Harbor v2.8.0 配置详解：最佳实践指南

Harbor 是一个开源的企业级 Docker Registry，允许用户在私有云或私有数据中心中存储和分发 Docker 镜像。在使用 Harbor 之前，需要配置 harbor.yml 文件。以下是 Harbor v2.8.0 的 harbor.yml 配置详解，并提供最佳配置实践建议：

1. hostname: 设置 Harbor 的主机名，这是必须的配置项。

2. http: 要启用的 HTTP 配置，它包含以下子项：

• port: 指定 Harbor HTTP 服务的端口号。建议使用默认端口 80 或 443，并根据实际情况进行调整。

• secretkey: 当用户使用 HTTP 协议访问 Harbor 时，需要提供的加密密钥。建议设置一个强密码，并妥善保管。

• certificate: 如果要启用 HTTPS，则需要指定证书文件的路径。建议使用 HTTPS 协议，以提高安全性和数据传输安全性。

• key: 如果要启用 HTTPS，则需要指定私钥文件的路径。

3. https: 要启用的 HTTPS 配置，它包含以下子项：

• port: 指定 Harbor HTTPS 服务的端口号。建议使用默认端口 443。

• certificate: 指定证书文件的路径。建议使用受信任的证书颁发机构颁发的证书，以确保 HTTPS 连接的安全性。

• key: 指定私钥文件的路径。

4. data_volume: 指定 Harbor 存储镜像和元数据的卷的路径。建议将数据卷存储在独立的磁盘或分区上，以提高性能和避免数据丢失。

5. database: 指定 Harbor 使用的数据库类型和连接信息。建议使用支持高并发和事务的数据库，例如 MySQL 或 PostgreSQL。

6. log: 指定 Harbor 的日志配置，包括：

• level: 指定日志级别。建议根据实际需求设置日志级别，例如调试阶段设置为 DEBUG，生产环境设置为 INFO 或 WARN。

• location: 指定日志文件的路径。建议将日志文件存储在独立的磁盘或分区上，以避免磁盘空间不足。

• maxsize: 指定日志文件的最大大小。建议设置合理的大小，以避免日志文件占用过多的磁盘空间。

• maxage: 指定日志文件的最大生存时间。建议设置合理的时间，以定期清理日志文件。

• rotate: 指定是否启用日志轮换。建议启用日志轮换，以避免日志文件过大。

7. auth: 指定 Harbor 的认证配置，包括：

• token_expiration: 指定访问令牌的过期时间。建议设置合理的过期时间，以提高安全性。

• auth_mode: 指定认证模式，可以是 db 或 ldap。建议根据实际情况选择合适的认证模式，例如使用数据库认证或 LDAP 认证。

8. ldap: 如果 auth_mode 为 ldap，则需要指定 LDAP 服务器的连接信息和用户配置。建议使用安全的 LDAP 服务器，并配置相应的权限控制。

9. project: 指定 Harbor 的项目配置，包括：

• creation_restriction: 指定是否允许普通用户创建项目。建议根据实际情况设置项目创建限制，例如只允许特定用户或组创建项目。

• metadata: 指定项目元数据。建议设置必要的项目元数据，例如项目描述、标签等。

• retention_policy: 指定项目中镜像的保留策略。建议设置合理的保留策略，例如保留最新的 N 个镜像或保留特定版本的镜像。

10. notification: 指定 Harbor 的通知配置。建议配置必要的通知方式，例如电子邮件通知或 Webhook 通知，以便及时了解 Harbor 的运行状态。

11. chart: 指定 Harbor 的 Helm Chart 配置。建议配置 Helm Chart 仓库，以便方便地部署 Harbor 相关服务。

12. jobservice: 指定 Harbor 的作业服务配置。建议配置作业服务，以支持自动化的镜像构建、扫描和发布流程。

13. redis: 指定 Harbor 的 Redis 配置。建议使用 Redis 缓存系统，以提高 Harbor 的性能。

最优的配置方式取决于具体的需求和环境。一般来说，可以参考 Harbor 官方文档推荐的配置方式，并根据实际情况调整各项配置参数。同时，也需要根据实际情况对数据卷、数据库、认证、通知等配置项进行合理的配置和优化。

Harbor 的配置是一个持续优化和改进的过程。建议定期评估和调整 Harbor 的配置，以确保其能够满足不断变化的需求和环境。