Présentation de Managed Harbor Service

Ce document présente le service Managed Harbor (MHS) dans Google Distributed Cloud (GDC) air-gapped.

MHS est un registre de conteneurs entièrement géré basé sur le projet Open Source Harbor. L'intégration de MHS à votre environnement GDC offre un moyen sécurisé et évolutif de gérer le cycle de vie de vos artefacts de conteneur dans des environnements isolés sans maintenance manuelle.

Cette présentation présente les concepts de base nécessaires pour travailler avec MHS dans GDC air-gapped, y compris la relation entre les projets GDC et les projets d'instance Harbor. Il décrit également les limites administratives entre les rôles IAM (Identity and Access Management) au niveau de l'infrastructure et le contrôle des accès basé sur les rôles (RBAC) au niveau du registre, ainsi que les fonctionnalités de base telles que le nettoyage automatique et les limites de performances du service.

Ce document s'adresse aux développeurs des groupes d'administrateurs de plate-forme ou d'opérateurs d'applications qui utilisent et administrent MHS dans GDC. Pour en savoir plus, consultez la documentation sur les audiences pour GDC sous air gap.

Fonctionnement de Managed Harbor Service dans GDC

Plans opérationnels

GDC MHS fonctionne sur deux couches fonctionnelles distinctes de l'architecture réseau. Chaque couche permet d'effectuer des opérations spécifiques :

• Couche du plan de gestion : vous permet de créer et de supprimer des instances de registre Harbor.
• Couche du plan de données : vous permet de transférer des images de conteneurs dans votre instance Harbor et de les extraire.

Différences entre les projets GDC et les projets d'instance Harbor

Le service Managed Harbor implique deux types de projets distincts. Comprendre l'interaction entre ces entités vous permet de gérer les ressources et les contrôles d'accès au niveau approprié :

• Projet GDC : unité organisationnelle pour la gestion de l'infrastructure. Utilisez-le pour gérer l'instance de registre Harbor ainsi que d'autres ressources GDC, comme les VM et les clusters.

  • Limites : Un projet GDC ne peut contenir qu'une seule instance Harbor. Toutefois, cette instance unique peut être partagée entre plusieurs projets GDC pour fournir un registre centralisé à votre environnement.
  • Accès : nécessite des rôles IAM au niveau du projet GDC pour la création, la gestion et les tâches administratives des instances.

• Projet d'instance Harbor : regroupement logique pour la gestion des artefacts qui existe dans une instance Harbor. Utilisez-le pour organiser les images de conteneurs et l'accès au niveau du dépôt.

  • Limites : une instance Harbor est compatible avec plusieurs projets Harbor. Elles peuvent être attribuées à des équipes ou des utilisateurs individuels pour permettre la mutualisation dans un registre partagé.
  • Accès : nécessite des rôles RBAC spécifiques au registre pour gérer les dépôts, effectuer des tâches administratives et contrôler l'accès aux artefacts dans le projet.

Fonctionnalités

Harbor est un projet Open Source hiérarchisé de la Cloud Native Computing Foundation (CNCF) qui fournit une solution de registre de conteneurs cloud intégrée pour Kubernetes et Docker. Grâce à l'intégration de services gérés, vous pouvez déployer une instance Harbor pour stocker et gérer des artefacts sur GDC. MHS propose les fonctionnalités suivantes :

• Les instances Harbor sont automatiquement provisionnées et gérées par GDC.
• Harbor est intégré à IAM de GDC pour les systèmes d'authentification et d'observabilité.
• Vous pouvez mettre à niveau les instances Harbor vers la dernière version stable.
• Harbor est amélioré pour répondre aux exigences de conformité et de qualité de la GDC.
• Une instance Harbor est une ressource zonale. Elle est déployée dans une zone, mais elle est accessible depuis n'importe quelle zone de l'univers de déploiement GDC.

Identity and Access Management (IAM)

RBAC pour le service Managed Harbor est appliqué à la fois au niveau du projet GDC et au niveau du projet de registre Harbor. Les utilisateurs disposant des rôles IAM appropriés peuvent accéder à une instance Harbor et la gérer dans un projet GDC. Ceux disposant des rôles de projet de registre Harbor appropriés peuvent gérer les artefacts et effectuer des tâches administratives dans un projet Harbor.

Rôles IAM pour les projets GDC

GDC attribue des autorisations au niveau du projet à l'aide des rôles GDC-IAM. Recherchez les rôles requis dans votre document de procédure MHS et demandez à votre administrateur IAM de l'organisation de vous accorder l'accès.

Pour effectuer des opérations d'opérateur d'infrastructure (IO), consultez les manuels d'entretien GDC MHS pour trouver les rôles IAM requis pour vos tâches.

Rôles de projet du registre Harbor

Un projet Harbor utilise son propre ensemble de mécanismes RBAC, qui diffèrent des rôles IAM GDC.

Pour gérer les dépôts et les artefacts du projet de registre Harbor, vous devez disposer du rôle Harbor approprié attribué au niveau du projet Harbor. Pour obtenir la liste des rôles Harbor, consultez le document Harbor sur la gestion des accès utilisateur : https://goharbor.io/docs/2.8.0/administration/managing-users/.

Performances

Google a testé et vérifié MHS pour qu'il soit compatible avec les limites spécifiées dans Limites du système.

Les limites de performances réelles peuvent être plus élevées.

Récupération de mémoire

Lorsque vous utilisez MHS pour ajouter et supprimer des images du registre, des données inutilisées peuvent s'accumuler au fil du temps. Pour éviter de solliciter excessivement les ressources de stockage, MHS effectue automatiquement une récupération de mémoire toutes les 12 heures. Vous n'avez pas à configurer manuellement le ramasse-miettes.

Étapes suivantes

Pour activer et utiliser MHS, consultez les documents suivants :

• Créez des instances de registre Harbor.
• Créer des projets d'instance Harbor
• Gérez les instances de registre Harbor.