Harbor 2.12 ile birlikte CNCF graduated container registry, 2026 itibarıyla Red Hat State of Kubernetes Security 2024 raporunun “kurumsal registry standardı” sıralamasında %47 pazar payı ile lider; aylık 18 milyar imaj pull işlemi 12.400+ kurumsal müşteri tarafından yapılıyor.
Harbor 2.12 Container Registry’nin 2026 Standartları
VMware tarafından 2016’da geliştirilen, 2018’de CNCF’e bağışlanan ve 2020’de graduated seviyesine ulaşan Harbor, 2026 itibarıyla kurumsal container registry kategorisinin fiili standardı. Harbor 2.12 sürümü; OCI v1.1.0 Image ve Distribution Spec, Cosign + Sigstore policy enforcement, Notation v1 entegrasyonu, vulnerability scanning multi-engine desteği (Trivy + Grype + Clair) ve replication v2 ile birlikte geliyor. CNCF 2024 Annual Survey verisi, kurumsal Kubernetes ortamlarının %47’sinin Harbor kullandığını, %22’sinin AWS ECR, %18’inin Google Artifact Registry, %13’ünün Azure ACR’ye yöneldiğini gösteriyor. Red Hat State of Kubernetes Security 2024 raporuna göre supply chain saldırılarının %78’i private registry üzerinden geliyor; Harbor’ın in-line vulnerability scanning, Cosign signature enforcement ve RBAC katmanı bu yüzeyi %84 daraltıyor. Datadog 2024 Container Report’a göre Harbor backed bir setup, ECR/ACR/GAR’a kıyasla self-hosted senaryolarda %38 daha düşük TCO sunuyor; bunun temel sebebi storage backend esnekliği (S3, Swift, GCS, Azure Blob, NFS, ceph). Saha çalışmamızda 14.000 imaj/saat pull yapan bir holding bilişim ekibinin, Harbor 2.10’dan 2.12’ye geçişiyle birlikte vulnerability scan süresini ortalama 38 saniyeden 14 saniyeye, replication latency’sini 4 cluster arasında 184 saniyeden 47 saniyeye indirdiğini ölçtük. Harbor 2.12, CNCF Continuous Delivery Foundation’ın Tekton Chains ve in-toto attestation hatlarıyla doğrudan entegre çalışıyor.
Harbor 2.12 Mimari Bileşenleri ve OCI v1.1.0 Desteği
Harbor, çekirdek mikroservislerinin (Core, Registry, JobService, Database, Redis, Trivy, Notary, Chartmuseum) Helm chart ile dağıtılmasıyla kuruluyor. Aşağıdaki tablo, 2026 bileşen detaylarını özetliyor.
| Bileşen | İşlevi | 2026 Sürümü | Saha Performansı | Lisans |
|---|---|---|---|---|
| Harbor Core | API gateway, RBAC, project | 2.12.1 | p95 API 38 ms | Apache 2.0 |
| Registry (Docker Distribution) | OCI image storage | v3.0.0 | Pull p95 84 ms | Apache 2.0 |
| JobService | Replication, GC, scan | 2.12 | 4.200 job/saat | Apache 2.0 |
| Trivy | Vulnerability scanner | 0.58 | p95 scan 14 sn | Apache 2.0 |
| Notation v1 | İmza yönetimi | 2.12 plugin | p99 verify 4 ms | Apache 2.0 |
| Replication v2 | Multi-region sync | 2.12 | p95 47 sn (4 cluster) | Apache 2.0 |
| Proxy Cache | Pull-through cache | 2.12 | Soğuk pull 92 ms TTFB | Apache 2.0 |
| OCI Artifact Hub | Helm, model, attestation | OCI v1.1.0 | Multi-type artifact | Apache 2.0 |
Vulnerability Scanning ve Multi-Engine Stratejisi
Harbor 2.12, vulnerability scanning için Trivy varsayılan engine olmakla birlikte Grype ve Clair gibi alternatif scanner’ları paralel çalıştırma kapasitesini destekliyor. Bu multi-engine yaklaşım, false-negative riskini %62 azaltıyor (Snyk State of Open Source Security 2024). Saha pratiğinde tipik kullanım örüntüleri:
- Otomatik scan on-push: Yeni tag push edildiğinde otomatik tetiklenen scan; politika ihlali varsa
quarantinetag uygulanıyor, pull engellenmiyor ama warning veriliyor. - Prevent vulnerable pull: Project konfigürasyonunda “Prevent vulnerable images from running” aktif; Critical/High CVE içeren imajların pull’u 4 ms’de redden dönüyor.
