Descripción general del servicio de Harbor administrado

En este documento, se proporciona una descripción general del servicio de Harbor administrado (MHS) en Google Distributed Cloud (GDC) aislado.

MHS es un registro de contenedores completamente administrado basado en el proyecto de código abierto Harbor. La integración de MHS en tu entorno de GDC proporciona una forma segura y escalable de administrar el ciclo de vida de los artefactos de contenedores en entornos aislados sin mantenimiento manual.

En esta descripción general, se presentan los conceptos fundamentales necesarios para trabajar con MHS en GDC aislado del aire, incluida la relación entre los proyectos de GDC y los proyectos de instancias de Harbor. También detalla los límites administrativos entre los roles de Identity and Access Management (IAM) a nivel de la infraestructura y el control de acceso basado en roles (RBAC) a nivel del registro, así como las funciones principales, como la recolección de elementos no utilizados automatizada y los límites de rendimiento del servicio.

Este documento está dirigido a los desarrolladores de grupos de administradores de plataformas o de operadores de aplicaciones que usan y administran MHS en GDC. Para obtener más información, consulta la documentación de Públicos de GDC aislado.

Cómo funciona el servicio de Harbor administrado en GDC

Planos operativos

El MHS de GDC opera en dos capas funcionales distintas de la arquitectura de red. Cada capa permite operaciones específicas:

  • Capa del plano de administración: Te permite crear y borrar instancias del registro de Harbor.
  • Capa de plano de datos: Te permite enviar y extraer imágenes de contenedor en tu instancia de Harbor.

Diferencias entre los proyectos de GDC y los proyectos de instancias de Harbor

El servicio de Harbor administrado incluye dos tipos de proyectos distintos. Comprender la interacción entre estas entidades garantiza que administres los recursos y los controles de acceso en la capa adecuada:

  • Proyecto de GDC: Es la unidad organizativa para la administración de la infraestructura. Úsalo para administrar la instancia del registro de Harbor junto con otros recursos de GDC, como VMs y clústeres.

    • Límites: Un proyecto de GDC solo puede contener una instancia de Harbor. Sin embargo, esa única instancia se puede compartir entre varios proyectos de GDC para proporcionar un registro centralizado para tu entorno.
    • Acceso: Requiere roles de IAM a nivel del proyecto de GDC para la creación, la administración y las tareas administrativas de instancias.

  • Proyecto de instancia de Harbor: Es una agrupación lógica para la administración de artefactos que existe dentro de una instancia de Harbor. Úsalo para organizar imágenes de contenedor y el acceso a nivel del repositorio.

    • Límites: Una instancia de Harbor admite varios proyectos de Harbor. Se pueden asignar a equipos o usuarios individuales para habilitar la arquitectura multiusuario en un registro compartido.
    • Acceso: Requiere roles de RBAC específicos del registro para administrar repositorios, realizar tareas administrativas y controlar el acceso a artefactos dentro del proyecto.

Funciones

Harbor es un proyecto de código abierto graduado de la Cloud Native Computing Foundation (CNCF) que proporciona una solución integrada de registro de contenedores en la nube para Kubernetes y Docker. Con la integración de servicios administrados, puedes implementar una instancia de Harbor para almacenar y administrar artefactos en GDC. MHS ofrece las siguientes funciones:

  • GDC aprovisiona y administra automáticamente las instancias de Harbor.
  • Harbor se integra con el IAM de GDC para los sistemas de autenticación y observabilidad.
  • Las instancias de Harbor se pueden actualizar a la versión estable más reciente.
  • Harbor se mejoró para cumplir con los requisitos de calidad y cumplimiento de la GDC.
  • Una instancia de Harbor es un recurso zonal; se implementa en una zona, pero se puede acceder a ella desde cualquier zona dentro del universo de implementación de GDC.

Identity and Access Management (IAM)

El RBAC para el servicio de Harbor administrado se aplica tanto a nivel del proyecto de GDC como a nivel del proyecto del registro de Harbor. Los usuarios con los roles de IAM adecuados pueden acceder a una instancia de Harbor y administrarla dentro de un proyecto de GDC, y los usuarios con los roles de proyecto de registro de Harbor adecuados pueden administrar artefactos y realizar tareas administrativas dentro de un proyecto de Harbor.

Roles de IAM de proyectos de GDC

GDC asigna permisos a nivel del proyecto con roles de GDC-IAM. Busca los roles necesarios en el documento de procedimientos de tu MHS y pídele al administrador de IAM de tu organización que te otorgue acceso.

Para realizar operaciones de operador de infraestructura (IO), consulta los manuales de servicio de MHS de GDC para encontrar los roles de IAM necesarios para tus tareas.

Roles del proyecto de registro de Harbor

Un proyecto de Harbor usa su propio conjunto de mecanismos de RBAC, que difieren de los roles de IAM de GDC.

Para administrar los repositorios y artefactos del proyecto de registro de Harbor, debes tener el rol de Harbor correcto asignado a nivel del proyecto de Harbor. Para obtener una lista de los roles de Harbor, consulta el documento de Harbor para administrar el acceso de los usuarios: https://goharbor.io/docs/2.8.0/administration/managing-users/.

Rendimiento

Google probó y verificó el MHS para admitir los límites especificados en Límites del sistema.

Los límites de rendimiento reales podrían ser más altos.

Recolección de elementos no utilizados

Cuando usas MHS para agregar y borrar imágenes del registro, se pueden acumular datos no utilizados con el tiempo. Para evitar el agotamiento de los recursos de almacenamiento, MHS realiza automáticamente la recolección de elementos no utilizados cada 12 horas. No tienes que configurar la recolección de basura de forma manual.

¿Qué sigue?

Para habilitar y usar MHS, consulta los siguientes documentos: