如下：

cp docker-compose /usr/local/binchmod +x /usr/local/bin/docker-compose

• 下载 Harbor 镜像仓库：访问其 GitHub 释放页面，选择适合操作系统的安装包解压并安装。

2. Harbor 初始化

• 创建数据目录：

mkdir -p /data/harbor# 依次创建存储、证书目录  mkdir -p /data/harbor/certs

• 生成证书及密钥（替换为实际域名和路径）：

openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /data/harbor/certs/registry.key -out /data/harbor/certs/registry.crt

• 编辑配置文件：将 harbor.yml 配置为：

hostname: example.comcerts: /data/harbor/certs/registry.crtprivate_key: /data/harbor/certs/registry.keyharbor_admin_password: your-strong-password

3. 操作指南

• 启动服务：

docker-compose up -d

• 访问管理界面：

# Browser访问地址：https://example.com:8443用户名：admin密码：your-strong-password

镜像签名功能配置

1. 启用内容信任

• 修改 Docker 配置：

export DOCKER_CONTENT_TRUST=1export DOCKER_CONTENT_TRUST_SERVER=https://example.com:4443

2. 签名认证流程

• 第一次上传镜像：

docker push example.com/library/nginx:latest

• 提示输入密码：进入 passphrase 铍ique，完成签名流程，镜像将获认证。

• 后续镜像上传：

docker push example.com/library/nginx:latest

• 只是需输入仓库密码，无需重新签名。

3. 验证签名状态

• 检查镜像签名：

docker trust inspect example.com/library/nginx:latest

• 查看签名详情，确认镜像是否已经过认证。

常见问题与解决方法

1. trivy 镜像扫描失败

• 下载漏洞数据库：可手动下载 Trivy.DB 并挂载至容器：

# 下载镜像curl -Lo /path/to/trivy.db https://github.com/aquasecurity/trivy-db/releases/download/1.0.0/trivy.db#挂载到容器docker-compose -f prepare | trivy db /path/to/trivy.db

• 数据库缓存问题：确保 /root/.cache/trivy/db 中存有更新的漏洞数据。

2. 镜像签名删除

• 撤销签名：

docker trust revoke example.com/library/nginx:latest

• 输入 passphrase 以成功撤销签名。

Harbor 数据迁移指南

1. 数据备份方法

• 拷贝数据文件：

# 镜像、数据库等持久数据位于 /data/# 禃止直接用 docker-compose down -v，避免删除数据docker-compose downcp -r /data/ /backups/

组件性能消耗统计

• 服务器资源使用情况：

注：以上仅为示例统计，实际情况需根据实用环境调整。

Trivy 模perature 操作简单且适合 CI ，Harbor 提供灵活的镜像管理选项。通过以上实践，可以实现镜像安全性与可信度的双重保障。

转载地址：http://jdbzk.baihongyu.com/