Visão geral do serviço gerenciado do Harbor

Este documento fornece uma visão geral do Managed Harbor Service (MHS) no Google Distributed Cloud (GDC) com isolamento físico.

O MHS é um registro de contêineres totalmente gerenciado com base no projeto de código aberto Harbor. A integração do MHS ao seu ambiente do GDC oferece uma maneira segura e escalonável de gerenciar o ciclo de vida dos artefatos de contêiner em ambientes isolados sem manutenção manual.

Esta visão geral apresenta os conceitos básicos necessários para trabalhar com o MHS no GDC isolado por ar, incluindo a relação entre projetos do GDC e projetos de instâncias do Harbor. Ele também detalha os limites administrativos entre os papéis do Identity and Access Management (IAM) no nível da infraestrutura e o controle de acesso baseado em função (RBAC) no nível do registro, além de recursos principais, como coleta automática de lixo e limites de desempenho do serviço.

Este documento é destinado a desenvolvedores em grupos de administradores de plataforma ou operadores de aplicativos que usam e administram o MHS no GDC. Para mais informações, consulte a documentação Públicos-alvo do GDC com isolamento físico.

Como funciona o serviço gerenciado do Harbor no GDC

Planos operacionais

O GDC MHS opera em duas camadas funcionais distintas de arquitetura de rede. Cada camada permite operações específicas:

• Camada do plano de gerenciamento: permite criar e excluir instâncias do registro do Harbor.
• Camada de plano de dados: permite enviar e extrair imagens de contêiner na sua instância do Harbor.

Diferenças entre projetos do GDC e projetos de instâncias do Harbor

O serviço gerenciado do Harbor envolve dois tipos de projetos distintos. Entender a interação entre essas entidades garante que você gerencie recursos e controles de acesso na camada adequada:

• Projeto do GDC: a unidade organizacional para gerenciamento de infraestrutura. Use isso para gerenciar a instância do registro do Harbor com outros recursos do GDC, como VMs e clusters.

  • Limites: um projeto do GDC pode conter apenas uma instância do Harbor. No entanto, essa única instância pode ser compartilhada entre vários projetos do GDC para fornecer um registro centralizado para seu ambiente.
  • Acesso: requer papéis do IAM no nível do projeto do GDC para criação, gerenciamento e tarefas administrativas de instâncias.

• Projeto de instância do Harbor: um agrupamento lógico para gerenciamento de artefatos que existe em uma instância do Harbor. Use isso para organizar imagens de contêiner e acesso no nível do repositório.

  • Limites: uma instância do Harbor é compatível com vários projetos do Harbor. Eles podem ser alocados para equipes ou usuários individuais para ativar o multitenancy em um registro compartilhado.
  • Acesso: requer papéis de RBAC específicos do registro para gerenciar repositórios, realizar tarefas administrativas e controlar o acesso a artefatos no projeto.

Recursos

O Harbor é um projeto de código aberto graduado da Cloud Native Computing Foundation (CNCF) que oferece uma solução integrada de registro de contêineres na nuvem para Kubernetes e Docker. Com a integração serviço gerenciado, é possível implantar uma instância do Harbor para armazenar e gerenciar artefatos no GDC. O MHS oferece os seguintes recursos:

• As instâncias do Harbor são provisionadas e gerenciadas automaticamente pelo GDC.
• O Harbor é integrado ao IAM do GDC para sistemas de autenticação e observabilidade.
• As instâncias do Harbor podem ser atualizadas para a versão estável mais recente.
• O Harbor foi aprimorado para atender aos requisitos de conformidade e qualidade do GDC.
• Uma instância do Harbor é um recurso zonal. Ela é implantada em uma zona, mas pode ser acessada de qualquer zona no universo de implantação do GDC.

Identity and Access Management (IAM)

O RBAC para o serviço gerenciado do Harbor é aplicado no nível do projeto do GDC e do registro do Harbor. Os usuários com os papéis do IAM adequados podem acessar e gerenciar uma instância do Harbor em um projeto do GDC, e os usuários com os papéis adequados do projeto do registro do Harbor podem gerenciar artefatos e realizar tarefas administrativas em um projeto do Harbor.

Papéis do IAM do projeto do GDC

O GDC atribui permissões no nível do projeto usando papéis do GDC-IAM. Encontre os papéis necessários no documento de procedimentos do MHS e peça ao administrador do IAM da organização para conceder acesso a você.

Para realizar operações de operador de infraestrutura (IO, na sigla em inglês), consulte os manuais de serviço do GDC MHS para encontrar as funções do IAM necessárias para suas tarefas.

Papéis do projeto do registro do Harbor

Um projeto do Harbor usa um conjunto próprio de mecanismos de RBAC, que são diferentes das funções do IAM do GDC.

Para gerenciar repositórios e artefatos do projeto do registro do Harbor, você precisa ter a função correta do Harbor atribuída no nível do projeto do Harbor. Para uma lista de funções do Harbor, consulte o documento sobre como gerenciar o acesso do usuário: https://goharbor.io/docs/2.8.0/administration/managing-users/.

Desempenho

O Google testou e verificou o MHS para oferecer suporte aos limites especificados em Limites do sistema.

Os limites de desempenho reais podem ser maiores.

Coleta de lixo

Quando você usa o MHS para adicionar e excluir imagens do registro, dados não utilizados podem se acumular com o tempo. Para evitar o esgotamento dos recursos de armazenamento, o MHS realiza automaticamente a coleta de lixo a cada 12 horas. Não é necessário configurar a coleta de lixo manualmente.

A seguir

Para ativar e usar o MHS, consulte os seguintes documentos:

• Criar instâncias do registro do Harbor.
• Crie projetos de instância do Harbor.
• Gerenciar instâncias do registro do Harbor.