Registry实现高效安全的容 器镜像运维 姜坦 VMware中国研发中心资深研发工程师 Runtime Package Cluster 开场 1 镜像运维 2 开源企业级镜像仓库-Harbor 3 集成Harbor 4 总结 议程 4 Registry 镜像 Images Push Pull • 镜像存储仓库 • • 分发镜像的媒介 • 访问控制和镜像管理较佳节点 Registry – 镜像管理的重要部件 • 基础镜像 ubuntu:latest 可能在不同构建时间会有差别 • 即使 ubuntu:14.04 也可能会有改变（补丁不同） • apt-get (curl, wget..) 无法保证安装同样的软件包 • ADD 依赖构建时候的文件 5 例子: FROM ubuntu /myapp/app.jar 同一个 Dockerfile 始终生成同一个镜像? • 容器镜像贯穿软件生命周期各个阶段 – 开发 – 测试 – 准生产 – 产线 • 镜像一致性重要性 – 版本控制 – 问题追踪 – 审计 6 二进制格式 镜像一致性 • 企业用户通常把镜像存放在组织内部 – 知识产权不泄漏 – 高效率: LAN vs WAN

Container Platform 4.2 镜像 在 OpenShift Container Platform 4.2 中创建和管理镜像及镜像流 Last Updated: 2020-08-21 OpenShift Container Platform 4.2 镜像 在 OpenShift Container Platform 4.2 中创建和管理镜像及镜像流 法律通告 法律通告 Copyright are the property of their respective owners. 摘要 摘要 本文档介绍在 OpenShift Container Platform 4.2 中创建和管理镜像及镜像流。另外还介绍如何使用 模板。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. 关于镜像 REGISTRY 2.2. 创建镜像 REGISTRY 2.3. 在 PULL SECRET 中添加 REGISTRY 2.4. 镜像 OPENSHIFT CONTAINER PLATFORM 镜像存储库 2.5. 使用带有备用或经过镜像的 REGISTRY 的 SAMPLES OPERATOR 镜像流 第 第 3 章 章 了解容器、 了解容器、镜 镜像和 像和镜 镜像流 像流

Container Platform 4.7 镜像 在 OpenShift Container Platform 中创建和管理镜像及镜像流 Last Updated: 2023-03-24 OpenShift Container Platform 4.7 镜像 在 OpenShift Container Platform 中创建和管理镜像及镜像流 Enter your first name trademarks are the property of their respective owners. 摘要 摘要 本文档介绍在 OpenShift Container Platform 中创建和管理镜像及镜像流。另外还介绍如何使用模 板。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 镜 镜像概述 像概述 1.1. 了解容器、镜像和镜像流 1.2. 镜像 1.3. 镜像 REGISTRY 1.4. 镜像存储库 1.5. 镜像标签 1.6. 镜像 ID 1.7. 容器 1.8. 为什么使用镜像流 1.9. 镜像流标签 1.10. 镜像流镜像 1.11. 镜像流触发器 1.12. 如何使用 CLUSTER SAMPLES

Container Platform 4.14 镜像 在 OpenShift Container Platform 中创建和管理镜像及镜像流 Last Updated: 2024-02-23 OpenShift Container Platform 4.14 镜像 在 OpenShift Container Platform 中创建和管理镜像及镜像流 法律通告 法律通告 Copyright trademarks are the property of their respective owners. 摘要 摘要 本文档介绍在 OpenShift Container Platform 中创建和管理镜像及镜像流。另外还介绍如何使用模 板。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 镜 镜像概述 像概述 1.1. 了解容器、镜像和镜像流 1.2. 镜像 1.3. 镜像 REGISTRY 1.4. 镜像存储库 1.5. 镜像标签 1.6. 镜像 ID 1.7. 容器 1.8. 为什么使用镜像流 1.9. 镜像流标签 1.10. 镜像流镜像 1.11. 镜像流触发器 1.12. 如何使用 CLUSTER SAMPLES

