容器镜像之明察秋毫:Harbor内容信任的原理及演示视频

原创 2017年10月23日 00:00:00

640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1

题图摄于北京怀柔区:五色梅



阅读导航

一、Harbor 内容信任功能防止镜像被篡改

二、镜像内容信任功能原理

三、镜像内容信任演示视频

四、Harbor征文活动送T-Shirt等纪念品,含平板电脑、Kindle等大奖

五、10月27日云原生DevOps运维论坛免费报名



(本文发布时,Harbor在Github上已获得2915颗星:https://github.com/vmware/harbor


采用容器封装应用十分方便,已经得到越来越多的使用。用户通过一些基础容器镜像,如 Ubuntu:16.04 等,可构造出符合应用场景的镜像。由于构建容器镜像时经过了很多环节,会带来一个问题,特别是在生产环境中会更多关注:用于部署的应用镜像是否具有可信任的来源?如果有人悄悄把镜像替换了,怎样可以发现?

 

在容器镜像管理中,我们可通过内容信任(Content Trust)的机制来确保镜像的来源可信。镜像的创建者可以对镜像做数字签名,签名的结果称为摘要(Digest),保存在一个称为 Notary 服务中。当镜像的用户下载时,根据镜像的名称,可以从 Notary 获得镜像的摘要,然后使用 Registry V2 的 API,做 Pull by content (Digest)的 Registry 调用,即可获得来自信任者的镜像。如果镜像没有签过名,获取 Digest 会失败,因而无法下载镜像。

 0?wx_fmt=png

镜像内容信任的机制


开源企业级 Harbor 镜像仓库从 v1.1 起增加了镜像内容信任的能力,可以帮助用户实现容器镜像的内容信任问题。在安装 Harbor 时,加上 --with-notary 选项,并且设置 HTTPS 功能,即可启动 Notary 服务。在 Docker 客户端可设置两个环境变量,即可使用内容信任功能获取信任的镜像:

 

export DOCKER_CONTENT_TRUST=1

export DOCKER_CONTENT_TRUST_SERVER=https://Harbor_IP:4443


0?wx_fmt=png

集成了内容信任Notary之后的Harbor架构图

 

更详细的使用说明,可参考 Harbor 的用户使用文档和安装部署文档。

https://github.com/vmware/harbor/blob/master/docs/user_guide.md

https://github.com/vmware/harbor/blob/master/docs/installation_guide.md

 

下面视频由 Harbor 核心开发工程师邹佳录制,演示了 Harbor 镜像内容信任的功能。



近期技术分享

10月27日在北京举行的vForum 2017的云原生DevOps论坛上,笔者将分享以下题目,还有多位大咖分享云原生业界动态和进展,报名免费,请点击下面链接或“阅读原文”,欢迎参加或转发给有需要的朋友


VMware业级容器服务架构:VIC、PKS和PCF



Harbor开源项目送 T-Shirt 等纪念品活动

 

Harbor 开源项目至今已一年有余,相信大家都有了自己独到的使用心得和经验,VMware 为才华横溢的您准备了一寸用武之地——Harbor 开源项目有奖征文活动。提交符合规则文章的用户,都可以获得 Harbor 纪念品 T-Shirt 一件及 Harbor 手机指环一个。大奖包含平板电脑、Kindle和移动硬盘等。参与方式


Harbor征文送礼品活动 

 


640?wx_fmt=jpeg

如果你是 Harbor 的开发者或用户,可申请加入“Harbor开源项目群”,入群需要真实身份,并改昵称:姓名@单位。请先关注“亨利笔记”公众号,在公众号后台发送"入群"信息即可。

640?wx_fmt=jpeg

亨利笔记


版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/q48S71bCzBeYLOu9T0n/article/details/78316764

Harbor容器镜像安全漏洞扫描详述和视频

题图摄于黄花水长城阅读导航一、Harbor v1.2 镜像仓库发布镜像扫描功能二、镜像扫描功能原理三、镜像扫描演示视频四、Harbor征文活动送T-Shirt等纪念品,含平板电脑、Kindle等大奖五...
  • q48S71bCzBeYLOu9T0n
  • q48S71bCzBeYLOu9T0n
  • 2017-10-08 00:00:00
  • 745

