1shaman Jan 5 2023 at 12:52

Обзор Harbor. Реестр Docker образов с организацией прав доступа и сканированием образов на наличие угроз

6 min

14K

FirstVDS corporate blogInformation Security*Open source*System administration*

Review

Comments 7

WondeRu Jan 5 2023 at 14:09

На всякий случай: Docker Hub тоже имеет сканер Snyk для проверки на уязвимости. Мне там не нравится то, что нельзя в ci/cd (gitlab) утащить результаты сканирования, например, свалить билд, если нашли критикалы. как с этим обстоят дела в Harbor?

1shaman Jan 9 2023 at 11:39

Добрый день, интеграции с CI/CD как таковой нету. В том числе и для отправки результатов на сторонние сервисы.

Отдельно от себя добавлю - в самом GitLab есть возможность подключить harbor, однако там ничего не сказано про отправку отчетов https://docs.gitlab.com/ee/user/project/integrations/harbor.html

Alkop Jan 9 2023 at 13:46

В CI\CD используем dockle сканнер. Удобно встроить в пайплайн. Работает с локальными имиджами. После docker build запускаем dockle registry/image:tag и сканируется локально собранный имидж. После успешного сканирования можно делать docker push
Как то так...

Abyss777 Jan 6 2023 at 08:34

Какое посоветуете хранилище под реестр в кластере?
Перенес стандартный registry на GlusterFS и push стал неприлично долгим.

creker Jan 7 2023 at 13:59

Мы всегда развёртываем на S3. Архитектурно ложится идеально и решения намного проще, чем полноценные кластерные файловые системы. Достаточно поднять какойнить minio и отказоустойчивый регистри готов. В дефолтном registry нужно только отключить redirect, чтобы все корректно работало.

chemtech Jan 9 2023 at 18:10

В документации harbor написано что он может проксировать Helm репозитории https://github.com/goharbor/harbor/issues/6526

https://goharbor.io/docs/2.7.0/administration/configuring-replication/create-replication-endpoints/

Но я установил harbor в k8s и не обнаружил этой функциональности https://github.com/goharbor/harbor/discussions/18032

Если кто найдет как активировать Helm repository proxy, напишите пожалуйста.

strelec7 Jan 11 2023 at 10:36

есть у Harbor одна проблемка - при перезагрузке не всегда или не все контейнеры стартуют, приходится ручками подталкивать.
или службой:

cat > /etc/systemd/system/harbor.service <<-EOF
[Unit]
Description=Harbor
After=docker.service systemd-networkd.service systemd-resolved.service
Requires=docker.service
Documentation=https://goharbor.io/docs/

[Service]
Type=simple
Restart=on-failure
RestartSec=5
ExecStart=/usr/local/bin/docker compose -f /harbor/docker-compose.yml up
ExecStop=/usr/local/bin/docker compose -f /harbor/docker-compose.yml down

[Install]
WantedBy=multi-user.target
EOF

systemctl enable harbor.service