Harbor self-hosted на офшорном VPS: приватный Docker registry с vulnerability scan

Публичные container registry удобны для open-source проектов, но для коммерческих образов появляются серьёзные ограничения. Self-hosted Harbor на офшорном VPS решает эти проблемы:

• Никаких pull rate limit: Docker Hub бесплатно даёт 100 pull в 6 часов на анонимный IP и 200 для авторизованных. На своём Harbor лимиты ставите вы сами.
• Неограниченное хранилище: зависит только от размера диска VPS. На 200 ГБ NVMe помещается ~50 коммерческих образов средней команды.
• Vulnerability scan встроенный: Trivy сканирует образы на CVE автоматически после push, тогда как Docker Hub Pro берёт за это отдельные деньги.
• Cosign signing: подписываем образы для проверки origin перед деплоем в production.
• RBAC по проектам: команда A видит только свои образы, команда B свои. Public/private projects.
• Юрисдикция Исландии: коммерческие образы с проприетарным кодом хранятся вне FVEY/Nine Eyes, провайдер не отвечает на запросы иностранных регуляторов.

Anubiz Host выделяет VPS под Harbor с NVMe и гарантированной полосой 1 Gbps, что критично для быстрого pull образов в production кластеры.

Harbor это многосервисное приложение с PostgreSQL, Redis, registry, core API, jobservice, Trivy. Минимальные требования официальной документации:

• Минимум для тестового Harbor: 2 vCPU, 4 ГБ RAM, 50 ГБ NVMe. План VPS M от $12/мес. До 20 образов и 10 пользователей.
• Production Harbor для команды 10-30: 4 vCPU, 8 ГБ RAM, 200 ГБ NVMe. План VPS L от $20/мес. Vulnerability scan активный.
• Большая инсталляция, 100+ образов: 8 vCPU, 16 ГБ RAM, 500 ГБ NVMe. План VPS XL от $35/мес или выделенный сервер от $90/мес.
• Replication между registry: отдельный VPS в другой стране для disaster recovery, Harbor реплицирует образы автоматически.
• Object storage опционально: для большой инсталляции выносим storage в MinIO или внешнее S3-совместимое хранилище.

Все планы Anubiz Host используют NVMe и гарантированную полосу 1 Gbps. Открытые порты 80/443 позволяют Harbor работать без NAT, а полный root даёт право поставить любые версии Docker и docker-compose для harbor-installer.

Container registry с production образами критическая инфраструктура. Компрометация Harbor позволяет атакующему подменить образы перед деплоем. Базовый чеклист защиты:

• HTTPS обязательно: Let's Encrypt сертификат через certbot или Cloudflare Origin certificate. Harbor отказывается работать без TLS.
• Закрытая регистрация: в Configuration отключаем self-registration, пользователей создаём вручную или через LDAP/OIDC.
• 2FA для admin аккаунтов: через OIDC интеграцию с Keycloak.
• Vulnerability scan policy: блокируем pull образов с критическими CVE через Trivy webhook.
• Cosign signing для production: production кластер pull только signed образы. Подпись через Sigstore Fulcio или собственный CA.
• Robot accounts вместо личных credentials: CI/CD pipeline использует robot account с минимальными правами push в конкретный project.
• Retention policy: удаляем образы старше N дней или оставляем только последние M тегов на каждый image.
• Регулярный backup PostgreSQL и storage: шифруем gpg и выгружаем на офшорное S3.

Anubiz Host не имеет доступа к данным внутри VPS клиента и не хранит логи pull/push операций. Юрисдикция Исландии и оплата криптой защищают команду от запросов регуляторов и утечек через билинг.