一、引言：Harbor镜像仓库的重要性与老旧镜像问题

Harbor作为开源的企业级Docker镜像仓库管理工具，凭借其强大的权限控制、镜像复制、漏洞扫描等功能，在云原生生态中占据重要地位。然而，随着项目迭代和镜像版本的不断积累，Harbor仓库中往往会堆积大量“老旧镜像”——这些镜像可能因版本过时、功能废弃或安全漏洞而不再使用，却仍占用存储空间、增加管理复杂度，甚至可能成为安全风险点。因此，如何高效、安全地删除Harbor仓库中的老旧镜像，成为运维团队必须面对的课题。

二、老旧镜像的定义与识别

1. 老旧镜像的定义

老旧镜像通常指以下三类：

• 版本过时镜像：如某服务从v1.0升级到v2.0后，v1.0的镜像不再被部署。
• 废弃功能镜像：因业务调整或技术栈迁移，某些镜像对应的功能已被替代。
• 安全漏洞镜像：被扫描出高危漏洞且无修复计划的镜像。

2. 识别方法

• 标签分析：通过镜像标签中的版本号（如v1.0、v2.0-beta）或时间戳（如20230101）识别旧版本。
• 部署记录：结合CI/CD流水线或Kubernetes的Deployment历史，确定哪些镜像未被部署超过一定周期（如90天）。
• 漏洞扫描报告：利用Harbor内置的Clair或Trivy等工具，标记存在未修复漏洞的镜像。

三、手动删除老旧镜像的步骤

1. 登录Harbor管理界面

通过浏览器访问Harbor的Web控制台，使用管理员账号登录。

2. 导航至项目与镜像列表

• 在左侧菜单中选择“项目”，进入目标项目。
• 在项目详情页中，切换至“镜像”标签页，查看所有镜像仓库。

3. 选择并删除镜像

• 按标签删除：在镜像仓库详情页中，勾选需要删除的标签（如v1.0），点击“删除”按钮。
• 按仓库删除：若整个仓库（如library/nginx）已废弃，可在项目镜像列表中直接删除仓库。

注意：删除操作不可逆，需确认镜像无活跃使用。

4. 命令行删除（可选）

对于大量镜像或需要脚本化操作的场景，可使用Harbor的API或curl命令：

# 获取访问令牌（需替换用户名、密码和Harbor地址）
TOKEN=$(curl -u "admin:Harbor12345" -X POST "https://harbor.example.com/api/v2.0/users/login" -H "accept: application/json" | jq -r '.token')
# 删除指定标签的镜像（需替换项目名、仓库名和标签）
curl -X DELETE "https://harbor.example.com/api/v2.0/projects/myproject/repositories/myrepo%3Aoldtag" -H "accept: application/json" -H "Authorization: Bearer $TOKEN"

四、自动化删除策略

1. 基于标签规则的自动清理

Harbor支持通过“垃圾回收”功能自动删除未被引用的标签：

• 在“系统管理”→“垃圾回收”中配置规则，如“删除超过30天未被拉取的标签”。
• 定期执行垃圾回收任务，释放存储空间。

2. 结合CI/CD流水线的清理

在Jenkins、GitLab CI等流水线中，添加删除旧镜像的步骤：

// Jenkins Pipeline示例
stage('Clean Old Images') {
    steps {
        sh '''
        # 列出所有镜像标签并过滤出旧版本
        OLD_TAGS=$(curl -s -u "admin:Harbor12345" "https://harbor.example.com/api/v2.0/projects/myproject/repositories/myrepo/artifacts" | jq -r '.[].tags[] | select(.name | startswith("v1.")) | .name')
        # 循环删除旧标签
        for TAG in $OLD_TAGS; do
            curl -X DELETE "https://harbor.example.com/api/v2.0/projects/myproject/repositories/myrepo%3A$TAG" -H "Authorization: Bearer $TOKEN"
        done
        '''
    }
}

3. 使用第三方工具

• Harbor-Auto-Clean：开源工具，支持按正则表达式匹配标签并删除。
• Prometheus+Grafana：监控镜像存储使用率，触发告警后执行清理脚本。

五、删除前的备份与验证

1. 备份策略

• 本地备份：使用skopeo或docker pull将重要镜像下载至本地。
• 对象存储备份：配置Harbor的存储后端为S3、MinIO等，利用其版本控制功能保留旧镜像。

2. 验证删除影响

• 部署测试：在测试环境验证删除后，相关服务是否能正常拉取最新镜像。
• 依赖检查：使用docker inspect或kubectl describe确认无Pod依赖被删除的镜像。

六、权限与审计

• 最小权限原则：仅授予需要删除镜像的用户“项目管理员”或“镜像删除者”角色。
• 操作日志：通过Harbor的“系统管理”→“审计日志”追踪所有删除操作，便于问题追溯。

七、总结与最佳实践

1. 定期清理：设定每月或每季度的清理周期，避免镜像堆积。
2. 标签规范：采用语义化版本控制（如v1.0.0、v2.0.0-rc1），便于识别旧版本。
3. 自动化优先：优先使用Harbor内置功能或脚本实现自动化清理，减少人为错误。
4. 安全第一：删除前确认镜像无活跃使用，并备份关键数据。

通过以上方法，企业可以高效、安全地管理Harbor镜像仓库，释放存储资源，降低运维成本，同时确保云原生环境的稳定性和安全性。