Docker - Harbor与CI/CD流水线集成实践

---

前言

在云原生技术栈中，CI/CD流水线是软件交付的"大动脉"，而容器镜像仓库则是承载产物的"心脏"。Harbor作为企业级镜像仓库，通过与CI/CD工具的深度集成，可实现镜像安全管控、自动化交付与环境一致性保障的完整闭环。本文将以GitLab CI和Jenkins为例，揭示构建企业级安全交付管道的核心实践。

---

一、CI/CD集成架构设计

1.1 自动化交付全景图

触发

阻断

放行

开发者提交代码

CI流水线

单元测试

镜像构建

漏洞扫描

高危镜像

推送至Harbor

同步至生产仓库

CD流水线部署

1.2 核心集成点解析

集成环节	技术实现	安全控制点
认证鉴权	Robot Account / OIDC	最小权限原则
镜像推送	docker push / buildx	内容签名验证
质量卡点	Trivy扫描结果拦截	CVSS阈值控制
部署联动	Webhook触发K8s更新	镜像版本锁定

---

二、GitLab CI集成实战

2.1 流水线配置示例（.gitlab-ci.yml）

stages:
  - build
  - scan
  - deploy

variables:
  HARBOR_URL: "harbor.example.com"
  PROJECT: "cloud-native"
  IMAGE_TAG: "${CI_COMMIT_SHA:0:8}"

build_image:
  stage: build
  image: docker:20.10
  services:
    - docker:dind
  script:
    - docker login -u ${HARBOR_USER} -p ${HARBOR_TOKEN} ${HARBOR_URL}
    - docker build -t ${HARBOR_URL}/${PROJECT}/app:${IMAGE_TAG} .
    - docker push ${HARBOR_URL}/${PROJECT}/app:${IMAGE_TAG}

vulnerability_scan:
  stage: scan
  image: aquasec/trivy:latest
  script:
    - trivy image --exit-code 1 --severity HIGH,CRITICAL ${HARBOR_URL}/${PROJECT}/app:${IMAGE_TAG}

deploy_prod:
  stage: deploy
  image: bitnami/kubectl:latest
  only:
    - main
  script:
    - kubectl set image deployment/app app=${HARBOR_URL}/${PROJECT}/app:${IMAGE_TAG}

2.2 安全增强措施

1. 凭证管理：

   # 创建Harbor Robot Account
   curl -X POST -H "Content-Type: application/json" \
     -u admin:Harbor12345 \
     -d '{"name": "gitlab-robot", "access": [{"resource": "repository", "action": "push"}]}' \
     https://harbor.example.com/api/v2.0/robots
   

2. 签名验证：

   # 在build阶段添加
   - docker trust sign ${HARBOR_URL}/${PROJECT}/app:${IMAGE_TAG}
   

---

三、Jenkins集成方案

3.1 Jenkinsfile核心配置

pipeline {
  agent any
  environment {
    HARBOR_CRED = credentials('harbor-credentials') // Jenkins凭证ID
  }
  stages {
    stage('Build') {
      steps {
        sh '''
          docker build -t ${HARBOR_URL}/dev-team/app:${BUILD_NUMBER} .
          docker push ${HARBOR_URL}/dev-team/app:${BUILD_NUMBER}
        '''
      }
    }
    stage('Scan') {
      steps {
        sh 'trivy image --exit-code 1 ${HARBOR_URL}/dev-team/app:${BUILD_NUMBER}'
        // 上传扫描报告
        archiveArtifacts 'trivy-report.html' 
      }
    }
    stage('Promote') {
      when {
        branch 'main'
      }
      steps {
        // 同步镜像到生产仓库
        sh '''
          docker pull ${HARBOR_URL}/dev-team/app:${BUILD_NUMBER}
          docker tag ${HARBOR_URL}/dev-team/app:${BUILD_NUMBER} ${HARBOR_PROD}/prod/app:${BUILD_NUMBER}
          docker push ${HARBOR_PROD}/prod/app:${BUILD_NUMBER}
        '''
      }
    }
  }
}

3.2 插件生态集成

• Harbor Plugin：可视化镜像浏览与策略管理
• Credentials Binding：安全注入Harbor认证信息
• Pipeline Utility Steps：解析Trivy报告并生成质量门禁

---

四、企业级最佳实践

4.1 分层流水线设计

流水线层级	触发条件	核心任务	Harbor交互
PR流水线	Merge Request创建	代码扫描/镜像构建/单元测试	推送至dev仓库，标记为preview
主流水线	代码合入main	安全扫描/合规检查	推送至release仓库，生成SBOM
CD流水线	手动触发/定时任务	生产环境部署/回滚	从prod仓库拉取签名镜像

4.2 安全防护体系

1. 准入控制：

   # K8s Admission Controller配置
   apiVersion: config.gatekeeper.sh/v1alpha1
   kind: ConstraintTemplate
   metadata:
     name: harbor-imagecheck
   spec:
     crd:
       spec:
         names:
           kind: HarborImageCheck
     targets:
       - target: admission.k8s.gatekeeper.sh
         rego: |
           package harbor
           violation[{"msg": msg}] {
             container := input.review.object.spec.containers[_]
             not startswith(container.image, "harbor-prod.example.com/")
             msg := sprintf("禁止使用非生产仓库镜像: %v", [container.image])
           }
   

2. 溯源追踪：

   # 镜像元数据查询
   curl -X GET -u ${HARBOR_USER}:${HARBOR_TOKEN} \
     "https://harbor.example.com/api/v2.0/projects/${project}/repositories/${repo}/artifacts/${tag}?with_scan_overview=true"
   

---

结语

Harbor与CI/CD流水线的深度集成，为云原生应用交付构建了三大核心价值：

1. 安全左移：

   • 漏洞扫描内嵌到流水线，实现"构建即安全"
   • 签名验证与准入控制形成双重防护链

2. 效率跃升：

   • 自动化同步策略减少人工干预
   • 分层存储架构优化全球分发效率

3. 合规保障：

   • 完整的审计日志满足等保要求
   • 不可变仓库设计防止供应链攻击

未来展望：随着SBOM（软件物料清单）标准的普及，Harbor将进一步成为软件供应链的核心枢纽。建议企业：

• 建立镜像生命周期管理制度
• 定期演练漏洞应急响应流程
• 探索AI辅助的镜像合规审查

在快速迭代的云原生时代，只有将安全融入CI/CD的每一环节，才能让创新没有后顾之忧。Harbor不仅是镜像的仓库，更是软件供应链的守护者。