Harbor

扯闲淡 在进入正式话题之前，先扯个淡，这算是第一篇我正式在博客上发布的随笔吧，之前也一直有想写点什么，将自己多年的工作经验分享出来，供大家参考点评，但是奈何一直对自己的文字功底不自信（其实也确实比较烂，上学期间，语文永远是拖后腿的），当然，最主要还是因为自己的懒惰，导致一直没有付出行动。 细算下来，到目前为止，我从事.Net开发已经差不多八年了，也算是一只见证了.Net从兴起到衰落（不知道这么说会不会被打）再到逐渐有复苏迹象的老鸟了。在这个过程中，带过团队，也担任过架构师（当时为了证明自己并非野路子，2018年还专门拿下了软考《系统架构设计师》认证）。在企业内部Wiki上也写过不少文章，做过不少技术分享，但毕竟是小群体，文章写得再烂(甚至只有提纲，或者只字片语，或者只有一张图)，也可以通过沟通解释清楚，就算真的写错了，也会有很多补救措施，不会产生什么不良影响。而对外发布，对内容的完整性，严谨性以及文字组织能力的要求就要高得多，而这正是我不得不花精力填补的短板。 2020年注定是不平凡的一年，对于我们这些.Neter来说更是如此，我不确定能否通过文字完整的出自己的思想，但是我会尽力，希望我的文字不会带偏你的思路，当然，如果你能赞同我的观点，并能从中得到一点点启发，那将是我莫大的荣幸。 好了，闲淡扯完了，进入今天的正题吧！ 总体架构 在这里，我准备结合自己的工作经历和个人理解

题图摄于旧金山市政广场 近期文章： VMware招聘机器学习和云原生开发工程师 vSphere Bitfusion运行TensorFlow深度学习任务 Harbor从CNCF毕业啦！ KubeFATE: 用云原生技术赋能联邦学习 （转发 VMware 中国研发中心系列文章，本文作者系 VMware 边缘计算实验室主任） 在与众多用户的交流中，我们发现大家对安全的一个流行看法是：技术复杂的业务负担。即“完全不做不大好，做得太少易暴雷，做得太多划不来，做得很好显不出，做到多深难把握”。尤其是对于边缘计算这种新兴的计算模式，因为各种各样的原因，很多用户最关心的是它如何带来更多的业务价值，对于安全加固常常是次一级的考虑因素。 我们充分理解这样的考虑。本文试图以一种宏观的视角来描述云边协同环境内的安全状态，提出若干技术思路，以资普遍性的讨论。至于在某用户的某实际系统中应该如何实施，是利益相关方具体问题具体分析才可以的，不是本文的目标。 第十一篇 边缘计算的安全思考 原生安全 安全和边缘计算行业有一个很有意思的共同点，非常碎片化。 据统计，全球共有数千家安全厂商，分布在几十个不同的领域上。 内置 一般的安全产品经常是由系统平台厂商之外的独立专业厂商来提供的。就像在完整的衣服上打补丁：随着发现的问题增加，补丁也越来越多，最后整个系统的可维护性也越来越差。 究其根本原因，外接的安全性意味着太多产品

一分钟速览新闻点 ☁ 云计算报告 ① CNCF 发布云原生开发状态报告 <推荐> ☁ 业界新闻 ② 线上版 KuberCon 开源盛会已确认举办时间 <推荐> ③ 信通院推动“中国开源生态地图”构建 ☁ 程序员专区 ④ CNCF 开源项目 Harbor 正式发布 2.0 版本 <推荐> ⑤ Istio 1.6 正式 release ⑥ Kubernetes 1.19确定延期发布 一、云计算报告 01 CNCF 发布云原生开发状态报告 最近CNCF委托SlashData（一家研究公司，每年对40,000多名开发人员进行调查）开发一份独家报告，供社区使用。《云原生开发状态报告》基于SlashData的开发者进行调查，该调查在2019年6月至2019年8月期间进行了调查，涉及来自155个国家的17,000多名受访者，该报告的一些主要发现包括： • 全球有470万云原生开发人员。 • 这些开发商比其他任何地区都更加关注欧洲和北美。 • Kubernetes用户更有可能影响购买决策。• 68％的云原生开发人员将AWS用作云托管提供商。 https://www. wjx.cn/m/80042912.aspx (二维码自动识别) 二、业界新闻 02 线上版 KuberCon 开源盛会已确认举办时间 （>> 进入大会官网报名 ）开源界大消息：定档于7月30日-8月1日的“Cloud Native

