Harbor镜像仓库老镜像清理指南：高效删除与优化策略

引言

在容器化部署成为主流的今天，Harbor作为企业级私有镜像仓库，承载着大量应用镜像的存储与管理任务。然而，随着业务迭代与镜像版本更新，仓库中逐渐积累大量未使用的“老镜像”，不仅占用宝贵存储资源，还可能影响仓库性能与镜像检索效率。本文将围绕Harbor镜像仓库中老镜像的删除策略展开，提供从基础操作到高级优化的全流程指导，帮助开发者高效管理镜像存储。

一、Harbor镜像仓库老镜像的成因与影响

1.1 老镜像的常见来源

• 版本迭代残留：应用更新后，旧版本镜像未及时清理。
• 测试环境镜像：CI/CD流程中生成的临时测试镜像未被删除。
• 未标记镜像（untagged）：镜像被重新标记后，原标签镜像未被清理。
• 手动上传冗余：开发者误上传或重复上传的镜像。

1.2 老镜像的负面影响

• 存储成本激增：企业级仓库中，老镜像可能占用数十TB存储空间。
• 性能下降：镜像列表过长导致检索速度变慢，影响CI/CD流水线效率。
• 安全风险：未维护的旧版本镜像可能包含已知漏洞，增加攻击面。

二、Harbor镜像删除的基础方法

2.1 通过Harbor Web界面删除

步骤：

1. 登录Harbor管理界面，进入目标项目。
2. 在“镜像仓库”标签页中，选择需要删除的镜像仓库。
3. 勾选要删除的镜像标签（Tag），点击“删除”按钮。
4. 确认删除操作（需管理员权限或项目成员权限）。

注意事项：

• 删除操作不可逆，需提前确认镜像是否已不再使用。
• 批量删除时，建议按时间排序，优先清理旧版本镜像。

2.2 使用Harbor API删除镜像

对于自动化清理场景，可通过Harbor API实现批量删除。

示例代码（Python）：

import requests
import json
# Harbor配置
HARBOR_URL = "https://harbor.example.com"
USERNAME = "admin"
PASSWORD = "Harbor12345"
PROJECT_NAME = "my-project"
REPOSITORY = "nginx"
# 获取认证token
auth_url = f"{HARBOR_URL}/api/v2.0/users/current"
response = requests.get(auth_url, auth=(USERNAME, PASSWORD), verify=False)
token = response.json()["token"]
# 获取镜像标签列表
tags_url = f"{HARBOR_URL}/api/v2.0/projects/{PROJECT_NAME}/repositories/{REPOSITORY}/artifacts"
headers = {"accept": "application/json", "Authorization": f"Bearer {token}"}
tags_response = requests.get(tags_url, headers=headers, verify=False)
tags = [tag["tags"][0]["name"] for tag in tags_response.json() if tag["tags"]]
# 删除旧标签（按创建时间排序后保留最新3个）
tags.sort(key=lambda x: x["id"], reverse=True)  # 实际需通过API获取创建时间，此处简化
tags_to_delete = tags[3:]  # 假设保留最新3个
for tag in tags_to_delete:
    delete_url = f"{HARBOR_URL}/api/v2.0/projects/{PROJECT_NAME}/repositories/{REPOSITORY}/artifacts/{tag}"
    requests.delete(delete_url, headers=headers, verify=False)
    print(f"Deleted tag: {tag}")

关键点：

• 需处理认证与权限问题。
• 实际场景中需结合镜像创建时间或推送时间排序。

2.3 使用Harbor CLI工具

Harbor官方提供harbor-cli工具，支持命令行操作。

安装与使用：

# 安装harbor-cli（需从Harbor Release页面下载）
wget https://github.com/goharbor/harbor-cli/releases/download/v1.0.0/harbor-cli-linux-amd64
chmod +x harbor-cli-linux-amd64
mv harbor-cli-linux-amd64 /usr/local/bin/harbor-cli
# 配置Harbor连接
harbor-cli config set --url https://harbor.example.com --username admin --password Harbor12345
# 删除镜像
harbor-cli repository delete --project my-project --repository nginx --tag v1.0.0

三、高级清理策略：自动化与规则化

3.1 基于标签规则的自动化清理

通过Harbor的“垃圾回收”（Garbage Collection）功能，结合标签规则自动清理未使用的镜像。

配置步骤：

1. 在Harbor管理界面进入“系统管理”→“垃圾回收”。
2. 设置保留规则（如保留最近N个版本、保留特定标签前缀等）。
3. 执行垃圾回收任务（可选择手动触发或定时任务）。

3.2 结合CI/CD流程的清理

在CI/CD流水线中嵌入清理逻辑，例如：

• 构建成功后删除测试环境镜像。
• 部署到生产环境后，删除旧版本镜像。

示例（GitLab CI）：

stages:
  - build
  - clean
build_image:
  stage: build
  script:
    - docker build -t harbor.example.com/my-project/nginx:$CI_COMMIT_SHA .
    - docker push harbor.example.com/my-project/nginx:$CI_COMMIT_SHA
clean_old_images:
  stage: clean
  script:
    - |
      # 获取所有标签并排序
      TAGS=$(curl -s -u "gitlab-ci-token:$CI_JOB_TOKEN" \
        "https://harbor.example.com/api/v2.0/projects/my-project/repositories/nginx/artifacts" | \
        jq -r '.[].tags[0].name' | sort -V)
      # 保留最新3个标签，删除其余
      for TAG in $TAGS; do
        if [[ $(echo "$TAG" | wc -w) -gt 3 ]]; then
          curl -X DELETE -u "gitlab-ci-token:$CI_JOB_TOKEN" \
            "https://harbor.example.com/api/v2.0/projects/my-project/repositories/nginx/artifacts/$TAG"
        fi
      done

3.3 存储配额与告警机制

• 设置项目存储配额：在Harbor中为每个项目设置存储上限，超限后禁止上传。
• 配置告警规则：通过Prometheus+Grafana监控Harbor存储使用率，触发告警后手动或自动执行清理。

四、最佳实践与注意事项

4.1 备份与验证

• 删除前备份重要镜像（可通过docker save或Harbor的导出功能）。
• 在测试环境验证清理脚本，避免误删生产镜像。

4.2 权限管理

• 遵循最小权限原则，仅授权必要用户执行删除操作。
• 使用Harbor的角色管理功能（如“项目管理员”仅能管理本项目镜像）。

4.3 日志与审计

• 开启Harbor的审计日志功能，记录所有删除操作。
• 定期审查日志，确保清理行为符合安全策略。

结论

Harbor镜像仓库中的老镜像清理是容器化环境管理的重要环节。通过结合Web界面、API、CLI工具以及自动化策略，开发者可以高效、安全地释放存储资源，提升仓库性能。建议企业根据自身业务特点，制定定期清理计划，并融入CI/CD流程，实现镜像生命周期的智能化管理。