一、引言

在持续集成/持续部署（CI/CD）的流程中，Harbor作为企业级的私有Docker镜像仓库，扮演着至关重要的角色。它不仅提供了镜像存储、分发和安全控制的功能，还支持镜像的复制、签名和漏洞扫描等高级特性。然而，随着项目的不断迭代和镜像版本的累积，Harbor仓库中往往会积累大量不再使用的老旧镜像，这些镜像不仅占用宝贵的存储空间，还可能影响仓库的性能和查询效率。因此，定期清理Harbor仓库中的老旧镜像成为了一项必要且重要的任务。

二、Harbor镜像仓库老旧镜像的识别

在删除老旧镜像之前，首先需要明确哪些镜像可以被视为“老旧”。这通常基于以下几个标准：

1. 时间标准：根据镜像的创建时间或最后更新时间，设定一个阈值，超过该阈值的镜像视为老旧镜像。
2. 使用频率：通过分析镜像的拉取记录，识别出长时间未被拉取的镜像。
3. 标签策略：结合项目的版本控制策略，如使用语义化版本控制（SemVer），将不再维护的版本标签对应的镜像视为老旧。

三、Harbor镜像仓库老旧镜像删除方法

1. 手动删除

最直接的方法是登录Harbor的Web界面，通过图形化操作删除不再需要的镜像。具体步骤如下：

• 登录Harbor管理界面。
• 导航至“项目”或“仓库”视图，找到目标镜像。
• 选择要删除的镜像版本或标签，点击删除按钮。
• 确认删除操作。

手动删除适用于少量、明确知道需要删除的镜像，但对于大规模清理则显得效率低下。

2. 使用Harbor API进行自动化删除

Harbor提供了丰富的RESTful API，允许开发者通过编程方式管理镜像。利用这些API，可以实现镜像的自动化删除。以下是一个使用Python和requests库删除指定项目下所有超过30天的镜像的示例：

import requests
from datetime import datetime, timedelta
# Harbor API基础URL和认证信息
HARBOR_URL = "https://your-harbor-server/api/v2.0"
USERNAME = "your-username"
PASSWORD = "your-password"
PROJECT_NAME = "your-project"
# 计算30天前的日期
thirty_days_ago = (datetime.now() - timedelta(days=30)).strftime("%Y-%m-%d")
# 获取认证token
def get_token():
    url = f"{HARBOR_URL}/auth/token"
    data = {
        "account": USERNAME,
        "password": PASSWORD
    }
    response = requests.post(url, json=data)
    return response.json()["token"]
# 删除老旧镜像
def delete_old_images(token):
    url = f"{HARBOR_URL}/projects/{PROJECT_NAME}/repositories"
    headers = {"Authorization": f"Bearer {token}"}
    # 获取项目下所有仓库
    repos_response = requests.get(url, headers=headers)
    repos = repos_response.json()
    for repo in repos:
        repo_name = repo["name"]
        # 获取仓库下所有标签
        tags_url = f"{HARBOR_URL}/projects/{PROJECT_NAME}/repositories/{repo_name.split('/')[-1]}/artifacts"
        tags_response = requests.get(tags_url, headers=headers)
        tags = tags_response.json()
        for tag in tags:
            # 这里简化处理，实际需要解析tag的创建时间或通过其他方式判断是否为老旧镜像
            # 假设我们有一个方法can_be_deleted(tag)来判断
            if can_be_deleted(tag, thirty_days_ago):  # 伪函数，需实现
                delete_url = f"{tags_url}/{tag['digest']}"
                delete_response = requests.delete(delete_url, headers=headers)
                print(f"Deleted {repo_name}:{tag['tag']} - {delete_response.status_code}")
# 伪函数，需根据实际情况实现判断逻辑
def can_be_deleted(tag, date_threshold):
    # 这里应该解析tag的创建时间或通过其他方式判断
    # 示例中简单返回True以演示
    return True
# 主程序
if __name__ == "__main__":
    token = get_token()
    delete_old_images(token)

注意：上述代码中的can_be_deleted函数是一个伪函数，实际实现时需要根据Harbor API返回的数据结构来解析镜像的创建时间或其他判断条件。

3. 结合CI/CD流程进行自动化清理

在CI/CD流程中，可以集成镜像清理的步骤。例如，在构建完成后，如果新构建的镜像成功通过测试并部署到生产环境，可以触发一个清理脚本，删除之前的老旧镜像。这可以通过在CI/CD配置文件中添加相应的步骤来实现。

4. 使用Harbor的保留策略

Harbor 2.0及以上版本支持设置镜像的保留策略，可以自动删除符合特定条件的镜像。通过配置保留策略，可以设定基于时间、标签或数量的规则来自动管理镜像的生命周期。

四、删除镜像的注意事项

1. 备份重要数据：在执行大规模删除操作前，确保已备份重要镜像，以防误删。
2. 权限控制：确保执行删除操作的用户具有足够的权限，避免安全风险。
3. 日志记录：记录删除操作的相关信息，便于审计和问题追踪。
4. 依赖关系：在删除镜像前，检查是否有其他服务或构建流程依赖于该镜像。

五、结论

Harbor镜像仓库中的老旧镜像清理是维护仓库健康、高效运行的重要环节。通过手动删除、API自动化、CI/CD集成以及保留策略等多种方法，可以有效地管理镜像生命周期，释放存储空间，提升系统性能。在实际操作中，应根据项目的具体需求和规模，选择最适合的清理策略，并注意遵循最佳实践，确保操作的安全性和有效性。