k8s交付实战-流水线构建dubbo服务 目录 k8s交付实战-流水线构建dubbo服务 1 jenkins流水线准备工作 1.1 参数构建要点 1.2 创建流水线 1.2.1 创建流水线 1.2.2 添加10个构建参数 1.2.3 添加完成效果如下: 1.2.4 添加pipiline代码 1.3 用流水线完成dubbo-service的构建 1.3.1 选择参数化构建 1.3.2 填写完成效果如下 1.3.3 执行构建并检查 2 交付dubbo-service到k8s 2.1 准备资源清单 2.1.1 创建depeloy清单 2.2 创建k8s资源 2.2.1 创建app名称空间 2.2.2 创建secret资源 2.2.3 应用资源清单 3 交付dubbo-monitor监控服务到k8s 3.1 制作dobbo-monitor镜像 3.1.1 下载源码 3.1.2 修改配置文件： 3.1.3 优化Dockerfile启动脚本 3.1.4 构建并上传 3.2 创建资源配置清单 3.2.1 准备目录 3.2.2 创建deploy资源文件 3.2.3 创建service资源文件 3.2.4 创建ingress资源文件 3.3 创建dobbo-miniotr服务 3.3.1 应用资源配置清单 3.3.2 添加dns解析 3.3.3 访问monitor的web页面 4 构建dubbo

题图摄于北京 近期文章： VMware招聘多名云原生开发工程师（北京） Harbor 2.0的飞跃: OCI 兼容的工件仓库 运维 Harbor 镜像仓库的法宝：Operator Harbor和Dragonfly双剑合璧 KubeFATE: 用云原生技术赋能联邦学习(一) 用FATE进行图片识别的联邦学习 （转发 VMware 中国研发中心系列文章，本文作者系 VMware 边缘计算实验室主任） 第三篇 云管理虚拟化设备 智神星（Pallas）架构介绍 Pallas是Asteroid项目继谷神星（Ceres）之后的第二个里程碑，在这个发布里解决了云管理虚拟化设备的基本问题： 上云的网络连接带宽窄、不稳定 设备规模庞大 安全限制多，甚至禁止开放任何端口 Pallas架构的主要功能由管理器和代理虚机来实现，其设计要点是： 采用MQTT这样适合窄带、不稳定网络连接的协议 在云里的管理器采用互联网架构设计思想，多层、微服务、多缓冲、读写分离方式 设备自动注册至管理器，由设备发起所有连接、在云中响应 关闭设备侧所有端口、可无VPN/SD-WAN、跨公网运行 每个设备都有随机、全局唯一且永久不变的UUID 下载与安装 下载Pallas Pallas的安装包可以到VMware CTO办公室Flings网站下载，需要提前注册好一个VMware社区账号。下载包含管理器OVA、代理OVA和手册。

专门为云原生软件构建可持续生态系统的云原生计算基金会（简称CNCF）于本月23日（当地时间）正式宣布，Harbor已经成为第11个正式毕业的项目。从孵化阶段、发展成熟一路走向正式毕业，Harbor项目不仅获得更高的采用率、更加开放的治理流程与成熟的功能，同时也在社区发展、可持续性及项目包容性方面做出坚定的承诺。 Harbor是一种开源代码注册表，可通过策略与基于角色的访问控制实现工件保护，扫描镜像内容使其免受漏洞侵害，最后对镜像进行可信签名。作为云原生计算基金会下辖的孵化项目，Harbor成为保障合规性、性能与互操作性的好帮手，可帮助用户跨Kubernetes与Docker等云原生计算平台，持续安全地管理各类工件。目前，Harbor已经被引入众多知名企业的生产体系当中，包括CaiCloud、中国移动、Hyland Software、京东、Mulesoft、三星SDS、Trend Micro以及VMware等等。 就在上个月，Harbor 2.0版本全面推出。此版本增加了对开放容器计划（OCI）工件的支持，允许用户在其中存储大量云原生工件，例如容器镜像、Helm图表、OPA以及Singularity等。开发人员可以使用OCI索引中的OCI工件或打包工件，轻松享受Harbor项目带来的策略选项、复制功能以及基于角色的访问控制等成果。 云原生计算基金会CTO

