trivy

开源镜像仓库 Harbor 2.0 正式发布了！从 2017 年 4 月发布 1.1 版本算起，经过整整 3 年，Harbor 的版本号终于 “升” 到 2.x 了。当然了，Harbor 2.0 不仅仅是大版本数字跃升那么简单，还给带来了众多重要更新，涉及代码多项重构，凝聚了项目组艰辛的付出。Harbor 2.0 成为符合 OCI（Open Container Initiatives）规范的开源镜像仓库，能够存储多种云原生工件（Artifacts），例如，容器镜像、Helm Chart、OPA、Singularity 等等。 关于OCI 先说说什么是 OCI ，然后看看 Harbor 2.0 的新功能意味着什么。 成立于 2015 年的 OCI 是 Linux 基金会旗下的合作项目，以开放治理的方式制定操作系统虚拟化（特别是 Linux 容器）的开放工业标准。 OCI 已经制定了业界的容器运行时（runtime）规范和容器镜像规范，还有一个正在讨论的镜像分发（distribution）规范。OCI 的指导思想是先有工业的实践，再总结成技术规范，例如，像 Docker 镜像格式已经广泛被用户接受之后，OCI 在此基础上制定了容器镜像格式的规范。 （本文来自公众号：亨利笔记, henglibiji ） 总体上说，OCI 提出的两个规范（镜像和运行时）是互相关联的。镜像规范定义镜像的组成

harbor Harbor 是一个CNCF基金会托管的开源的可信的云原生docker registry项目，可以用于存储、签名、扫描镜像内容，Harbor 通过添加一些常用的功能如安全性、身份权限管理等来扩展 docker registry 项目，此外还支持在 registry 之间复制镜像，还提供更加高级的安全功能，如用户管理、访问控制和活动审计等，在新版本中还添加了Helm仓库托管的支持。 Harbor最核心的功能就是给 docker registry 添加上一层权限保护的功能，要实现这个功能，就需要我们在使用 docker login、pull、push 等命令的时候进行拦截，先进行一些权限相关的校验，再进行操作，其实这一系列的操作 docker registry v2 就已经为我们提供了支持，v2 集成了一个安全认证的功能，将安全认证暴露给外部服务，让外部服务去实现。 环境准备 linux 3.10.0-957.5.1.el7.x86_64 centos 7.6.1810 配置 2c2g500g 安装 docker 安装 docker 为centos用户提供了三种安装方式，我们选择第一种，也是官网推荐的安装方式 移除旧的docker 依赖 sudo yum remove docker \ docker-client \ docker-client-latest \

题图摄于旧金山渔人码头 本文系Harbor社区用户经验分享文章，首发于公众号：运维及时雨，授权转发。 作者简介： 杜秋，云计算运维工程师，目前主要从事Kubernetes技术栈的CI/CD运维，多年一线运维工作，参与平台搭建、平台迁移、企业从自建IDC到上云、自动化建设等运维核心项目。 说明：本文离线安装，后端挂载阿里云的OSS作为images存储，以后再也不怕磁盘爆满了。 Harbor 离线版本：harbor-offline-installer-v2.0.0.tgz Harbor 2.0版本相比之前的1.x更新的不少功能： 启用Trivy作为默认漏洞扫描器，简化了Trivy扫描器的配置。 启用了Harbor组件之间的TLS，使组件内的流量更安全。 Webhook的增强功能，包括支持与Slack的交互、可选择的事件列表、多终端、新事件等。 增强机器人账户，允许用户为每个机器人设置单独的过期时间。 重构错误处理框架，以便更好地排除故障。 在用户界面中查看未标记的镜像，并将其从GC和标记保留工作中包含/排除。 选择性地从镜像中删除标签，而不删除镜像摘要或其他相关标签。 默认是https,因为notary必须在https协议下，如果不需要配置notary可以设置http。 操作系统版本： [root@192-168-0-110 ~]# cat /etc/system-release

Docker是目前最具代表性的容器技术之一，对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究，并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如，在基于OpenStack的典型IaaS服务中，云服务提供商可通过搭建设备集群建立资源池，并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元，各虚拟机拥有独立的操作系统内核，不共用宿主机的软件系统资源，因此具有良好的隔离性，适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式，将应用与必要的执行环境打包成容器镜像，使得应用程序可以直接在宿主机（物理机或虚拟机）中相对独立地运行。容器技术在操作系统层进行虚拟化，可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署，容器的部署无需预先考虑应用的运行环境兼容性问题；相比于传统虚拟机，容器无需独立的操作系统内核就可在宿主机中运行，实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一，它模糊了传统的IaaS和PaaS的边界，具有持续部署与测试

Docker是目前最具代表性的容器技术之一，对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究，并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如，在基于OpenStack的典型IaaS服务中，云服务提供商可通过搭建设备集群建立资源池，并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元，各虚拟机拥有独立的操作系统内核，不共用宿主机的软件系统资源，因此具有良好的隔离性，适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式，将应用与必要的执行环境打包成容器镜像，使得应用程序可以直接在宿主机（物理机或虚拟机）中相对独立地运行。容器技术在操作系统层进行虚拟化，可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署，容器的部署无需预先考虑应用的运行环境兼容性问题；相比于传统虚拟机，容器无需独立的操作系统内核就可在宿主机中运行，实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一，它模糊了传统的IaaS和PaaS的边界，具有持续部署与测试