trivy

开源镜像仓库Harbor 2.0:管理OCI兼容的工件仓库

﹥>﹥吖頭↗ 提交于 2020-10-29 17:44:21
开源镜像仓库 Harbor 2.0 正式发布了!从 2017 年 4 月发布 1.1 版本算起,经过整整 3 年,Harbor 的版本号终于 “升” 到 2.x 了。当然了,Harbor 2.0 不仅仅是大版本数字跃升那么简单,还给带来了众多重要更新,涉及代码多项重构,凝聚了项目组艰辛的付出。Harbor 2.0 成为符合 OCI(Open Container Initiatives)规范的开源镜像仓库,能够存储多种云原生工件(Artifacts),例如,容器镜像、Helm Chart、OPA、Singularity 等等。 关于OCI 先说说什么是 OCI ,然后看看 Harbor 2.0 的新功能意味着什么。 成立于 2015 年的 OCI 是 Linux 基金会旗下的合作项目,以开放治理的方式制定操作系统虚拟化(特别是 Linux 容器)的开放工业标准。 OCI 已经制定了业界的容器运行时(runtime)规范和容器镜像规范,还有一个正在讨论的镜像分发(distribution)规范。OCI 的指导思想是先有工业的实践,再总结成技术规范,例如,像 Docker 镜像格式已经广泛被用户接受之后,OCI 在此基础上制定了容器镜像格式的规范。 (本文来自公众号:亨利笔记, henglibiji ) 总体上说,OCI 提出的两个规范(镜像和运行时)是互相关联的。镜像规范定义镜像的组成

harbor 2.0 搭建docker私有仓库

淺唱寂寞╮ 提交于 2020-10-23 17:50:36
harbor Harbor 是一个CNCF基金会托管的开源的可信的云原生docker registry项目,可以用于存储、签名、扫描镜像内容,Harbor 通过添加一些常用的功能如安全性、身份权限管理等来扩展 docker registry 项目,此外还支持在 registry 之间复制镜像,还提供更加高级的安全功能,如用户管理、访问控制和活动审计等,在新版本中还添加了Helm仓库托管的支持。 Harbor最核心的功能就是给 docker registry 添加上一层权限保护的功能,要实现这个功能,就需要我们在使用 docker login、pull、push 等命令的时候进行拦截,先进行一些权限相关的校验,再进行操作,其实这一系列的操作 docker registry v2 就已经为我们提供了支持,v2 集成了一个安全认证的功能,将安全认证暴露给外部服务,让外部服务去实现。 环境准备 linux 3.10.0-957.5.1.el7.x86_64 centos 7.6.1810 配置 2c2g500g 安装 docker 安装 docker 为centos用户提供了三种安装方式,我们选择第一种,也是官网推荐的安装方式 移除旧的docker 依赖 sudo yum remove docker \ docker-client \ docker-client-latest \

Harbor 2.0 快速部署经验分享

天大地大妈咪最大 提交于 2020-07-28 20:40:31
题图摄于旧金山渔人码头 本文系Harbor社区用户经验分享文章,首发于公众号:运维及时雨,授权转发。 作者简介: 杜秋,云计算运维工程师,目前主要从事Kubernetes技术栈的CI/CD运维,多年一线运维工作,参与平台搭建、平台迁移、企业从自建IDC到上云、自动化建设等运维核心项目。 说明:本文离线安装,后端挂载阿里云的OSS作为images存储,以后再也不怕磁盘爆满了。 Harbor 离线版本:harbor-offline-installer-v2.0.0.tgz Harbor 2.0版本相比之前的1.x更新的不少功能: 启用Trivy作为默认漏洞扫描器,简化了Trivy扫描器的配置。 启用了Harbor组件之间的TLS,使组件内的流量更安全。 Webhook的增强功能,包括支持与Slack的交互、可选择的事件列表、多终端、新事件等。 增强机器人账户,允许用户为每个机器人设置单独的过期时间。 重构错误处理框架,以便更好地排除故障。 在用户界面中查看未标记的镜像,并将其从GC和标记保留工作中包含/排除。 选择性地从镜像中删除标签,而不删除镜像摘要或其他相关标签。 默认是https,因为notary必须在https协议下,如果不需要配置notary可以设置http。 操作系统版本: [root@192-168-0-110 ~]# cat /etc/system-release

【容器安全】Docker容器安全性分析

旧街凉风 提交于 2020-07-27 00:05:59
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究,并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如,在基于OpenStack的典型IaaS服务中,云服务提供商可通过搭建设备集群建立资源池,并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元,各虚拟机拥有独立的操作系统内核,不共用宿主机的软件系统资源,因此具有良好的隔离性,适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式,将应用与必要的执行环境打包成容器镜像,使得应用程序可以直接在宿主机(物理机或虚拟机)中相对独立地运行。容器技术在操作系统层进行虚拟化,可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署,容器的部署无需预先考虑应用的运行环境兼容性问题;相比于传统虚拟机,容器无需独立的操作系统内核就可在宿主机中运行,实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一,它模糊了传统的IaaS和PaaS的边界,具有持续部署与测试

【容器安全】Docker容器安全性分析

时光怂恿深爱的人放手 提交于 2020-07-26 20:04:44
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究,并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如,在基于OpenStack的典型IaaS服务中,云服务提供商可通过搭建设备集群建立资源池,并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元,各虚拟机拥有独立的操作系统内核,不共用宿主机的软件系统资源,因此具有良好的隔离性,适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式,将应用与必要的执行环境打包成容器镜像,使得应用程序可以直接在宿主机(物理机或虚拟机)中相对独立地运行。容器技术在操作系统层进行虚拟化,可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署,容器的部署无需预先考虑应用的运行环境兼容性问题;相比于传统虚拟机,容器无需独立的操作系统内核就可在宿主机中运行,实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一,它模糊了传统的IaaS和PaaS的边界,具有持续部署与测试