一、Harbor镜像仓库老镜像删除的必要性

1.1 存储空间优化

Harbor作为企业级容器镜像仓库，长期运行后会产生大量历史版本镜像，占用存储资源。例如，某金融企业Harbor仓库存储量从初始500GB增长至3TB，其中60%为超过6个月未使用的老镜像。定期删除这些镜像可释放存储空间，降低硬件扩容成本。

1.2 安全风险控制

老旧镜像可能包含未修复的漏洞（如CVE-2021-4104等），成为攻击者利用的入口。据统计，30%的企业容器环境曾因未及时删除含漏洞镜像导致安全事件。删除非必要镜像可减少攻击面。

1.3 运维效率提升

镜像数量过多会导致搜索效率下降，CI/CD流水线拉取镜像时间增加。测试表明，当仓库中镜像数量超过10万条时，镜像检索时间可能从秒级上升至分钟级。

二、Harbor镜像删除方法详解

2.1 手动删除操作

2.1.1 Web界面删除

1. 登录Harbor管理界面
2. 进入项目→选择镜像仓库
3. 勾选要删除的镜像标签
4. 点击”删除”按钮确认
   注意事项：需具有项目管理员权限；删除后镜像进入回收站，7天后自动清除。

2.1.2 CLI命令删除

# 登录Harbor
docker login harbor.example.com
# 删除特定标签镜像
docker rmi harbor.example.com/library/nginx:1.19
# 批量删除（需结合shell脚本）
for tag in $(curl -u username:password "https://harbor.example.com/api/v2.0/projects/library/repositories/nginx/artifacts" | jq -r '.[].tags[]'); do
  docker rmi harbor.example.com/library/nginx:$tag
done

2.2 API自动化删除

2.2.1 获取镜像列表API

curl -X GET -H "accept: application/json" -u "username:password" \
"https://harbor.example.com/api/v2.0/projects/library/repositories/nginx/artifacts"

2.2.2 删除镜像API

curl -X DELETE -u "username:password" \
"https://harbor.example.com/api/v2.0/projects/library/repositories/nginx/artifacts/sha256:abc123"

2.3 垃圾回收机制

Harbor提供GC（Garbage Collection）功能，可清理未被引用的镜像层：

1. 停止Harbor服务
2. 执行GC命令：

   /usr/local/bin/docker-compose -f /path/to/docker-compose.yml run --rm gc

3. 重启Harbor服务
   最佳实践：建议每周执行一次GC，特别是在大量删除操作后。

三、老镜像删除策略配置

3.1 保留策略设置

在Harbor管理界面可配置自动删除策略：

• 按时间保留：如删除30天前未拉取的镜像
• 按数量保留：如每个仓库仅保留最新5个镜像
• 标签匹配：如删除所有包含”test”标签的镜像

3.2 生命周期管理脚本示例

import requests
from datetime import datetime, timedelta
def delete_old_images(project, days_threshold=30):
    url = f"https://harbor.example.com/api/v2.0/projects/{project}/repositories"
    response = requests.get(url, auth=("admin", "password"))
    repos = response.json()
    for repo in repos:
        repo_name = repo["name"]
        artifacts_url = f"{url}/{repo_name.split('/')[-1]}/artifacts"
        artifacts = requests.get(artifacts_url, auth=("admin", "password")).json()
        for artifact in artifacts:
            push_time = artifact["push_time"]
            push_date = datetime.strptime(push_time[:19], "%Y-%m-%dT%H:%M:%S")
            if datetime.now() - push_date > timedelta(days=days_threshold):
                delete_url = f"{artifacts_url}/{artifact['digest']}"
                requests.delete(delete_url, auth=("admin", "password"))

四、实施建议与最佳实践

4.1 分阶段删除策略

1. 测试环境：每周清理30天前镜像
2. 开发环境：每两周清理14天前镜像
3. 生产环境：每月清理90天前镜像，保留关键版本

4.2 备份与验证机制

删除前执行：

# 导出镜像列表
docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
-v /backup:/backup alpine sh -c \
"docker images --format '{{.Repository}}:{{.Tag}}' | grep harbor.example.com > /backup/image_list.txt"

4.3 监控与告警配置

建议配置Prometheus监控指标：

• harbor_project_artifact_count：监控各项目镜像数量
• harbor_disk_usage_percent：监控存储使用率
  当存储使用率超过80%时触发告警。

五、常见问题解决方案

5.1 删除失败处理

• 错误”image is being used by stopped containers”：

  docker rm $(docker ps -aq)  # 清理所有停止的容器

• 错误”permission denied”：检查用户角色是否包含”Project Admin”权限

5.2 回收站恢复方法

误删后可从回收站恢复：

1. 进入Harbor管理界面→系统管理→回收站
2. 选择要恢复的镜像
3. 点击”恢复”按钮
   注意：回收站默认保留7天，可修改harbor.yml中的garbage_collection配置调整。

六、企业级实施案例

某电商平台实施方案：

1. 开发环境：每天凌晨3点执行删除脚本，清理14天前镜像
2. 生产环境：配置保留策略，自动删除非生产标签（如-test,-dev）镜像
3. 每月执行GC并生成报告：

   # 生成GC前存储报告
   df -h /data/harbor_storage
   # 执行GC
   docker-compose -f docker-compose.yml run --rm gc
   # 生成GC后存储报告
   df -h /data/harbor_storage

   实施后存储使用率从85%降至42%，CI/CD流水线构建时间缩短30%。

通过系统化的老镜像删除策略，企业可实现Harbor仓库的高效管理，在保障安全性的同时优化存储资源利用。建议结合自动化工具与人工审核机制，建立适合自身业务的镜像生命周期管理体系。