​Harbor制品仓库的访问控制(2)

最新推荐文章于 2024-01-18 07:15:00 发布
VIP文章 最新推荐文章于 2024-01-18 07:15:00 发布
阅读量718 收藏 2
点赞数
文章标签: github 数据库 java 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q48S71bCzBeYLOu9T0n/article/details/115059251
版权

题图摄于圣安东尼奥

注:微信公众号不按照时间排序,请关注“亨利笔记”,并加星标以置顶,以免错过更新。

(本文作者何威威系Harbor开源项目贡献者,本文节选自《Harbor权威指南》一书。)

(续上一篇)

3. 访问控制与授权

访问控制是企业应用中必须考虑的问题,不同的用户使用系统功能时应该具有不同的权限,或者说需要授权才能进行一定的操作。最常见的授权模型是基于角色的访问控制,Harbor 定义了5 种角色,用户可依据在项目中担任的角色来确定在系统中使用的权限。

基于角色的访问策略

Harbor 以项目为单位管理镜像、Helm Chart等Artifact,除了公开的Artifact(如公开项目中的镜像等)可以匿名访问,用户必须成为项目的成员,才可以访问项目的资源。在 Harbor 中还有系统管理员的特殊角色,拥有“超级用户”权限,可以管理所有项目和系统级的资源和配置。除了 Harbor 初始安装时默认创建的系统管理员 admin,拥有系统管理员角色的用户还能把其他普通用户设置为系统管理员角色。在 LDAP 认证模式下,还可设定 LDAP 的管理员组来自动获得Harbor系统管理员角色。(本文为公众号亨利笔记原创文章)

项目成员分为项目管理员、维护人员、开发者、访客和受限访客等5种角色,用户在项目中可以拥有其中一种成员角色,不同的成员角色对项目里的资源拥有不同的访问权限。创建项目的用户自动拥有该项目的项目管理员角色,还能够把其他用户添加为项目成员,并赋予一个项目角色来访问项目中的资源。各个项目的访问权限都是互相独立的,即同一个用户在不同的项目中可以拥有不同的成员角色。Harbor完整的角色权限如下表所示。

