Harbor
Harbor 是一个 Docker 镜像管理工具,可提升 Registry 构建和传输镜像的效率。
前提条件
部署 Harbor Operator
已部署 Harbor Operator ,具体请参考 安装 Operator 。
存储准备
根据业务是否需要使用存储,可以提前创建与 Operator 在同一命名空间的持久卷声明(PVC)或使用 Kubernetes 节点中的本地存储。
网络准备
依赖准备
如需部署高可用 Harbor,请确保目标集群中已存在 PostgreSQL 和 Redis Operator,且存在 非 NFS 类型的
默认存储类
,以便平台自动部署所需 PostgreSQL。
创建工具实例
-
在左侧导航栏中,单击 应用商店管理 > Operators。
-
在 已部署 Operators 页签中,单击 harbor-operator。
-
单击实例卡片中的 创建实例。
-
参考以下说明配置相关参数。
参数 说明 External URL 必填项。工具访问地址,需根据 Service 配置进行规划。 - Service 的 Type 为 NodePort 时,请输入
http://IP:port。且该port必须与 Service 的 Node Port 一致。 - Service 的 Type 为 Ingress 时,请输入对应访问地址,例如:
http://harbor.example.cn。
Account - SSO Enabled:单点登录。若启用,可使用平台账号登录 Harbor,该授权账号同时支持拉取镜像。
启用 SSO 登录后有如下限制。- 快速部署并集成 Harbor 后,不支持更新 SSO 按钮开关状态。
- 使用 Harbor 本地用户登录时,仅支持使用默认的管理员账号。
- 在平台项目下绑定 Harbor 工具时,无法使用 SSO 授权账号绑定。
- 下图 用户设置 中的 用户名 和 CLI 密码 也可用于使用 Helm 或 Docker CLI 方式访问 Harbor。
- Secret:保密字典,存储了登录用户名和密码。为确保环境安全,请在 Secret 中设置密码:单击 创建,填写一个便于识别的名称后,在 配置 的 password 后填入密码。
说明:后续如需修改密码,请请 更新凭据数据信息 。Trivy 平台支持使用 Trivy 进行离线扫描。 - Db Update Schedule:仅在Offline 关闭时需要配置此选项,您可填写 cron 表达式来定时拉取最新的漏洞库,例如填写
0 0 0 * * *代表每天00:00:00拉取一次最新的漏洞库。 - Github Token:仅在Offline 关闭时需要配置此选项,,请填写在 Github 中获取的 Token 信息,用于周期地访问 GitHub 漏洞库。
- Offline:
- 开关开启时,将总是使用当前漏洞库进行离线镜像扫描。
- 开关关闭时,默认按照上述配置的 Db Update Schedule 和 Github Token 字段拉取漏洞库。
High Availability 选择是否使用高可用模式部署,若开启,您需注意以下事项。 - 高可用架构开关仅在部署时可选择关闭或打开,部署完成后无法更新开关状态。
- 请确保目标集群中已存在
PostgreSQL和Redis Operator,且存在非NFS类型的默认存储类,以便平台自动部署所需组件,部署成功后,平台会在对应 Operator 中自动生成 PostgreSQL 和 Redis 实例。
Resources - 资源请求:工具运行时占用的最小资源。
- 资源限制:工具运行时可消耗的最大资源。
Persistence - LocalPath:填写集群中已有的 Node Name 以及对应节点中的 Path,用于请求本地存储作为存储资源。
- PVC:选择一个已创建的 PVC 名称,用于请求 PVC 作为存储资源。
Service - Ingress:输入已存在的 域名 并选择 协议,在 Secret Name 字段中,您需填写已准备的证书名称。
- NodePort:配置 HTTP、HTTPS 和 Notary 的端口号,注意不要和在用的端口冲突。
- Service 的 Type 为 NodePort 时,请输入
-
单击 创建。
后续操作
集成工具
工具部署成功后,您可在 工具链管理 > 工具链集成 中集成该工具。