notary

题图摄于旧金山渔人码头 本文系Harbor社区用户经验分享文章，首发于公众号：运维及时雨，授权转发。 作者简介： 杜秋，云计算运维工程师，目前主要从事Kubernetes技术栈的CI/CD运维，多年一线运维工作，参与平台搭建、平台迁移、企业从自建IDC到上云、自动化建设等运维核心项目。 说明：本文离线安装，后端挂载阿里云的OSS作为images存储，以后再也不怕磁盘爆满了。 Harbor 离线版本：harbor-offline-installer-v2.0.0.tgz Harbor 2.0版本相比之前的1.x更新的不少功能： 启用Trivy作为默认漏洞扫描器，简化了Trivy扫描器的配置。 启用了Harbor组件之间的TLS，使组件内的流量更安全。 Webhook的增强功能，包括支持与Slack的交互、可选择的事件列表、多终端、新事件等。 增强机器人账户，允许用户为每个机器人设置单独的过期时间。 重构错误处理框架，以便更好地排除故障。 在用户界面中查看未标记的镜像，并将其从GC和标记保留工作中包含/排除。 选择性地从镜像中删除标签，而不删除镜像摘要或其他相关标签。 默认是https,因为notary必须在https协议下，如果不需要配置notary可以设置http。 操作系统版本： [root@192-168-0-110 ~]# cat /etc/system-release

Docker是目前最具代表性的容器技术之一，对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究，并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如，在基于OpenStack的典型IaaS服务中，云服务提供商可通过搭建设备集群建立资源池，并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元，各虚拟机拥有独立的操作系统内核，不共用宿主机的软件系统资源，因此具有良好的隔离性，适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式，将应用与必要的执行环境打包成容器镜像，使得应用程序可以直接在宿主机（物理机或虚拟机）中相对独立地运行。容器技术在操作系统层进行虚拟化，可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署，容器的部署无需预先考虑应用的运行环境兼容性问题；相比于传统虚拟机，容器无需独立的操作系统内核就可在宿主机中运行，实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一，它模糊了传统的IaaS和PaaS的边界，具有持续部署与测试

Docker是目前最具代表性的容器技术之一，对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究，并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如，在基于OpenStack的典型IaaS服务中，云服务提供商可通过搭建设备集群建立资源池，并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元，各虚拟机拥有独立的操作系统内核，不共用宿主机的软件系统资源，因此具有良好的隔离性，适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式，将应用与必要的执行环境打包成容器镜像，使得应用程序可以直接在宿主机（物理机或虚拟机）中相对独立地运行。容器技术在操作系统层进行虚拟化，可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署，容器的部署无需预先考虑应用的运行环境兼容性问题；相比于传统虚拟机，容器无需独立的操作系统内核就可在宿主机中运行，实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一，它模糊了传统的IaaS和PaaS的边界，具有持续部署与测试

Harbor 是一个开源镜像仓库，可通过基于角色的访问控制来保护镜像，新版本的Harbor还增加了扫描镜像中的漏洞并将镜像签名为受信任。 作为CNCF孵化项目，Harbor提供合规性，性能和互操作性，以帮助你跨Kubernetes和Docker等云原生计算平台持续，安全地管理镜像。 Harbor组件均以Docker容器方式启动，因此，你可以将其部署在任何支持Docker的Linux发行版上。 硬件要求 软件要求 网络端口 下载地址 　　 https://github.com/goharbor/harbor/releases Harbor官方分别提供了在线版（不含组件镜像，相对较小）和离线版（包含组件镜像，相对较大）。 由于github下载非常非常的慢，本文底部已提供最新离线版包（harbor-offline-installer-v1.10.1.tgz）。 创建 https 证书 # 创建证书目录，并赋予权限 mkdir -p /data/cert && chmod -R 777 /data/cert && cd /data/cert # 生成私钥，需要设置密码 openssl genrsa -des3 -out harbor.key 2048 # 生成CA证书，需要输入密码 openssl req -sha512 -new \ -subj "/C=CN/ST=JS/L=WX/O