Harbor это open source реестр контейнеров корпоративного уровня от CNCF, который выходит далеко за рамки простого хранения Docker образов, предоставляя ролевой доступ, сканирование уязвимостей через интегрированный Trivy, репликацию между регистрами для геораспределённой инфраструктуры и поддержку OCI артефактов включая Helm чарты, WebAssembly модули и SBOM файлы. Развёртывание Harbor на собственном VPS позволяет полностью контролировать жизненный цикл контейнерных образов, обеспечить соответствие требованиям безопасности через автоматическое сканирование каждого пуша и устранить зависимость от публичных регистров с их лимитами скачивания. Наш VPS для Harbor предоставляет NVMe хранилище для быстрой работы с многослойными образами, достаточный объём RAM для PostgreSQL и Redis компонентов, а также поддержку S3-совместимого внешнего хранилища через MinIO для масштабирования.
Need this done for your project?
We implement, you ship. Async, documented, done in days.
Harbor состоит из нескольких микросервисов, работающих в Docker Compose или Kubernetes: основной core сервис на Go обрабатывает API запросы и пользовательский интерфейс, jobservice выполняет асинхронные задачи вроде репликации и сборки мусора, registry хранит фактические слои образов, PostgreSQL держит метаданные проектов и пользователей, а Redis используется для сессий и блокировок. Опциональные компоненты включают Trivy для сканирования уязвимостей и Notary для подписи образов через Docker Content Trust. Минимальная установка требует 4 ГБ RAM и 40 ГБ диска, но для активной команды с десятками проектов и интенсивным CI/CD рекомендуется выделять 8-16 ГБ RAM и не менее 200 ГБ NVMe хранилища для образов и логов сканирования.
Сканирование уязвимостей и политики
Одним из ключевых преимуществ Harbor над простым registry является встроенное сканирование уязвимостей через Trivy или сторонние сканеры. Каждый запушенный образ автоматически анализируется на наличие известных CVE в установленных пакетах, и результаты отображаются в веб-интерфейсе с детализацией по слоям и пакетам. Harbor позволяет настроить политики, запрещающие пулл образов с критическими уязвимостями, что автоматически блокирует развёртывание небезопасных приложений в продакшн. Дополнительно можно настроить retention политики для автоматического удаления старых тегов, что предотвращает разрастание хранилища и упрощает соответствие требованиям по управлению жизненным циклом артефактов. Trivy базы регулярно обновляются, поэтому даже образы, запушенные год назад, переоцениваются с учётом новых обнаруженных уязвимостей.
Репликация и федерация
Для крупных организаций с географически распределённой инфраструктурой Harbor поддерживает репликацию образов между несколькими экземплярами Harbor или с/на сторонние реестры включая Docker Hub, Quay, ECR и GCR. Репликация может быть настроена в push или pull режиме, по расписанию или триггеру на событие пуша. Типичный паттерн это центральный Harbor в основном дата-центре, который реплицирует образы на региональные Harbor в других географиях, что обеспечивает низкую задержку пулла для подов в этих регионах и устойчивость к сетевым проблемам между регионами. Наш VPS инфраструктура расположена в Европе с гигабитными каналами, что обеспечивает быструю репликацию даже для крупных образов размером в несколько гигабайт между нодами Harbor в разных дата-центрах.