容器镜像之明察秋毫:Harbor内容信任的原理及演示视频

原创 2017年10月23日 00:00:00

640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1

题图摄于北京怀柔区:五色梅



阅读导航

一、Harbor 内容信任功能防止镜像被篡改

二、镜像内容信任功能原理

三、镜像内容信任演示视频

四、Harbor征文活动送T-Shirt等纪念品,含平板电脑、Kindle等大奖

五、10月27日云原生DevOps运维论坛免费报名



(本文发布时,Harbor在Github上已获得2915颗星:https://github.com/vmware/harbor


采用容器封装应用十分方便,已经得到越来越多的使用。用户通过一些基础容器镜像,如 Ubuntu:16.04 等,可构造出符合应用场景的镜像。由于构建容器镜像时经过了很多环节,会带来一个问题,特别是在生产环境中会更多关注:用于部署的应用镜像是否具有可信任的来源?如果有人悄悄把镜像替换了,怎样可以发现?

 

在容器镜像管理中,我们可通过内容信任(Content Trust)的机制来确保镜像的来源可信。镜像的创建者可以对镜像做数字签名,签名的结果称为摘要(Digest),保存在一个称为 Notary 服务中。当镜像的用户下载时,根据镜像的名称,可以从 Notary 获得镜像的摘要,然后使用 Registry V2 的 API,做 Pull by content (Digest)的 Registry 调用,即可获得来自信任者的镜像。如果镜像没有签过名,获取 Digest 会失败,因而无法下载镜像。

 0?wx_fmt=png

镜像内容信任的机制


开源企业级 Harbor 镜像仓库从 v1.1 起增加了镜像内容信任的能力,可以帮助用户实现容器镜像的内容信任问题。在安装 Harbor 时,加上 --with-notary 选项,并且设置 HTTPS 功能,即可启动 Notary 服务。在 Docker 客户端可设置两个环境变量,即可使用内容信任功能获取信任的镜像:

 

export DOCKER_CONTENT_TRUST=1

export DOCKER_CONTENT_TRUST_SERVER=https://Harbor_IP:4443


0?wx_fmt=png

集成了内容信任Notary之后的Harbor架构图

 

更详细的使用说明,可参考 Harbor 的用户使用文档和安装部署文档。

https://github.com/vmware/harbor/blob/master/docs/user_guide.md

https://github.com/vmware/harbor/blob/master/docs/installation_guide.md

 

下面视频由 Harbor 核心开发工程师邹佳录制,演示了 Harbor 镜像内容信任的功能。



近期技术分享

10月27日在北京举行的vForum 2017的云原生DevOps论坛上,笔者将分享以下题目,还有多位大咖分享云原生业界动态和进展,报名免费,请点击下面链接或“阅读原文”,欢迎参加或转发给有需要的朋友


VMware业级容器服务架构:VIC、PKS和PCF



Harbor开源项目送 T-Shirt 等纪念品活动

 

Harbor 开源项目至今已一年有余,相信大家都有了自己独到的使用心得和经验,VMware 为才华横溢的您准备了一寸用武之地——Harbor 开源项目有奖征文活动。提交符合规则文章的用户,都可以获得 Harbor 纪念品 T-Shirt 一件及 Harbor 手机指环一个。大奖包含平板电脑、Kindle和移动硬盘等。参与方式


Harbor征文送礼品活动 

 


640?wx_fmt=jpeg

如果你是 Harbor 的开发者或用户,可申请加入“Harbor开源项目群”,入群需要真实身份,并改昵称:姓名@单位。请先关注“亨利笔记”公众号,在公众号后台发送"入群"信息即可。

640?wx_fmt=jpeg

亨利笔记


版权声明:本文为博主原创文章,未经博主允许不得转载。

容器镜像之腾挪大法: Harbor镜像远程复制视频演示

题图摄于旧金山渔人码头(本文发布时,Harbor在Github上已获得2875颗星:https://github.com/vmware/harbor)容器用户的常常需要在不同环境中拷贝镜像,譬如,从开...
  • q48S71bCzBeYLOu9T0n
  • q48S71bCzBeYLOu9T0n
  • 2017年10月15日 00:00
  • 297

Harbor用户机制、镜像同步和与Kubernetes的集成实践

目录: 一、Harbor的安全机制 二、Harbor的镜像同步 三、Harbor与K8s的集成实践 四、两个小贴士 五、总结 Habor是由VMWare公司开源的容器镜像仓库。事实...
  • qq_34463875
  • qq_34463875
  • 2017年03月23日 15:17
  • 1862

巧用Docker镜像仓库Harbor部署私有Mirror服务

本文作者付广平,UnitedStack有云存储工程师,北京邮电大学硕士,从事大数据和云计算相关工作,2016年毕业后加入UnitedStack大数据&容器组,负责Docker、Magnum和Sahar...
  • project_harbor
  • project_harbor
  • 2016年04月27日 16:05
  • 12610

Harbor容器镜像安全漏洞扫描详述和视频

题图摄于黄花水长城阅读导航一、Harbor v1.2 镜像仓库发布镜像扫描功能二、镜像扫描功能原理三、镜像扫描演示视频四、Harbor征文活动送T-Shirt等纪念品,含平板电脑、Kindle等大奖五...
  • q48S71bCzBeYLOu9T0n
  • q48S71bCzBeYLOu9T0n
  • 2017年10月08日 00:00
  • 463

搭建Harbor后推拉一个镜像

docker创建私有仓库Harbor
  • u012804178
  • u012804178
  • 2017年03月30日 20:25
  • 2543

Docker镜像仓库Harbor之搭建及配置

Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Harbor是由VMw...
  • aixiaoyang168
  • aixiaoyang168
  • 2017年06月21日 15:49
  • 6097

harbor 中 使用 push 上传镜像时候 显示 没有认证

 harbor 中 使用 upload 上传镜像时候 显示 没有认证 概述: VMware harbor 安装完成后,  使用docker tag 打新的标签, ...
  • XuYongshi02
  • XuYongshi02
  • 2016年06月13日 00:35
  • 2590

docker镜像仓库harbor快速部署和使用

简介 Harbor是VMware公司最近开源的企业级Docker Registry项目, 项目地址为https://github.com/vmware/harbor 其目标是帮助用户迅速搭建一个...
  • S1234567_89
  • S1234567_89
  • 2016年10月31日 09:59
  • 1742

04使用harbor配置私仓

安装harbor之前,需要安装好Python,Docker,DockerCompose。Python需要2.7以上的版本,Docker需要1.10以上的版本;Docker Compose 需要1.6....
  • gqtcgq
  • gqtcgq
  • 2016年07月17日 08:23
  • 3927

使用 harbor 搭建 docker 私有镜像仓库

harbor 是由 vmware 中国团队开发并开源的企业级 docker registry 服务,是对官方开源的 Docker Registry 的扩展,增加了一些企业需要的功能,如安全、复制和管...
  • mideagroup
  • mideagroup
  • 2016年07月28日 11:11
  • 8425
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:容器镜像之明察秋毫:Harbor内容信任的原理及演示视频
举报原因:
原因补充:

(最多只允许输入30个字)