notary

Docker Trust Initialization

筅森魡賤 提交于 2021-02-07 19:16:26
问题 When the initial trust on docker content trust with notary on tuf is initialized I understand how TUF, Notary and Content Trust works. But what is not clear to me is, how the initial trust is setup. How do I know, that the first pull is not a compromised one and the initial root.json is trustworthy? So for example if I do docker pull with content-trust enabled, I will only get signed images. But how do I verify, that this image is signed by the right person? 回答1: Notary creator and maintainer

Harbor 2.0 快速部署经验分享

天大地大妈咪最大 提交于 2020-07-28 20:40:31
题图摄于旧金山渔人码头 本文系Harbor社区用户经验分享文章,首发于公众号:运维及时雨,授权转发。 作者简介: 杜秋,云计算运维工程师,目前主要从事Kubernetes技术栈的CI/CD运维,多年一线运维工作,参与平台搭建、平台迁移、企业从自建IDC到上云、自动化建设等运维核心项目。 说明:本文离线安装,后端挂载阿里云的OSS作为images存储,以后再也不怕磁盘爆满了。 Harbor 离线版本:harbor-offline-installer-v2.0.0.tgz Harbor 2.0版本相比之前的1.x更新的不少功能: 启用Trivy作为默认漏洞扫描器,简化了Trivy扫描器的配置。 启用了Harbor组件之间的TLS,使组件内的流量更安全。 Webhook的增强功能,包括支持与Slack的交互、可选择的事件列表、多终端、新事件等。 增强机器人账户,允许用户为每个机器人设置单独的过期时间。 重构错误处理框架,以便更好地排除故障。 在用户界面中查看未标记的镜像,并将其从GC和标记保留工作中包含/排除。 选择性地从镜像中删除标签,而不删除镜像摘要或其他相关标签。 默认是https,因为notary必须在https协议下,如果不需要配置notary可以设置http。 操作系统版本: [root@192-168-0-110 ~]# cat /etc/system-release

【容器安全】Docker容器安全性分析

旧街凉风 提交于 2020-07-27 00:05:59
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究,并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如,在基于OpenStack的典型IaaS服务中,云服务提供商可通过搭建设备集群建立资源池,并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元,各虚拟机拥有独立的操作系统内核,不共用宿主机的软件系统资源,因此具有良好的隔离性,适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式,将应用与必要的执行环境打包成容器镜像,使得应用程序可以直接在宿主机(物理机或虚拟机)中相对独立地运行。容器技术在操作系统层进行虚拟化,可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署,容器的部署无需预先考虑应用的运行环境兼容性问题;相比于传统虚拟机,容器无需独立的操作系统内核就可在宿主机中运行,实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一,它模糊了传统的IaaS和PaaS的边界,具有持续部署与测试

【容器安全】Docker容器安全性分析

时光怂恿深爱的人放手 提交于 2020-07-26 20:04:44
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究,并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如,在基于OpenStack的典型IaaS服务中,云服务提供商可通过搭建设备集群建立资源池,并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元,各虚拟机拥有独立的操作系统内核,不共用宿主机的软件系统资源,因此具有良好的隔离性,适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式,将应用与必要的执行环境打包成容器镜像,使得应用程序可以直接在宿主机(物理机或虚拟机)中相对独立地运行。容器技术在操作系统层进行虚拟化,可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署,容器的部署无需预先考虑应用的运行环境兼容性问题;相比于传统虚拟机,容器无需独立的操作系统内核就可在宿主机中运行,实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一,它模糊了传统的IaaS和PaaS的边界,具有持续部署与测试

最新版Harbor搭建(harbor-offline-installer-v1.10.1.tgz)(转)

安稳与你 提交于 2020-04-23 13:05:45
Harbor 是一个开源镜像仓库,可通过基于角色的访问控制来保护镜像,新版本的Harbor还增加了扫描镜像中的漏洞并将镜像签名为受信任。 作为CNCF孵化项目,Harbor提供合规性,性能和互操作性,以帮助你跨Kubernetes和Docker等云原生计算平台持续,安全地管理镜像。 Harbor组件均以Docker容器方式启动,因此,你可以将其部署在任何支持Docker的Linux发行版上。 硬件要求 软件要求 网络端口 下载地址    https://github.com/goharbor/harbor/releases Harbor官方分别提供了在线版(不含组件镜像,相对较小)和离线版(包含组件镜像,相对较大)。 由于github下载非常非常的慢,本文底部已提供最新离线版包(harbor-offline-installer-v1.10.1.tgz)。 创建 https 证书 # 创建证书目录,并赋予权限 mkdir -p /data/cert && chmod -R 777 /data/cert && cd /data/cert # 生成私钥,需要设置密码 openssl genrsa -des3 -out harbor.key 2048 # 生成CA证书,需要输入密码 openssl req -sha512 -new \ -subj "/C=CN/ST=JS/L=WX/O