<

权    限

项目管理员

维护人员

开发者

访    客

受限访客

查看项目仓库

创建项目仓库



编辑、删除项目仓库




查看、复制、拉取 Artifact

最低0.47元/天 解锁文章
亨利笔记
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Harbor镜像仓库安装包v2.10.0版本(harbor-offline-installer-v2.10.0.tgz)
01-29
harbor镜像离线安装包最新版本下载包 用于安装harbor镜像仓库 下载后解压会得到harbor镜像仓库安装所需的所有文件 github官网harbor由于外网环境下载太慢或者直接就访问不到网址 故上传此安装包以便下载使用 结合gitalbCICD自动化集成部署使用harbor镜像仓库存储生成的镜像版本,更好的维护项目镜像
harbor仓库搭建安装包
03-15
harbor-offline-installer-v1.10.2.tgz
harbor镜像仓库维护手册
02-11
harbor镜像仓库维护手册
Harbor私有镜像仓库部署包
最新发布
03-15
解压得到部署harbor私有镜像仓库所需的docker-ce、docker-compose、harbor包。 1.环境准备 可使用已下载好的包,也可自行下载。 2.安装docker 部署docker,安装后需进行重启,使docker接管iptables规则 3.配置镜像加速和私有仓库地址 配置公网镜像仓库加速地址以及harbor私有镜像仓库地址 4.搭建harbor仓库 修改harbor.cfg配置文件中的域名以及https协议,签发https协议所需ssl证书。 使用docker-compose命令启动harbor镜像仓库的容器 5.本地windows浏览器访问配置 白屏创建项目空间,客户端docker push和docker pull测试。
k8s上部署harbor并暴露访问
03-14
使用cfssl工具配置证书并在kubernetes上部署harbor并暴露访问
docker login 登录harbor报错:Error response from daemon: Get ...: unauthorized: authentication required
m0_49562857的博客
03-09 7469
docker login 登录harbor报错:Error response from daemon: Get "http://harbor.test.cn/v2/": unauthorized: authentication required
harbor服务器配置完成,网页能访问,使用docker login登录失败,提示:unauthorized: authentication required
weixin_42118737的博客
08-30 5292
服务器登录harbor失败
解决harbor无法登录的问题
小虾米的博客
09-06 2万+
#错误信息如下 docker login -u admin -p Harbor12345 reg.mydomain.com Error response from daemon: Get https://reg.mydomain.com/v2/: unauthorized: authentication required #解决方案如下 终于通过查看位于common/config/registr...
harbor 中 使用 push 上传镜像时候 显示 没有认证
XuYongshi02的专栏
06-13 1万+
 harbor 中 使用 upload 上传镜像时候 显示 没有认证 概述: VMware harbor 安装完成后,  使用docker tag 打新的标签, 然后 用docker push上传镜像的时候, 显示 安全方面的错误。 1.客户端显示信息 [root@ip-172-30-0-20 ~]# docker push   17
harbor机器人账户使用
魏志标的博客
09-27 3114
harbor机器人账户使用
harbor的搭建
03-27
harbor的搭建
K8S--解决访问Harbor私有仓库无权限的问题(401 Unauthorized)
IT利刃出鞘的博客
01-18 2166
本文解决K8S访问Harbor私有仓库无权限的问题:401 Unauthorized。
(三)Harbor使用OpenLDAP认证登陆
weixin_30235225的博客
01-12 324
接上一篇《安装Harbor》,安装好之后,接下来我们使用OpenLDAP来进行Harbor web界面的登陆验证及权限分配! OpenLDAP:   使用OpenLDAP的都知道,这是一个集中的用户账号管理系统;使用轻量级目录访问协议(LDAP)构建集中的身份验证系统可以减少管理成本,增强安全性,避免数据复制的问题,并提高数据的一致性。 随着服务器的增加,随着用户权限的复杂性增加,只...
docker-harbor私有仓库
weixin_48145965的博客
12-14 1063
docker1安装仓库:20.0.0.61(docker-ce、har-bor、docker-compose)docker2客户端:20.0.0.62(docker-ce、har-bor、docker-compose)docker3安装仓库(实现远程同步):20.0.0.63(docker-ce、har-bor、docker-compose)(2)修改配置文件④./install.sh⑤安装若报错,systemctl restart docker(4)浏览器配置:20.0.0.61角色的作用访客只能看,只有
Harbor镜像仓库安装与使用
axibazZ的博客
06-28 396
Harbor(港口,港湾)是一个用于存储和分发Docker镜像的企业级Registry服务器。除了Harbor这个私有镜像仓库之外,还有Docker官方提供的Registry。相对Registry,Harbor具有很多优势: 1. 提供分层传输机制,优化网络传输 Docker镜像是是分层的,而如果每次传输都使用全量文件(所以用FTP的方式并不适合),显然不经济。必须提供识别分层传输的机制,以层的UUID为标识,确定传输的对象。 2. 提供WEB界面,优化用户体验 只用镜像的名字来进行上传下载显然很不方便,需
在服务器上搭建Harbor私有镜像仓库并通过HTTPS访问
A15280019132的博客
10-17 2060
Harbor 是为企业用户设计的容器镜像仓库开源项目,包括了权限管理(RBAC)、LDAP、审计、安全漏洞扫描、镜像验真、管理界面、自我注册、HA 等企业必需的功能。(转自官方文档)当然,我们用不到这么多的功能,得益于他的镜像复制功能和简洁的图形化用户界面,Harbor同样可以作为一个我们个人的私有镜像仓库去搭建并使用。
Harbor部署和使用
热门推荐
DataFlow范式
11-21 2万+
简介Harbor是VMware公司开源的企业级DockerRegistry项目,项目地址为https://github.com/vmware/harbor。其目标是帮助用户迅速搭建一个企业级的Dockerregistry服务。它以Docker公司开源的registry为基础,提供了管理UI,基于角色的访问控制(Role Based Access Control),AD/LDAP集成、以及审计日志(
解决docker harbor镜像上传失败的问题
云深海阔专栏
03-25 2677
问题报错情况: root@git-server:/etc/docker/certs.d# systemctl restart docker root@git-server:/etc/docker/certs.d# docker pull registry.yunson.com/hahamall/java:8 Error response from daemon: Get https://registry.yunson.com/v2/: x509: certificate is valid for yu.
harbor有什么好的办法精准控制IP访问
07-20
Harbor进行精确的IP访问控制,您可以考虑使用Nginx或Harbor自身提供的访问控制功能。下面分别介绍这两种方法: 1. 使用Nginx进行IP访问控制: - 在Nginx的配置文件中,为Harbor的相关位置(例如`/`或`/v2`)添加`allow`和`deny`指令来限制特定IP的访问。示例配置如下: ``` location / { deny all; allow 192.168.0.0/24; allow 10.0.0.0/16; allow 172.16.0.0/12; allow ::1; deny all; } ``` - 在上述示例中,`deny all;`指令会拒绝所有IP的访问。 - `allow`指令用于允许特定IP段的访问。 - `deny all;`指令再次拒绝所有IP的访问,以确保只有在允许的IP段内的IP可以访问。 - 保存并关闭配置文件后,重新加载Nginx配置。 2. 使用Harbor自身的访问控制功能: - 编辑Harbor的配置文件`/etc/harbor/harbor.yml`。 - 找到并修改以下参数: ``` harbor: ... access_control: # 是否启用访问控制 enabled: true # 允许访问的IP地址列表 # 您可以指定单个IP、IP段(CIDR表示法)或使用通配符(*)来表示所有IP whitelist: - 192.168.0.0/24 - 10.0.0.0/16 - 172.16.0.0/12 - ::1 ... ``` - 在`whitelist`参数中,添加允许访问的IP地址列表。 - 保存并关闭配置文件后,重新启动Harbor服务。 通过以上方法,您可以精确控制哪些IP可以访问您的Harbor实例。请根据您的实际需求选择适合您的方法,并根据需要进行配置调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值