Kubernetes安全求生指南 ©2019 VMware, Inc. 2  您的Kubernetes環境夠安全嗎?  Kubernetes安全最佳實務  VMware Enterprise PKS平台如何實踐K8s與容器的安全強化  最困難的部分其實是....  總結 本日議程 3 ©2019 VMware, Inc. 您的Kubernetes環境夠安全嗎? ©2019 VMware, Inc. 4 ​整個Kubernetes運作環境是相當不安全的....  原生Kubernetes在安全設計上就有許多改善空間  公版Kubernetes許多預設值是不適當的  關於網路層級的安全實際上還有許多地方並未涵蓋  設計上並不特別考慮企業多團隊/多應用的分工與隔離  有非常多層次例如: 容器/映像/作業系統/基礎架構也須涵蓋 您知道所謂 “安全”的“標準”是什麼?  這些“標準”涵蓋範圍夠嗎? 足夠讓我們安心推上生產嗎?  我們具體該怎麼做來強化安全?  我們怎麼知道我們做強化安全以後有滿足這個標準...還是這些標準?  我們該如何確保安全性在未來開發/維運一直維持達標?  我們如何用最低的負荷與最快的速度完成上述任務? 隨便Google就可找到好幾卡車的Kubernetes安全最佳實務/指南

Platform 4.8 容器镜像仓库（Registry） 为 OpenShift Container Platform 配置容器镜像仓库（Registry） Last Updated: 2023-04-19 OpenShift Container Platform 4.8 容器镜像仓库（Registry） 为 OpenShift Container Platform 配置容器镜像仓库（Registry） REGISTRY OPERATOR 2.1. 云平台和 OPENSTACK 上的镜像 REGISTRY 2.2. 裸机和 VSPHERE 上的镜像 REGISTRY 2.3. IMAGE REGISTRY OPERATOR 配置参数 2.4. 使用 CRD 启用 IMAGE REGISTRY 默认路由 2.5. 为镜像 REGISTRY 访问配置额外的信任存储 2.6. 为 IMAGE REGISTRY Container Platform 4.8 容器 容器镜 镜像 像仓库 仓库（ （Registry） ） 2 第 1 章 OPENSHIFT CONTAINER PLATFORM REGISTRY 概述 OpenShift Container Platform可以使用您的源代码构建镜像，并进行部署及管理其生命周期。它提供了 一个内部集成的容器镜像 registry，它可以部署到 OpenShift

Platform 4.12 容器镜像仓库（Registry） 为 OpenShift Container Platform 配置容器镜像仓库（Registry） Last Updated: 2024-02-17 OpenShift Container Platform 4.12 容器镜像仓库（Registry） 为 OpenShift Container Platform 配置容器镜像仓库（Registry） . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 OPENSHIFT 镜 镜像 像 REGISTRY 概述 概述 1.1. OPENSHIFT 镜像 REGISTRY 常用术语表 1.2. 集成的 OPENSHIFT 镜像 REGISTRY 1.3. 第三方 REGISTRY 1.4. RED HAT QUAY REGISTRIES 1.5. OPENSTACK 上的镜像 REGISTRY 2.2. 裸机、NUTANIX 和 VSPHERE 上的镜像 REGISTRY 2.3. IMAGE REGISTRY OPERATOR 在可用区间分布 2.4. 其他资源 2.5. IMAGE REGISTRY OPERATOR 配置参数 2.6. 使用 CRD 启用 IMAGE REGISTRY 默认路由 2.7. 为镜像 REGISTRY 访问配置额外的信任存储

Harbor开源项目 容器镜像远程复制的实现 Henry Zhang (张海宁) Chief Architect VMWare China 自我介绍 • VMware中国研发首席架构师 • Harbor开源企业级容器Registry项目创始人 • Cloud Foundry中国社区最早技术布道师之一 • 多年全栈工程师 • 《区块链技术指南》、《软件定义存储》作者之一 亨利笔记 《区块链技术指南》

Li Ma 云原生企业级安全的最佳实践 Cloud Native Security Cluster Security • Securing the cluster components that are configurable • Securing the applications which run in the cluster AKS Security Network Security Store CSI Driver Log & Monitor Log & Monitor Azure Policy Secure Center Li Ma Microsoft 云原生企业级安全的最佳实践