Thank you for reading this post, don't forget to subscribe!

Harbor – это облач­ный реестр с откры­тым исход­ным кодом, кото­рый хра­нит, под­пи­сы­ва­ет и ска­ни­ру­ет обра­зы кон­тей­не­ров на нали­чие уязвимостей.

Это руко­вод­ство пока­жет вам как уста­но­вить Harbor Image Registry в Kubernetes / OpenShift с помо­щью чар­та Helm.

Вот неко­то­рые из инте­рес­ных осо­бен­но­стей реест­ра обра­зов Harbour:

Особенности Harbour

• Под­держ­ка Multi-tenant
  
• Под­держ­ка ана­ли­за без­опас­но­сти и уязвимостей
  
• Рас­ши­ря­е­мый API и веб-интерфейс
  
• Под­пи­са­ние и про­вер­ка контента
  
• Репли­ка­ция обра­зов в несколь­ких экзем­пля­рах Harbour
  
• Инте­гра­ция и кон­троль досту­па на осно­ве ролей

Helm – это инстру­мент интер­фей­са команд­ной стро­ки (CLI), создан­ный для упро­ще­ния раз­вер­ты­ва­ния при­ло­же­ний и сер­ви­сов в кла­сте­рах Kubernetes / OpenShift 

Helm исполь­зу­ет фор­мат упа­ков­ки, назы­ва­е­мый чартами.

Чарт Helm – это набор фай­лов, опи­сы­ва­ю­щих ресур­сы Kubernetes.

Шаг 1: Установка Helm 3 на Linux / macOS

Helm име­ет бинар­ник, что озна­ча­ет, что для его уста­нов­ки на вашем ком­пью­те­ре Linux / macOS не тре­бу­ет­ся ника­ких зависимостей:

Про­верь­те уста­нов­лен­ную версию:

Шаг 2: Установите чарт Harbor в Kubernetes / OpenShift кластере

Чарт – это пакет Helm.

Он содер­жит все опре­де­ле­ния ресур­сов, необ­хо­ди­мые для запус­ка при­ло­же­ния, инстру­мен­та или служ­бы внут­ри кла­сте­ра Kubernetes.

Добавь­те репо­зи­то­рий Harbour Helm:

 

 

использовать Harbor для сканирования образов Docker на наличие уязвимостей

 

Что вам нужно

Сертификаты

Если вы пла­ни­ру­е­те пере­да­вать обра­зы с ком­пью­те­ров в вашей сети (кото­рые не явля­ют­ся вашим сер­ве­ром Harbour), вам необ­хо­ди­мо ско­пи­ро­вать сер­ти­фи­ка­ты с сер­ве­ра Harbour на клиенты.

Если вы сле­до­ва­ли инструк­ци­ям по уста­нов­ке Harbor, воз­мож­но, вы исполь­зу­е­те само­за­ве­рен­ные сертификаты.

Я соби­ра­юсь пред­по­ло­жить, что это так.

И так … вот как ско­пи­ро­вать эти сер­ти­фи­ка­ты с сер­ве­ра на клиент:

1. под­клю­чи­тесь по ssh (или вой­ди­те в кон­соль) к сер­ве­ру Harbor.
   
2. Полу­чи­те root-доступ с помо­щью коман­ды sudo -s.
   
3. Перей­ди­те в ката­лог сер­ти­фи­ка­тов с помо­щью коман­ды cd /etc/docker/certs.d/SERVER_IP (где SERVER_IP – это IP-адрес ваше­го сервера).
   
4. Ско­пи­руй­те ключ ca.cert на кли­ент с помо­щью коман­ды scp ca.cert USER @ CLIENT_IP: / home / USER (где USER – имя поль­зо­ва­те­ля на кли­ент­ском ком­пью­те­ре, а CLIENT_IP – IP-адрес кли­ент­ско­го компьютера).
   
5. Ско­пи­руй­те ключ ca.crt на кли­ент с помо­щью коман­ды scp ca.crt USER @ CLIENT_IP: / home / USER (где USER – это имя поль­зо­ва­те­ля на кли­ент­ском ком­пью­те­ре, а CLIENT_IP – это IP-адрес кли­ент­ско­го компьютера).
   
6. Ско­пи­руй­те кли­ент­ский ключ ca.key с помо­щью коман­ды scp ca.key USER @ CLIENT_IP: / home / USER (где USER – это имя поль­зо­ва­те­ля на кли­ент­ском ком­пью­те­ре, а CLIENT_IP – это IP-адрес кли­ент­ско­го компьютера).
   
7. SSH к кли­ент­ско­му ком­пью­те­ру с помо­щью коман­ды ssh USER @ CLIENT_IP (где USER – имя поль­зо­ва­те­ля на кли­ент­ском ком­пью­те­ре, а CLIENT_IP – IP-адрес кли­ент­ско­го компьютера).
   
8. Создай­те новый ката­лог сер­ти­фи­ка­тов с помо­щью коман­ды sudo mkdir -p /etc/docker/certs.d/SERVER_IP (где SERVER_IP – это IP-адрес сер­ве­ра Harbour).
   
9. Ско­пи­руй­те фай­лы с помо­щью коман­ды sudo cp ca. * /etc/docker/certs.d/SERVER_IP (где SERVER_IP – IP-адрес сер­ве­ра Harbor).

Пометка образов ( теги )

Преж­де чем отпра­вить образ с кли­ен­та на сер­вер, сна­ча­ла необ­хо­ди­мо поме­тить его.

Допу­стим, у вас есть офи­ци­аль­ный образ Ubuntu, и вы хоти­те поме­тить его кон­крет­ным име­нем разработчика.

Что­бы поме­тить его так, что­бы его мож­но было пере­не­сти в реестр Harbor, коман­да tag будет выгля­деть так:

•  SERVER_IP – это IP-адрес сер­ве­ра Harbour.
  
• PROJECT_NAME – это имя про­ек­та на сер­ве­ре Harbour.
  
• DEVNAME: имя раз­ра­бот­чи­ка, кото­ро­го вы хоти­те пометить.

 

Таким обра­зом, коман­да может выгля­деть так:

Пушинг образа

Где SERVER_IP – это IP-адрес сер­ве­ра Harbor.

Вам будет пред­ло­же­но вве­сти имя поль­зо­ва­те­ля и пароль поль­зо­ва­те­ля на сер­ве­ре Harbour.

После вхо­да в систе­му вы може­те спу­шить образ с помо­щью команды:

 

Щелк­ни­те на новый образ и в появив­шем­ся окне уста­но­ви­те фла­жок, свя­зан­ный с тегом образа.

После выбо­ра нажми­те кноп­ку SCAN, что­бы начать сканирование.

Если вы нажме­те на имя тега, вы уви­ди­те пол­ный отчет, в кото­ром пред­став­ле­ны пол­ные резуль­та­ты, вклю­чая CVE для каж­дой уязвимости:

Про­кру­ти­те весь отчет, что­бы про­смот­реть все уязвимости.

Если вы обна­ру­жи­те, что образ содер­жит слиш­ком мно­го общих уяз­ви­мо­стей или доста­точ­но сред­них или высо­ких уяз­ви­мо­стей, я пред­ла­гаю не исполь­зо­вать его.

Но важ­но про­ска­ни­ро­вать эти уязвимости!