Harbor

什么是 Harbor

Harbor 是一个开源的云原生注册表，用于保护和管理容器镜像。它提供基于策略的访问控制、漏洞扫描和镜像签名，以确保容器工件的完整性和安全性。与基本注册表不同，Harbor 与 Kubernetes 和 Docker 无缝集成，提供复制、多租户和身份集成等功能。这使其成为需要强大、安全且合规的解决方案来管理跨各种云原生平台的容器镜像的组织的理想选择。Harbor 专注于安全性和合规性，并易于集成，这使其有别于更简单的注册表解决方案。

Harbor 的核心功能

基于角色的访问控制 (RBAC)

Harbor 的 RBAC 允许对镜像访问进行细粒度控制。管理员可以为用户和组定义角色和权限，确保只有授权人员才能推送、拉取或管理镜像。这对于维护安全性和合规性至关重要，尤其是在多团队环境中。RBAC 与 LDAP 和 OIDC 等身份提供程序集成，用于集中用户管理。

漏洞扫描

与漏洞扫描程序（例如，Clair、Trivy）集成，以自动扫描镜像是否存在已知漏洞。定期执行扫描，并在 Harbor UI 中显示结果。用户可以查看漏洞报告、评估风险并采取纠正措施。这种主动方法有助于防止部署易受攻击的镜像。

镜像签名和验证

支持使用 Notary 或 Cosign 进行镜像签名，以验证镜像的真实性和完整性。可以在拉取过程中验证已签名的镜像，确保仅部署受信任的镜像。此功能对于供应链安全至关重要，并防止使用被篡改或恶意镜像。它使用行业标准的加密技术。

镜像复制

支持在多个 Harbor 实例或其他注册表之间进行镜像复制。此功能对于灾难恢复、高可用性以及跨地域分散位置分发镜像至关重要。可以使用各种策略配置复制，包括自动和手动复制，并支持基于项目和标签的过滤。

多租户

支持多租户，允许多个团队或项目共享单个 Harbor 实例，同时保持隔离。每个租户都有自己的一组项目、用户和权限。这对于需要独立管理其容器镜像的具有多个开发团队或客户的组织来说是理想的选择。

可扩展的 API 和 Web UI

提供强大的 API 和用户友好的 Web UI，用于管理镜像、用户和项目。API 允许与其他工具和系统进行自动化和集成。Web UI 提供了一个用于浏览镜像、查看扫描结果和管理访问控制的视觉界面。这种组合提供了灵活性和易用性。

如何使用 Harbor

安装： 选择您的部署方法（Kubernetes 或 Docker）。按照官方文档中的详细说明进行操作，具体取决于您的环境。2. 配置： 使用您所需的设置配置 Harbor，包括存储后端、数据库和网络设置。此步骤对于根据您的需求自定义注册表至关重要。3. 用户管理： 创建用户并分配角色以管理访问控制。 Harbor 支持各种身份提供程序，以便与现有身份验证系统无缝集成。4. 镜像上传： 使用 Docker CLI 将镜像推送到您的 Harbor 注册表。确保您已登录并使用正确的注册表 URL。5. 漏洞扫描： 启用漏洞扫描以自动扫描镜像是否存在安全漏洞。配置扫描程序以满足您的合规性要求。6. 镜像复制： 设置复制规则以在多个 Harbor 实例或其他注册表之间同步镜像，以进行灾难恢复并提高性能。

Harbor 的使用场景

安全 CI/CD 管道

开发团队使用 Harbor 来存储和扫描在 CI/CD 过程中构建的容器镜像。自动漏洞扫描识别并标记部署前的安全问题。已签名的镜像确保只有受信任的工件被部署到生产环境中，从而增强整个软件交付管道的安全性。

Kubernetes 部署

在 Kubernetes 上部署应用程序的组织使用 Harbor 作为其私有注册表。Kubernetes 可以直接从 Harbor 拉取镜像，并且 RBAC 确保只有授权的 Pod 才能访问特定镜像。这种集成简化了部署并增强了 Kubernetes 集群内的安全性。

多区域部署

具有全球基础设施的公司使用 Harbor 的复制功能将容器镜像分发到多个区域。镜像被复制到本地 Harbor 实例，从而减少延迟并提高不同地理位置用户的应用程序性能。这确保了高可用性和一致的用户体验。

合规性和审计

受监管行业的企业使用 Harbor 来满足合规性要求。漏洞扫描、镜像签名和详细的审计日志为安全审计提供了必要的证据。RBAC 和访问控制功能确保只有授权人员才能访问和修改容器镜像，从而维护数据完整性。

谁适合使用 Harbor

DevOps 工程师

DevOps 工程师需要一个可靠且安全的注册表来管理整个软件开发生命周期的容器镜像。Harbor 提供了用于自动化镜像构建、扫描和部署的工具，从而简化了 CI/CD 流程并提高了整体效率。

安全专业人员

安全专业人员需要一个安全的注册表来保护容器镜像免受漏洞和未经授权的访问。Harbor 的漏洞扫描、镜像签名和 RBAC 功能有助于实施安全策略并降低与容器化应用程序相关的风险。

Kubernetes 管理员

Kubernetes 管理员需要一个与 Kubernetes 无缝集成的注册表。Harbor 为 Kubernetes 提供了原生支持，简化了集群内的镜像管理和部署。这种集成增强了整体 Kubernetes 体验。

软件开发人员

软件开发人员受益于一种安全高效的方式来存储和共享容器镜像。Harbor 的用户友好界面和 API 使开发人员能够轻松地推送、拉取和管理他们的镜像，从而加速开发流程并改善协作。