Harbor 1.8 带来 OIDC 集成和复制增强

Harbor的最新版本1.8 最近刚刚发布。Harbor 是一个原生云计算基金会项目，它提供了一个原生云注册中心，用于容器镜像存储、签名和扫描。该版本包括OpenID Connect集成、新增机器人帐户和复制特性改进以及其他改进。

Harbor 是一个自托管的原生云注册中心，用于容器镜像存储、签名以及扫描容器镜像寻找漏洞。它提供了一个替代注册中心，用于不能使用公共注册中心或基于云的注册中心的情况。由于它是自托管的，所以它也是为多云策略提供一致性体验的一个选项。早在 2018 年，Harbor 就被接收为原生云计算基金会孵化项目。

Harbor 的架构（图片来源CNCF）

在 1.8 版本中，Harbor 现在提供了OpenID Connect支持。管理员现在可以使用 OIDC 提供程序作为用户的身份验证模型。然后，用户可以利用他们的单点登录凭证访问 Harbor 门户。由于一些工具，如Docker客户端，在需要重定向到外部 IDP 时无法通过 SSO 登录，所以 Harbor 现在包含了 CLI secret。CLI secret 为最终用户提供通过 Docker 或 Helm 客户端访问 Harbor 的令牌。此功能仅在将 Harbor 身份验证模式配置为基于 OIDC 时可用。

通过 OIDC SSO 登录后，你可以从用户配置文件中获得 CLI secret。

Harbor CLI Secret UI（图片来源Harbor）

有了 CLI secret，你就可以通过 Docker/Helm CLI 登录，使用 Harbor 用户名，并把 CLI secret 作为密码：

docker login -u testuser -p xxxxxx jt-test.local.goharbor.io

由于 Harbor 通常与不能处理 SSO 的 CI/CD 工具集成在一起，所以这个版本包含了机器人帐号。机器人帐户允许 Harbor 集成和使用自动化系统。可以将这些帐户配置为向管理员提供一个令牌，从而拥有从存储库中提取镜像和向存储库推送镜像的权限。

该版本扩展了 Harbor-to-Harbor 复制特性，使用推式复制和拉式复制来支持在 Harbor 与Docker Hub、Docker Registry以及Huawei Cloud之间的资源复制。正如Harbor博客上所说，“（公有云的）内置注册中心没有 Harbor 提供的许多功能和特性，特别是静态镜像分析。”有了这个特性，Harbor 可以作为所有镜像的中心存储库。可以根据需要对其他注册中心进行复制，让它们充当纯内容存储库。这使得 Harbor 可以用于漏洞扫描和遵从性强制执行。

此外，该版本还包括以下特性：

• 一个健康检查 API，提供所有组件的详细状态和健康状况

• Harbor 将对 Docker Registry 版本的支持更新到 2.7.1

• 管理员现在可以使用 cron 字符串定义扫描、垃圾收集和复制作业的作业调度

• 最终用户现在可以通过 Harbor UI 中的 Swagger UI 触发 Harbor API

要了解有关上述特性的详细信息，可以查看Harbor博客或 GitHub 上的用户指南。Harbor 正在积极寻求扩展他们的社区，并希望人们参与到编码、测试中并提供反馈。有兴趣的个人可以在CNCF Slack上加入 Slack 频道#harbor。Harbor 是开源的，你可以在其 GitHub 页面上找到各个版本。

查看英文原文：Harbor 1.8 Includes OIDC Integration and Replication Enhancements