在Harbor镜像仓库的日常运维中，随着项目迭代和镜像版本的积累，仓库存储空间逐渐被历史镜像占用，导致新镜像上传失败或系统性能下降。如何高效清理Harbor中的旧镜像成为开发者关注的焦点。本文将从基础操作到高级策略，系统性地介绍Harbor镜像仓库的清理方法，帮助用户释放存储空间，提升仓库运行效率。

一、Harbor镜像清理的必要性

Harbor作为企业级容器镜像仓库，默认情况下不会自动删除旧镜像。长期不清理会导致以下问题：

1. 存储空间耗尽：旧镜像占用大量磁盘空间，影响新镜像的存储；
2. 检索效率降低：镜像数量过多时，查询和拉取速度变慢；
3. 安全风险：旧版本镜像可能包含未修复的漏洞，存在被攻击的风险。

例如，某企业Harbor仓库因未及时清理，存储空间从初始的500GB增长至95%，导致CI/CD流水线中断，最终通过紧急清理才恢复服务。这一案例凸显了定期清理的重要性。

二、手动清理旧镜像的方法

1. 通过Harbor Web界面删除

步骤：

1. 登录Harbor管理界面，进入“项目”或“系统管理”模块；
2. 选择目标项目，查看镜像列表；
3. 勾选需要删除的镜像（如按标签、时间筛选），点击“删除”按钮；
4. 确认删除操作。

适用场景：少量镜像的精准删除，适合运维人员日常维护。

局限性：

• 无法批量删除跨项目的镜像；
• 删除后需手动清理回收站（Harbor 2.0+支持回收站功能）。

2. 使用Harbor API批量删除

Harbor提供了RESTful API，可通过脚本实现自动化删除。

示例代码（Python）：

import requests
import json
# Harbor配置
HARBOR_URL = "https://harbor.example.com"
USERNAME = "admin"
PASSWORD = "Harbor12345"
PROJECT_NAME = "library"
# 获取认证token
auth_url = f"{HARBOR_URL}/api/v2.0/users/current"
response = requests.get(auth_url, auth=(USERNAME, PASSWORD), verify=False)
token = response.headers.get("X-Harbor-Auth-Token")
# 查询镜像列表
artifacts_url = f"{HARBOR_URL}/api/v2.0/projects/{PROJECT_NAME}/artifacts"
headers = {"X-Harbor-Auth-Token": token}
response = requests.get(artifacts_url, headers=headers, verify=False)
artifacts = response.json()
# 删除30天前的镜像
from datetime import datetime, timedelta
cutoff_date = datetime.now() - timedelta(days=30)
for artifact in artifacts:
    push_time = artifact["push_time"]
    if datetime.strptime(push_time, "%Y-%m-%dT%H:%M:%SZ") < cutoff_date:
        delete_url = f"{artifacts_url}/{artifact['digest']}"
        requests.delete(delete_url, headers=headers, verify=False)
        print(f"Deleted: {artifact['tags'][0]['name']}")

关键点：

• 需处理认证token和HTTPS证书验证；
• 可通过push_time字段筛选旧镜像；
• 批量操作需谨慎，建议先备份数据。

三、基于策略的自动清理

1. 配置Harbor的保留策略

Harbor 2.0+支持通过“系统管理”->“垃圾回收”->“保留策略”设置自动清理规则。

配置步骤：

1. 进入“保留策略”页面，点击“新建策略”；
2. 选择策略类型（如“按标签数量”或“按时间”）；
3. 设置保留规则（如“保留最近5个标签”或“删除30天前的镜像”）；
4. 选择应用范围（项目或全局）；
5. 保存并启用策略。

优势：

• 自动化执行，减少人工干预；
• 支持细粒度控制（按项目、仓库、标签设置）。

2. 结合CronJob实现定时清理

对于未启用保留策略的环境，可通过CronJob调用Harbor API或CLI工具实现定时清理。

示例（Linux CronJob）：

# 每天凌晨3点执行清理脚本
0 3 * * * /usr/bin/python3 /path/to/cleanup_script.py

脚本内容：

#!/usr/bin/python3
import subprocess
# 调用Harbor CLI删除旧镜像
subprocess.run(["harbor", "cleanup", "--days=30", "--project=library"])

四、高级清理技巧

1. 使用Harbor CLI工具

Harbor官方提供了CLI工具，支持通过命令行快速清理。

安装与使用：

# 下载Harbor CLI
wget https://github.com/goharbor/harbor/releases/download/v2.5.0/harbor-cli-linux-amd64
chmod +x harbor-cli-linux-amd64
mv harbor-cli-linux-amd64 /usr/local/bin/harbor
# 删除30天前的镜像
harbor cleanup --days=30 --project=library

2. 结合存储驱动清理

Harbor支持多种存储驱动（如Filesystem、S3、Azure Blob）。对于对象存储（如S3），可直接通过存储服务提供的生命周期策略清理旧对象。

AWS S3示例：

{
  "Rules": [
    {
      "ID": "DeleteOldImages",
      "Status": "Enabled",
      "Prefix": "harbor/library/",
      "Expiration": {
        "Days": 30
      }
    }
  ]
}

五、清理后的验证与优化

1. 验证存储空间：

   • 通过Harbor Web界面或API检查剩余存储空间；
   • 使用df -h命令查看磁盘使用情况。

2. 优化镜像管理：

   • 启用镜像签名和漏洞扫描，避免无效镜像积累；
   • 制定镜像命名规范（如<app>-<version>），便于识别和清理。

3. 监控与告警：

   • 集成Prometheus和Grafana监控Harbor存储使用情况；
   • 设置阈值告警（如存储使用率>80%时触发清理任务）。

六、总结与建议

Harbor镜像仓库的清理需结合手动操作、自动化策略和存储优化。对于小型团队，可通过Web界面和保留策略实现基础管理；对于大型企业，建议集成CI/CD流水线，在镜像构建阶段自动标记和清理旧版本。定期（如每月）执行全面清理，并记录操作日志以便审计。

最佳实践：

1. 启用Harbor的保留策略，设置合理的保留周期；
2. 结合CronJob或CI/CD工具实现自动化清理；
3. 监控存储空间使用情况，避免突发清理影响业务；
4. 定期备份重要镜像，防止误删导致数据丢失。

通过以上方法，可有效管理Harbor镜像仓库的存储空间，确保系统高效稳定运行。