探索Harbor镜像仓库新的管理功能和界面

题图摄于拉斯维加斯 为追求完美的用户体验,Harbor容器镜像仓库的界面经历了数次改版,即将推出的新版本将升级到Angular 4,并在不少细节上做了改进和优化。本文作者邹佳,Harbo...
  • q48S71bCzBeYLOu9T0n
  • q48S71bCzBeYLOu9T0n
  • 2017-07-26 00:00:00
  • 665

容器镜像之明察秋毫:Harbor内容信任的原理及演示视频

题图摄于北京怀柔区:五色梅阅读导航一、Harbor 内容信任功能防止镜像被篡改二、镜像内容信任功能原理三、镜像内容信任演示视频四、Harbor征文活动送T-Shirt等纪念品,含平板电脑、Kindle...
  • q48S71bCzBeYLOu9T0n
  • q48S71bCzBeYLOu9T0n
  • 2017-10-23 00:00:00
  • 1492

Harbor开源项目有奖征文活动

(本文为转发,内容以原文为准。)Harbor 企业级镜像仓库开源至今已一年有余,相信大家都有了自己独到的使用心得和经验,VMware 为才华横溢的您准备了一寸用武之地 —— Harbor 开源项目有奖...
  • q48S71bCzBeYLOu9T0n
  • q48S71bCzBeYLOu9T0n
  • 2017-10-08 00:00:00
  • 353

docker镜像仓库harbor快速部署和使用

简介 Harbor是VMware公司最近开源的企业级Docker Registry项目, 项目地址为https://github.com/vmware/harbor 其目标是帮助用户迅速搭建一个...
  • S1234567_89
  • S1234567_89
  • 2016-10-31 09:59:47
  • 2243

容器镜像之腾挪大法: Harbor镜像远程复制视频演示

题图摄于旧金山渔人码头(本文发布时,Harbor在Github上已获得2875颗星:https://github.com/vmware/harbor)容器用户的常常需要在不同环境中拷贝镜像,譬如,从开...
  • q48S71bCzBeYLOu9T0n
  • q48S71bCzBeYLOu9T0n
  • 2017-10-15 00:00:00
  • 455

svm<em>原理</em>,最最详细的介绍

svm基本<em>原理</em>,python代码<em>实现</em>,拉格朗日与KKT算法描述... svm基本<em>原理</em>,python代码<em>实现</em>,拉格朗日与KKT算法描述 ...svm结构<em>原理</em>及方法介绍 立即下载 上传者: <em>harbor</em>888 ...
  • 2018年04月12日 00:00

Ceph Monitor源码机制分析(二)—— 初始化

Monitor的初始化 Monitor的启动过程,相对比较简单,具体过程参见ceph_mon.cc这个源码文件。大概可以分为以下几部分: 介绍ceph_mon命令能够处理的参数以及使用方法根据配...
  • scaleqiao
  • scaleqiao
  • 2016-08-18 16:38:26
  • 1979

Harbor用户机制、镜像同步和与Kubernetes的集成实践

目录: 一、Harbor的安全机制 二、Harbor的镜像同步 三、Harbor与K8s的集成实践 四、两个小贴士 五、总结 Habor是由VMWare公司开源的容器镜像仓库。事实...
  • qq_34463875
  • qq_34463875
  • 2017-03-23 15:17:36
  • 2361

开源Registry项目Harbor源代码结构解析

上周我们介绍了Harbor开源企业级容器Registry的架构,获得了社区很多朋友的反馈和建议,再次一并感谢,希望和大家一起,共同建设一个优秀的开源项目。本文请Harbor项目工程师尹文开介绍源码结构...
  • project_harbor
  • project_harbor
  • 2016-04-11 12:24:16
  • 662
收藏助手
不良信息举报
您举报文章:容器镜像之明察秋毫:Harbor内容信任的原理及演示视频
举报原因:
原因补充:

(最多只允许输入30个字)