Harbor プロジェクトを作成する

Google Distributed Cloud エアギャップ アプライアンスにコンテナ イメージを保存、保護、配布するには、事前構成済みの tear-harbor インスタンス内の Harbor プロジェクトにコンテナ イメージを整理します。Harbor では、プロジェクトは、関連するアーティファクトをグループ化し、イメージを管理し、特定のポリシー、アクセス制御、レプリケーション ルールを適用するための論理ユニットとして機能します。

この単一システム レジストリは tear プロジェクトにすでにデプロイされ、管理されているため、独自のレジストリ インフラストラクチャをインストール、アップグレード、保守する必要はありません。この事前管理されたレジストリにより、クラスタレベルのデプロイ タスクが不要になるため、アプリケーションの名前空間の管理、アクセス制御の定義、ワークロードの脆弱性スキャンに直接集中できます。

始める前に

始める前に、次の要件を満たしていることを確認してください。

• 推奨される知識: Managed Harbor Service の概要で説明されているコンセプトとアーキテクチャを理解していることを確認してください。Harbor は tear プロジェクトでホストされる共有リソースであるため、すべてのプロジェクト管理タスクはこの特定のシステム プロジェクトを対象とする必要があります。

• Harbor ID を初期化する: コンソールでプロジェクトを作成する前に、Harbor UI に少なくとも 1 回ログインする必要があります。最初のログインで、Harbor レジストリを使用して ID が初期化されます。詳細については、Harbor インスタンスの URL を取得するおよび Harbor ID を初期化するをご覧ください。

必要な IAM ロール

Google Distributed Cloud（GDC）エアギャップ アプライアンスで Harbor プロジェクトを作成してイメージの名前空間を管理するには、tear-harbor インスタンスにアクセスするための適切な権限が tear プロジェクト内に必要です。

• Harbor プロジェクト作成者 （harbor-project-creator）: tear-harbor インスタンス内の Harbor プロジェクトのカスタム リソースに対する作成、取得、監視の権限。このロールを使用すると、新しいイメージの名前空間を定義し、コンテナ化されたアプリケーションのセキュリティ境界を確立できます。

アクセス権をリクエストするには、プロジェクト IAM 管理者にお問い合わせください。

Harbor インスタンスの URL を取得する

Harbor UI にログインするか、CLI を使用してイメージを管理するには、レジストリ インスタンスの外部エンドポイント（URL）が必要です。

1. gdcloud CLI を使用して、Harbor インスタンスの URL を取得します。

   gdcloud harbor instances describe tear-harbor --project tear
   

2. Harbor インスタンスの URL は、ブラウザから Harbor UI にアクセスする場合と、クライアント信頼認証を確立する場合の両方で使用します。通常、externalEndpoint フィールドを含む出力例を次に示します。

   externalEndpoint: https://harbor.tear.example.com
   

CLI にアクセスできない場合は、インフラストラクチャ オペレーターにお問い合わせください。

Harbor ID を初期化する

ID を同期するには、Harbor UI に少なくとも 1 回ログインします。最初のログインで、ユーザー プロファイルが Harbor データベースに登録され、システムが権限を認識します。

1. ブラウザで、レジストリ URL に移動します。
2. GDC 認証情報を使用してログインします。

Harbor プロジェクトを作成する

GDC コンソールまたは gdcloud CLI を使用して Harbor プロジェクトを作成します。

  gdcloud harbor harbor-projects create HARBOR_PROJECT \
    --project=PROJECT \
    --instance=tear-harbor