一、Harbor镜像仓库老旧镜像管理的必要性

Harbor作为企业级Docker镜像仓库，其核心功能之一是集中存储和管理容器镜像。随着业务迭代，仓库中会积累大量老旧镜像，这些镜像不仅占用宝贵的存储资源，还可能引发以下问题：

1. 存储空间浪费：未清理的老旧镜像可能占据数十GB甚至TB级空间，增加硬件成本。例如，某金融企业因未定期清理，3年内仓库膨胀至50TB，其中40%为过期镜像。
2. 安全风险：老旧镜像可能包含未修复的漏洞，被攻击者利用作为入侵跳板。2022年某电商平台的Harbor仓库因保留3年前未更新的镜像，导致内网被渗透。
3. 管理效率下降：镜像列表过长会降低搜索效率，增加运维人员定位正确镜像的时间成本。

二、Harbor镜像删除的核心方法

1. 基础删除操作

Harbor提供了Web界面和API两种删除方式：

Web界面删除

1. 登录Harbor管理界面，进入目标项目
2. 在”标签”选项卡中，勾选需要删除的镜像标签
3. 点击”删除”按钮，确认操作
   示例：删除library/nginx项目下所有1.18开头的镜像

   # 通过API获取镜像列表（示例）
   curl -u admin:Harbor12345 https://harbor.example.com/api/v2.0/projects/library/nginx/artifacts
   # 手动筛选后通过界面删除

CLI工具删除

使用curl或harbor-cli工具可实现批量删除：

# 使用curl删除特定标签
curl -X DELETE -u admin:Harbor12345 \
  "https://harbor.example.com/api/v2.0/projects/library/nginx/artifacts/nginx%3A1.18.0"
# 使用harbor-cli（需先安装）
harbor-cli delete-artifact --project library --repository nginx --tag 1.18.0

2. 自动化清理策略

基于标签规则的清理

通过配置Harbor的垃圾回收（GC）策略实现自动清理：

1. 在系统管理→垃圾回收中设置规则：

   • 保留最近N个标签
   • 删除超过M天的未使用标签
   • 排除特定标签（如latest）

2. 示例配置：

   {
   "schedule": {
    "enabled": true,
    "type": "Daily",
    "time": "02:00"
   },
   "rules": [
    {
      "action": "retain",
      "params": {
        "count": 3,
        "pattern": "latest"
      }
    },
    {
      "action": "delete",
      "params": {
        "days_old": 30,
        "exclude_patterns": ["*-debug"]
      }
    }
   ]
   }

基于镜像使用情况的清理

结合CI/CD流水线数据，删除未被部署的镜像：

# Python示例：通过K8s API获取在用镜像
import kubernetes
def get_used_images():
    k8s_client = kubernetes.client.CoreV1Api()
    pods = k8s_client.list_pod_for_all_namespaces()
    used_images = set()
    for pod in pods.items:
        for container in pod.spec.containers:
            used_images.add(container.image)
    return used_images

三、高级清理技巧

1. 跨项目镜像清理

对于多项目环境，可通过Harbor的系统级API实现全局清理：

# 获取所有项目的镜像列表
PROJECTS=$(curl -s -u admin:Harbor12345 https://harbor.example.com/api/v2.0/projects | jq -r '.[].name')
for PROJECT in $PROJECTS; do
  curl -s -u admin:Harbor12345 "https://harbor.example.com/api/v2.0/projects/$PROJECT/artifacts" | \
  jq -r '.[] | select(.tags[0].name | test("^202[0-1]-"; "i")) | .repository' | \
  xargs -I {} curl -X DELETE -u admin:Harbor12345 "https://harbor.example.com/api/v2.0/projects/$PROJECT/artifacts/{}"
done

2. 存储配额管理

Harbor 2.0+支持为项目设置存储配额：

# 通过API设置项目配额
curl -X PUT -u admin:Harbor12345 \
  -H "Content-Type: application/json" \
  -d '{"storage_quota": 50}' \
  "https://harbor.example.com/api/v2.0/projects/library"

四、最佳实践建议

1. 分级存储策略：

   • 开发环境：保留最近30天镜像
   • 测试环境：保留最近90天镜像
   • 生产环境：永久保留关键版本

2. 备份与验证：

   • 删除前执行docker pull验证镜像可用性
   • 使用restic等工具备份重要镜像

3. 监控与告警：

   • 设置Prometheus监控仓库存储使用率
   • 当使用率超过80%时触发告警

4. 权限控制：

   • 遵循最小权限原则，仅授权必要人员删除权限
   • 使用robot account进行自动化清理

五、常见问题解决方案

1. 删除后空间未释放

原因：Harbor的存储后端（如NFS）可能未及时释放空间
解决方案：

# 对于文件系统存储，执行垃圾回收
docker run -it --name gc \
  -v /var/lib/registry:/var/lib/registry \
  registry:2 garbage-collect /etc/registry/config.yml

2. 误删恢复

预防措施：

• 启用Harbor的审计日志功能
• 定期导出镜像清单至外部存储

恢复方法：

1. 从备份系统恢复镜像
2. 重新推送镜像（需保留原始构建产物）

六、未来趋势

随着Harbor 3.0的发布，镜像管理将更加智能化：

1. 基于AI的镜像推荐删除：分析镜像使用模式，自动建议可删除项
2. 跨集群镜像共享：减少重复存储
3. 冷热数据分层：将不常用镜像自动迁移至低成本存储

通过实施上述策略，企业可有效管理Harbor镜像仓库，在保证业务连续性的同时，显著降低存储成本。建议每季度进行一次全面清理评估，并根据业务发展动态调整清理规则。