Harbor 的最新版本 1.8 最近刚刚发布。Harbor 是一个原生云计算基金会项目,它提供了一个原生云注册中心,用于容器镜像存储、签名和扫描。该版本包括 OpenID Connect 集成、新增机器人帐户和复制特性改进以及其他改进。
Harbor 是一个自托管的原生云注册中心,用于容器镜像存储、签名以及扫描容器镜像寻找漏洞。它提供了一个替代注册中心,用于不能使用公共注册中心或基于云的注册中心的情况。由于它是自托管的,所以它也是为多云策略提供一致性体验的一个选项。早在 2018 年,Harbor 就被接收为原生云计算基金会孵化项目。
Harbor 的架构(图片来源 CNCF )
在 1.8 版本中,Harbor 现在提供了 OpenID Connect 支持。管理员现在可以使用 OIDC 提供程序作为用户的身份验证模型。然后,用户可以利用他们的单点登录凭证访问 Harbor 门户。由于一些工具,如 Docker 客户端,在需要重定向到外部 IDP 时无法通过 SSO 登录,所以 Harbor 现在包含了 CLI secret。CLI secret 为最终用户提供通过 Docker 或 Helm 客户端访问 Harbor 的令牌。此功能仅在将 Harbor 身份验证模式配置为基于 OIDC 时可用。
通过 OIDC SSO 登录后,你可以从用户配置文件中获得 CLI secret。
Harbor CLI Secret UI(图片来源 Harbor )
有了 CLI secret,你就可以通过 Docker/Helm CLI 登录,使用 Harbor 用户名,并把 CLI secret 作为密码:
docker login -u testuser -p xxxxxx jt-test.local.goharbor.io
由于 Harbor 通常与不能处理 SSO 的 CI/CD 工具集成在一起,所以这个版本包含了机器人帐号。机器人帐户允许 Harbor 集成和使用自动化系统。可以将这些帐户配置为向管理员提供一个令牌,从而拥有从存储库中提取镜像和向存储库推送镜像的权限。
该版本扩展了 Harbor-to-Harbor 复制特性,使用推式复制和拉式复制来支持在 Harbor 与 Docker Hub 、 Docker Registry 以及 Huawei Cloud 之间的资源复制。正如 Harbor 博客上所说,“(公有云的)内置注册中心没有 Harbor 提供的许多功能和特性,特别是静态镜像分析。”有了这个特性,Harbor 可以作为所有镜像的中心存储库。可以根据需要对其他注册中心进行复制,让它们充当纯内容存储库。这使得 Harbor 可以用于漏洞扫描和遵从性强制执行。
此外,该版本还包括以下特性:
-
一个健康检查 API,提供所有组件的详细状态和健康状况
-
Harbor 将对 Docker Registry 版本的支持更新到 2.7.1
-
管理员现在可以使用 cron 字符串定义扫描、垃圾收集和复制作业的作业调度
-
最终用户现在可以通过 Harbor UI 中的 Swagger UI 触发 Harbor API
要了解有关上述特性的详细信息,可以查看 Harbor 博客或 GitHub 上的用户指南。Harbor 正在积极寻求扩展他们的社区,并希望人们参与到编码、测试中并提供反馈。有兴趣的个人可以在 CNCF Slack 上加入 Slack 频道#harbor 。Harbor 是开源的,你可以在其 GitHub 页面上找到各个版本。
查看英文原文: Harbor 1.8 Includes OIDC Integration and Replication Enhancements
评论