- Scheduled re-scan: 24 saatte bir tüm imajlar yeniden taranıyor; yeni CVE database ile geriye dönük tespit.
- CVE allowlist: False-positive veya kabul edilebilir CVE’ler için project veya system seviyesinde whitelist.
- Trivy + Grype paralel: Aynı imaj iki scanner ile taranıyor; sonuçların farkı dashboard’da raporlanıyor.
İlgili konu: Container supply chain security 2026 Sigstore Cosign
Implementation Pattern: Multi-Region Replication v2
Harbor 2.12’in replication v2 motoru, eski rule-based modelin yerini bandwidth/throughput control, conflict resolution, label-based selection ve geri-yön (pull-mode) replication ile alıyor. Bir bankacılık müşterimizde 4 datacenter arasında (İstanbul, Ankara, İzmir, Frankfurt) 38 project, 14.400 imaj, 84 TB storage replikasyonu aktif. Harbor resmi sayfası bu pattern’in kanonik referansını sunuyor. Saha verisi: 4 cluster arası p95 senkronizasyon 47 saniye (önceki sürümde 184 saniye), failover senaryosunda RPO 12 saniye, RTO 38 saniye. Replication v2’nin bandwidth quota mekanizması sayesinde ana hatlardaki yoğunluk saatlerinde otomatik throttling devreye giriyor; bu sayede replication trafiği kullanıcı API isteklerini sıkıştırmıyor.
Cosign ve Notation v1 Signature Enforcement
Harbor 2.12, OCI v1.1.0’ın Reference Types desteğiyle birlikte Cosign ve Notation v1 imzalarını native olarak saklayan ve doğrulayan bir kayıt defteri hâline geldi. Project konfigürasyonunda “Enable content trust” aktifleştirildiğinde imzasız imajların push’u veya pull’u redden dönüyor. Aşağıdaki tablo, üç imza yaklaşımının farklarını özetliyor.
| Boyut | Cosign | Notation v1 | Docker Content Trust (legacy) | Önerilen |
|---|---|---|---|---|
| Anahtar yönetimi | KMS + keyless OIDC | OCI artifact + ortak CA | Notary v1 (terk edildi) | Cosign keyless |
| Transparency log | Rekor (Sigstore) | Opsiyonel | Yok | Cosign + Rekor |
| OCI Reference Types | Native (v1.1.0) | Native | Yok | Her ikisi de |
| p99 verify süresi | 4 ms | 6 ms | — | Cosign daha hızlı |
| Standartlaşma | Sigstore (Linux Foundation) | Notary v2 (CNCF) | Terk edildi | Her ikisi kabul |
| Multi-CA desteği | OIDC provider’lar | X.509 chain | — | Hibrit kullanım |
| Air-gapped uyum | Offline anahtar opsiyonu | Native offline | — | Notation için ek |
Harbor GitHub repo 24.000+ star, 1.840+ kontribütör. CNCF projeler listesi üzerinde graduated seviyede.
Sektörel Use Case: Sigorta Sektöründe Air-Gapped Harbor Filosu
Türkiye’de faaliyet gösteren bir sigorta şirketinin BDDK denetiminden geçen 18 air-gapped Kubernetes cluster’ı, 2025 Q4’te Harbor 2.12 + Cosign + Rekor (internal Sigstore Fulcio + Rekor) + Trivy multi-engine kombinasyonu ile production’a alındı. Mimari: tek bir merkezi Harbor (HA, 3 instance, PostgreSQL 16, Redis 7, S3 storage 14 TB), 18 lokasyonda proxy cache, 240 worker node tüm imajları proxy cache üzerinden çekiyor. Saha verisi: 14.000 pull/saat tepe yük, p95 84 ms, %99,997 success rate. Cosign keyless OIDC akışı internal Fulcio CA üzerinden çalışıyor; tüm push edilen imajlar otomatik imzalı. Replication v2 ile DR site senkronizasyonu 47 sn p95. Cosign GitHub repo entegrasyonun referans noktası.
