Что такое Harbor?

Что такое Harbor?
Harbor — это корпоративный реестр контейнерных образов (Container Registry) с открытым исходным кодом, предназначенный для безопасного хранения, управления, подписывания и распространения Docker-образов и OCI-артефактов. Проект был создан компанией VMware и позже передан под управление Cloud Native Computing Foundation, где стал одним из наиболее популярных решений для организации приватных Docker Registry.

Harbor значительно расширяет возможности обычного Docker Registry, добавляя управление пользователями, контроль доступа, сканирование уязвимостей, репликацию, аудит и множество других корпоративных функций.

История создания
Проект Harbor появился в 2016 году, когда компания VMware решила создать полноценный корпоративный реестр контейнеров.

Основные причины появления Harbor:

• отсутствие корпоративных возможностей в Docker Registry;
• необходимость централизованного хранения контейнеров;
• повышение безопасности цепочки поставки ПО (Software Supply Chain);
• интеграция с корпоративными системами аутентификации.

В 2018 году Harbor стал проектом CNCF Sandbox.

В 2019 году получил статус Incubating

В 2020 году Harbor стал Graduated Project CNCF — высшей степенью зрелости проекта.

Сегодня Harbor используют тысячи компаний по всему миру.

Основные возможности Harbor

1. Приватный Docker Registry
   Harbor позволяет хранить:

• Docker Images;
• OCI Images;
• Helm Charts;
• OCI Artifacts;
• WASM-модули;
• SBOM;
• Cosign Signatures.

2. Управление пользователями
   Поддерживаются:

• LDAP
• Active Directory
• OIDC
• OAuth2
• Robot Accounts
• RBAC

Можно гибко управлять доступом к проектам.

3. Сканирование уязвимостей
   Одной из самых популярных функций Harbor является автоматическая проверка контейнеров на наличие CVE.

Поддерживаются сканеры:

• Trivy
• Clair (устаревший)
• сторонние Security Scanner Adapter

После загрузки образ автоматически проверяется.

Например:

nginx:latest

Critical: 2
High: 12
Medium: 35
Low: 56

4. Репликация Registry
   Harbor умеет автоматически синхронизировать контейнеры между:

• Harbor → Harbor
• Harbor → Docker Hub
• Harbor → AWS ECR
• Harbor → Google Artifact Registry
• Harbor → Azure Container Registry
• Harbor → GitHub Container Registry

Это удобно при работе сразу с несколькими дата-центрами.

5. Подпись образов
   Harbor поддерживает современные механизмы проверки подлинности контейнеров.

• Например:
• Cosign
• Notary v2

Это позволяет гарантировать, что образ не был изменён.

6. Immutable Tags
   Можно запретить изменение опубликованных тегов.

Например:

v1.0

нельзя перезаписать
Это защищает production от случайной замены образов.

7. Политики хранения
   Harbor автоматически удаляет старые образы.

Например:

• оставить последние 20 версий;
• удалить старше 90 дней;
• удалить неиспользуемые образы.

8. Репозитории проектов
   Поддерживается разделение по проектам.

Например:

backend/

frontend/

monitoring/

devops/

production/
Каждый проект имеет собственные права доступа.

9. Аудит
   Harbor ведёт журнал всех операций:

• вход пользователей;
• удаление образов;
• загрузка;
• скачивание;
• изменение прав.

Это особенно важно для крупных компаний.

Архитектура Harbor
Harbor состоит из нескольких сервисов:

• Core API
• Portal (Web UI)
• Registry
• Job Service
• Database (PostgreSQL)
• Redis
• Trivy Scanner
• Nginx

Все компоненты работают в контейнерах.

Плюсы Harbor
✅ Бесплатный и Open Source

Полностью бесплатен для коммерческого использования.

✅ Корпоративный уровень

Подходит даже для очень крупных организаций.

✅ Отличная безопасность

Поддерживаются:

• RBAC
• LDAP
• OIDC
• Robot Accounts
• Immutable Images
• Vulnerability Scanning
• Image Signing

✅ Очень удобный Web-интерфейс

Большинство операций можно выполнить без командной строки.

✅ Поддержка Kubernetes

Отлично интегрируется с:

• Kubernetes
• Helm
• ArgoCD
• FluxCD

✅ Репликация между Registry

Позволяет строить географически распределённые инфраструктуры.

✅ Высокая производительность

Harbor способен обслуживать десятки тысяч контейнерных образов.

Минусы Harbor
❌ Более сложная установка

По сравнению с Docker Registry требуется развернуть несколько сервисов.

❌ Требует больше ресурсов

Минимальная рекомендуемая конфигурация:

• 2 CPU
• 4-8 GB RAM
• SSD

❌ Некоторые функции требуют настройки

Например:

• репликация;
• LDAP;
• OIDC;
• Image Signing.

❌ Не является системой CI/CD

Harbor хранит контейнеры, но не собирает их.

Для сборки потребуется использовать:

• GitLab CI
• Jenkins
• GitHub Actions

Преимущества Harbor перед конкурентами
Решение Преимущества Harbor
Docker Registry Web UI, RBAC, сканирование уязвимостей, аудит, репликация
Nexus Repository Лучше подходит именно для контейнеров, проще управление OCI-образами
JFrog Artifactory Бесплатная версия значительно функциональнее для работы с контейнерами
GitHub Container Registry Полный контроль над инфраструктурой, локальное размещение, отсутствие зависимости от облака
GitLab Container Registry Более развитые функции безопасности, репликации и управления проектами
AWS ECR Работает в любой инфраструктуре, не привязан к одному облачному провайдеру
Azure Container Registry Открытый исходный код и возможность локального развертывания
Google Artifact Registry Простота интеграции с локальными дата-центрами и гибкость настройки
Примеры использования
DevOps
Хранение Docker-образов после сборки в CI/CD.

GitLab CI
↓
Build Image
↓
Push → Harbor
↓
Kubernetes
Kubernetes
Все кластеры получают контейнеры из одного централизованного реестра.

Безопасность
Каждый новый образ автоматически проходит:

• проверку на CVE;
• проверку подписи;
• применение политик безопасности.

Мультиоблачная инфраструктура
Один Harbor может реплицировать контейнеры сразу в несколько облаков.

Корпоративные среды
Harbor часто используется в:

• банках;
• государственных организациях;
• телеком-компаниях;
• крупных IT-компаниях;
• производственных предприятиях.

Когда стоит использовать Harbor?
Harbor будет отличным выбором, если необходимо:

• организовать приватный реестр контейнеров;
• хранить Docker- и OCI-образы внутри компании;
• автоматически проверять контейнеры на уязвимости;
• реализовать контроль доступа и аудит;
• интегрировать реестр с Kubernetes и CI/CD;
• обеспечить соответствие современным требованиям безопасности цепочки поставки ПО.

Заключение
Harbor — одна из самых функциональных и зрелых платформ для управления контейнерными образами. Благодаря открытому исходному коду, встроенному сканированию уязвимостей, поддержке подписей, репликации, разграничению прав доступа и тесной интеграции с Kubernetes, Harbor стал фактическим стандартом для организаций, которым требуется безопасный и масштабируемый корпоративный Container Registry. Он подходит как для небольших команд разработки, так и для крупных предприятий с распределённой инфраструктурой.