1、 关于绿米联创 深圳绿米联创科技有限公司 （以下简称：绿米联创） 成立于 2009 年。2016 年，绿米联创推出了“全屋智能”理念的自有品牌——Aqara，致力于通过一系列智能家居产品技术以及服务商模式，为用户构建更加智慧的生活。 旗下产品包括温度、湿度、门窗、人体、水浸、烟雾、燃气、光照和睡眠等各类传感器，以及智能开关、插座、窗帘电机、空调控制器、调光器、门锁等各类智能控制器，目前同时支持行业应用的自动化控制与大数据分析平台。 Aqara 秉持着“引领物联技术，服务千家万户”的愿景，坚持“持之以恒追求用户体验，坚持不懈创造用户体验”的使命，在智能家居行业不断创新，最终成为行业领军品牌。 2、 挑战 绿米联创原本采用传统的应用部署方式，微服务架构 80% 以上都是偏内存型服务，资源利用率非常低，尤其是 CPU、磁盘存储，且迭代速度也不尽人意。 为了改变这种情况，绿米联创试图从持续集成开始，Jenkins、Harbor 搭建，到测试环境 Docker Swarm 编排。 但随着业务量增长速度过快，Docker Swarm 编排跨平台支持效果差，在业务量访问高峰期时，内部 Service 通信就会出现超时的问题。 于是，绿米联创又将业务架构从 Docker Swarm 全面转向 Kubernetes。在原生安装与运维 Kubernetes 方面，他们想要借助第三方开源方案。 此外

Harbor Harbor是构建企业级私有docker镜像的仓库的开源解决方案，它是Docker Registry的更高级封装， 它除了提供友好的Web UI界面，角色和用户权限管理，用户操作审计等功能外，它还整合了K8s的插件(Add-ons)仓库，即Helm通过chart方式下载，管理，安装K8s插件，而chartmuseum可以提供存储chart数据的仓库【注:helm就相当于k8s的yum】。另外它还整合了两个开源的安全组件，一个是Notary，另一个是Clair，Notary类似于私有CA中心，而Clair则是容器安全扫描工具，它通过各大厂商提供的CVE漏洞库来获取最新漏洞信息，并扫描用户上传的容器是否存在已知的漏洞信息，这两个安全功能对于企业级私有仓库来说是非常具有意义的。 一、搭建Harbor私有仓库 Harbor私有仓库和Registry私有仓库相比，功能强大很多，并且支持web图形化管理，所以在企业中非常受到欢迎！ 1）案例描述 两台docker服务器，dockerA创建Harbor私有仓库，dockerB用于测试！ 1、DockerA服务器的操作 [root@dockerA ~]# yum -y install yum-utils device-mapper-persistent-data lvm2 //下载docker-compose工具所需的依赖

公司中的所有镜像都是要上传到harbor仓库上，一层一层的打镜像，在打的同时将镜像上传到harbor上 #第一层原始系统层（ubantu/debain/centos）： 这个目录结构一定要提前设计好，我先将官方的原始系统镜像pull下来，在这层的基础之上我们会加一些常用命令 #第二层常用命令层： 否则后期还要在镜像中安装命令太过于麻烦，我们将这个安装常用命令的镜像称为公司的基础镜像叫做baseimgae，后期我们在打镜像的时候就不再调用官方的了，而是直接调用baseimgae。我们会在baseimgae这个镜像中不仅要安装命令，而且还要将我们的常用用户创建好，这个镜像创建好了之后再往下就会分叉了， #第三层业务层（nginx、PHP、JDK、tomcat、mysql等业务）： 因为公司有很多业务，这一层就包括了各种服务镜像如jdk（java环境使用的镜像）、安装PHP的镜像、安装NGINX的镜像等等服务。然后这一层再提交为一层业务镜像，并在JDK的镜像层往下再打一层tomcat的业务层，在tomcet这层之后再打一层代码层。用来存放代码的APP1、APP2这一层只是编译安装了各个服务而已他们上面是没有任何代码和web页面数据的。 第四层代码层（静态服务前端代码和tomcat的jsp代码等）： 然后再将这一层打出来的镜像就可以往公司的 Harbor 仓库进行上传了。 #宿主机：

一、概述 在上一篇文章，链接如下： https://www.cnblogs.com/xiao987334176/p/13074198.html 已经实现了基于Jenkins+Gitlab+Harbor+Rancher+k8s CI/CD，但是有一个问题，需要jenkins ssh登录到k8s master节点执行kubectl修改镜像地址。 但是由于安全问题，不允许jenkins ssh登录到k8s master节点。这个时候，可以通过Redeploy Rancher2.x Workload插件来完成修改镜像地址。 这样就避免了ssh登录问题。 二、Rancher创建api key 这个是给Jenkins来使用的。 点击用户右上角-->API & Keys 添加key 输入描述，选择永不过期，这里不指定作用范围。 请根据实际情况来原则 创建成功后，一定要保存。它只会显示一次 对于Redeploy Rancher2.x Workload Plugin而言，它只需要用到2个参数。 API访问地址: https://10.212.82.86/v3 Bearer Token: token-96p7n:d8sw4vlff68kqspcwnflbwpptt565c5cszltwbhgb4wcz9w6k5fxmj 下面会重点介绍 三、jenkins配置 插件安装 Redeploy