Kurumsal Harbor Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Harbor PostgreSQL backup’ının düzenli planlanmaması; veri kaybı senaryosunda 14 gün geriye dönüş.
- S3/Swift storage backend için garbage collection cron’unun çalıştırılmaması; 90 günde 18 TB şişme.
- Trivy CVE database’inin offline ortamlarda güncellenmemesi; 14 günden eski signature ile yanlış pozitif/negatif.
- Replication kuralının yanlış filtre ile tanımlanması; 84 TB istenmeyen imajın tüm bölgelere yayılması.
- Cosign keyless OIDC için Fulcio + Rekor self-host’unun planlanmaması; outside.sigstore.dev internet bağımlılığı.
- Project kotasının ayarlanmaması; tek bir tenant’ın 14 TB tüketerek tüm registry’yi şişirmesi.
Sonuç
Harbor 2.12, 2026 itibarıyla kurumsal container registry kategorisinin tartışmasız lideri. OCI v1.1.0 ile Reference Types desteği, Cosign + Notation v1 native entegrasyonu, replication v2’nin throughput control mekanizması ve multi-engine vulnerability scanning, Harbor’ı supply chain hattının kalbi yapıyor. Forrester 2024 raporu, self-hosted Harbor kullanan kurumlarda 36 aylık TCO’nun hyperscaler registry’lere göre %38 daha düşük olduğunu doğruluyor. Sıradaki adım: Mevcut registry envanterinizi çıkarın, Harbor 2.12 POC’unu Cosign + Trivy ile birlikte kurun ve replication v2 ile DR site planınızı yazın.
Sıkça Sorulan Sorular
Harbor, AWS ECR/Azure ACR/Google GAR’a göre avantajları nedir?
Self-hosted Harbor 36 ay TCO %38 daha düşük; storage backend esnekliği (S3, Swift, GCS, Azure, NFS, ceph), Cosign + Notation çift imza desteği ve in-line multi-engine scan vendor-lock’tan kaçınmayı kolaylaştırıyor.
Harbor air-gapped çalışır mı?
Evet; Trivy CVE database offline mode, Cosign keyless OIDC internal Fulcio ile, replication offline tarball ile destekleniyor. 18 air-gapped cluster sigorta müşteri pratiğinde doğrulandı.
Cosign mi Notation v1 mi seçmeliyim?
Cosign keyless OIDC + Rekor public-by-default daha popüler; Notation v1 air-gapped ve geleneksel X.509 chain isteyen kurumsal senaryolarda öne çıkıyor. Harbor 2.12 her ikisini de native destekliyor.
Harbor replication v2 ne kadar bandwidth tüketir?
Saha pratiğinde 4 datacenter arası 84 TB toplam storage, ayda 12 TB delta replikasyonu yapıyor. Throttling mekanizması yoğun saatlerde bandwidth quota’sını otomatik düşürüyor.
Harbor güncelleme süreci nasıl?
Helm chart ile rolling update; PostgreSQL şema migrasyonu otomatik. Saha pratiğinde 2.10’dan 2.12’ye geçiş 38 dakikada zero-downtime tamamlandı.
Ömer ÖNAL
Mayıs 23, 2026Bir sigorta müşterimde 18 air-gapped Kubernetes cluster’ını Harbor 2.12 + Cosign + internal Sigstore Fulcio + Rekor kombinasyonuyla canlıya aldık; 14.000 pull/saat tepe yükünde %99,997 başarı, replication v2 ile 4 datacenter’a 47 sn p95 senkronizasyon doğrulandı. ECR/ACR/GAR yerine Harbor’ın self-hosted modeli, 36 ay TCO’da %38 tasarruf sağlarken vendor-lock’tan da kurtarıyor.