Container Registry (Harbor)
Registry open source e self-hostável para as imagens Docker.
Escolha
- Harbor (CNCF) — registry self-hosted com:
- Scan de vulnerabilidade com Trivy integrado;
- quarantine por política (bloquear CVE crítica);
- RBAC por projeto;
- assinatura de imagem (Cosign/Notary);
- replicação entre registries.
- Alternativa zero-ops: GitHub Container Registry (ghcr.io) — nativo do GitHub, ótimo para começar; migrar para Harbor quando quiser scan/políticas próprias.
Convenções de imagem
- Nome:
harbor.exemplo.com/busca-busca/<servico>. - Tag: SemVer + SHA curto (ex.:
1.4.2-a1b2c3d); evitarlatestem produção. - Toda imagem passa por Trivy no CI e no push ao Harbor (dupla verificação).
Integração no pipeline
- CI builda a imagem (multi-stage).
- CI escaneia com Trivy (falha em CVE crítica).
- CI faz push ao Harbor → Harbor re-escaneia por política.
- CI faz bump da tag no repo GitOps → Argo CD sincroniza.
Ver CI/CD e Kubernetes & GitOps.