Harbor

什麼是 Harbor

Harbor 是一個開源的雲原生註冊中心，用於保護和管理容器鏡像。它提供基於策略的訪問控制、漏洞掃描和鏡像簽署，以確保容器工件的完整性和安全性。與基本註冊中心不同，Harbor 與 Kubernetes 和 Docker 無縫集成，提供複製、多租戶和身份集成等功能。這使其成為需要一個強大、安全且合規的解決方案來管理跨各種雲原生平台的容器鏡像的組織的理想選擇。Harbor 專注於安全性和合規性，並易於集成，使其與更簡單的註冊中心解決方案區分開來。

Harbor 的核心功能

基於角色的訪問控制 (RBAC)

Harbor 的 RBAC 允許對鏡像訪問進行細粒度控制。管理員可以為用戶和組定義角色和權限，確保只有授權人員才能推送、提取或管理鏡像。這對於維護安全性和合規性至關重要，尤其是在多團隊環境中。 RBAC 與 LDAP 和 OIDC 等身份提供者集成，以實現集中式用戶管理。

漏洞掃描

與漏洞掃描程序（例如，Clair、Trivy）集成，以自動掃描鏡像是否存在已知漏洞。定期執行掃描，並在 Harbor UI 中顯示結果。用戶可以查看漏洞報告、評估風險並採取糾正措施。這種主動方法有助於防止部署易受攻擊的鏡像。

鏡像簽署和驗證

支持使用 Notary 或 Cosign 進行鏡像簽署，以驗證鏡像的真實性和完整性。可以在提取過程中驗證已簽署的鏡像，確保僅部署受信任的鏡像。此功能對於供應鏈安全至關重要，並防止使用被篡改或惡意的鏡像。它使用行業標準的密碼學技術。

鏡像複製

支持在多個 Harbor 實例或其他註冊中心之間進行鏡像複製。此功能對於災難恢復、高可用性和跨地理位置分佈鏡像至關重要。可以使用各種策略配置複製，包括自動和手動複製，並支持基於項目和標籤的過濾。

多租戶

支持多租戶，允許多個團隊或項目共享單個 Harbor 實例，同時保持隔離。每個租戶都有自己的一組項目、用戶和權限。這對於有多個開發團隊或需要獨立管理其容器鏡像的客戶的組織來說是理想的。

可擴展的 API 和 Web UI

提供強大的 API 和用戶友好的 Web UI，用於管理鏡像、用戶和項目。 API 允許與其他工具和系統進行自動化和集成。 Web UI 提供了一個用於瀏覽鏡像、查看掃描結果和管理訪問控制的視覺界面。這種組合提供了靈活性和易用性。

如何使用 Harbor

安裝： 選擇您的部署方法（Kubernetes 或 Docker）。按照官方文檔中的詳細說明進行操作，具體取決於您的環境。2. 配置： 使用您所需的設置配置 Harbor，包括存儲後端、數據庫和網絡設置。此步驟對於根據您的需求自定義註冊中心至關重要。3. 用戶管理： 創建用戶並分配角色以管理訪問控制。 Harbor 支持各種身份提供者，以便與現有的身份驗證系統無縫集成。4. 鏡像上傳： 使用 Docker CLI 將鏡像推送到您的 Harbor 註冊中心。確保您已登錄並使用正確的註冊中心 URL。5. 漏洞掃描： 啟用漏洞掃描以自動掃描鏡像是否存在安全漏洞。配置掃描程序以滿足您的合規性要求。6. 鏡像複製： 設置複製規則以在多個 Harbor 實例或其他註冊中心之間同步鏡像，以實現災難恢復和提高性能。

Harbor 的使用情境

安全 CI/CD 管道

開發團隊使用 Harbor 存儲和掃描在 CI/CD 過程中構建的容器鏡像。自動漏洞掃描識別並標記部署前的安全問題。簽署的鏡像確保只有受信任的工件被部署到生產環境，從而增強整個軟件交付管道的安全性。

Kubernetes 部署

在 Kubernetes 上部署應用程序的組織使用 Harbor 作為其私有註冊中心。 Kubernetes 可以直接從 Harbor 提取鏡像，並且 RBAC 確保只有授權的 Pod 才能訪問特定的鏡像。這種集成簡化了部署並增強了 Kubernetes 集群內的安全性。

多區域部署

擁有全球基礎設施的公司使用 Harbor 的複製功能將容器鏡像分佈到多個區域。鏡像被複製到本地 Harbor 實例，從而減少了延遲並提高了不同地理位置用戶的應用程序性能。這確保了高可用性和一致的用戶體驗。

合規性和審計

受監管行業的企業使用 Harbor 來滿足合規性要求。漏洞掃描、鏡像簽署和詳細的審計日誌提供了安全審計所需的證據。 RBAC 和訪問控制功能確保只有授權人員才能訪問和修改容器鏡像，從而維護數據完整性。

誰適合使用 Harbor

DevOps 工程師

DevOps 工程師需要一個可靠且安全的註冊中心來管理整個軟件開發生命週期的容器鏡像。 Harbor 提供了自動化鏡像構建、掃描和部署的工具，簡化了 CI/CD 流程並提高了整體效率。

安全專業人員

安全專業人員需要一個安全的註冊中心來保護容器鏡像免受漏洞和未經授權的訪問。 Harbor 的漏洞掃描、鏡像簽署和 RBAC 功能有助於執行安全策略並降低與容器化應用程序相關的風險。

Kubernetes 管理員

Kubernetes 管理員需要一個與 Kubernetes 無縫集成的註冊中心。 Harbor 為 Kubernetes 提供了原生支持，簡化了集群內的鏡像管理和部署。這種集成增強了整體 Kubernetes 體驗。

軟件開發人員

軟件開發人員受益於一種安全高效的方式來存儲和共享容器鏡像。 Harbor 的用戶友好界面和 API 使開發人員能夠輕鬆地推送、提取和管理他們的鏡像，從而加速開發流程並改善協作。