谈谈容器镜像运维

题图摄于犹他州Zion国家公园

（本文发布时，开源镜像仓库Harbor在Github上已获得3043颗星： https://github.com/vmware/harbor ）

不久前的 CNUTCon 2017全球运维技术大会上，笔者接受了 InfoQ 的关于容器镜像运维的采访。下面是采访的视频，供大家参考。感谢 InfoQ 录制视频和整理文字，点击“阅读原文”可查看 InfoQ 的原文。欢迎转发给需要的朋友。

问题1: 请谈谈您对高效安全的镜像运维的理解。

答：很多现在做容器的用户，他们很关心的一个问题是怎么样把这个容器的应用跑得好，可能他会想，我是用Kubernetes，还是用Docker Swarm，或者其他的一些技术来跑我的容器应用。

我们觉得这仅仅是在容器运维上面动态的侧面。就是说，把这个运行的平台弄好了之后，还有另外一个侧面就是静态的容器平台，所谓静态的就是这个容器的镜像。通常来说，就是容器除了动态地在内存里面跑的一个容器化的实例之外，它还需要有一个静态的镜像放到存储里。就是说容器动态和静态的结合，才是完整的一个容器平台。所以高效安全的容器镜像的管理，在任何一个企业的运维里面都是非常必要的，应该说，做得好不好，会实际影响到它的效率，以及安全性的一些问题。

问题2: 采用Harbor开源企业级Registry实现高效安全的镜像运维，与其它的Registry项目相比，Harbor有哪些优势？

答：

Harbor这个项目是最早在我们VMware中国研发中心的一个很小的一个副产品，Side Project，这个项目做出来之后，我们在公司内部用了一段时间，觉得效果还不错，去年我们把它开源出来，面向全球的用户让他们去使用，最终效果也非常好。 总结起来，大部分用户对我们 Harbor 项目喜欢的地方，主要有几个：

第一个是说，我们这是开源的一个解决方案，而且是面向企业用户的开源解决方案，用的是 Apache License 2.0，这样的话，基本上谁都可以拿去使用或者修改，没有太多的义务或者约束。 第二点，我们是结合了很多社区里边的反馈信息，提炼出这么一个作品出来，这样使得 Harbor 一诞生的时候，已经非常符合整个用户的需求。 那怎么设计的呢？我们是用了最简单的功能去实现了用户百分之八九十的需求，相对来说它是非常简单的，像用户模型的设计，我们只有一层的设计，其他的 Registry 可能是有很复杂的用户模型，相比起来非常复杂难理解。简单是一个优势。 还有就是我们有些特色的功能，除了标准的 Role-Based Access Control，就是基于角色的访问控制之外，我们还有大家非常喜欢用的 Replication ，就是镜像的复制，是解决了运维中很常见的一类移动镜像问题。传统来说，可能需要用一些脚本，一些软件去做这个事情，我们全部用一个可视化的图形界面去把它有序地管理起来，同时能在出错时自动去重试。有的世界级的银行他们也在用我们的方案，把镜像从一个大洲的数据中心，复制到其他大洲的数据中心里。 第三点，特别对中国用户来说，我们有很多本地化的输入。我们有微信群，那么有几百个用户在给我们提供反馈，所以对我们中国用户来说，可能第一时间可以得到很多适合他们使用需求的定制化功能。而且，我们项目原生支持中文的界面。在容器的项目里面，很少是能原生支持中文的，所以这也是我们广大中国用户非常喜欢 Harbor 的一个原因。

问题3: 在运维环境中，镜像来源验证和镜像漏洞扫描为用户带来哪些价值？HA如何实现？涉及到技术上有哪些难点？

答：

有两个问题在镜像管理工作中是困扰很多企业的，第一个就是说镜像的真实可靠性，或者说镜像来源，因为大家现在知道很多时候你从Docker Hub或者别的地方抓过来的镜像，到底是谁产生的搞不清楚的，或者这个镜像里面有没有带什么漏洞、病毒也不知道，如果冒冒然去使用是个很危险的事情，所以就造成了需要去验证镜像可靠性的需求。

我们使用叫做Content Trust的功能（内容可信任）。主要的原理是，我们在发布镜像时做个签名，这个签名生成的摘要会存在一个 Notary Service 中。其他人去使用这个镜像的时候，先去获取这个摘要，然后再根据 Registry V2 协议 pull by content 的功能去获取镜像。如果是没有签过名的镜像 Registry 是拿不到的，通过这样一种机制，就可以实现这个Content Trust功能。 第二个是镜像扫描，有点像我们平常在电脑上进行病毒扫描，就把全盘的文件扫一遍，发现有没有被病毒感染过的或者有病毒存在的文件。那么在企业跑的镜像里边，这个扫描也是很需要的，就是我的镜像来源可能是不同的地方，那最终到底有没有一些漏洞。我怎么样能发现，需要有一个对镜像里面所有文件进行扫描的功能，然后发现和报警的机制。这部分功能叫做扫描镜像的 vulnerability 的scanning，我们在 Harbor 里集成了CoreOS 的 Clair，可以帮助我们去扫描Harbor里面放的这个镜像。扫描完之后，我们有个很详细的一个报告，会告诉我们这个镜像里面，有多少个Package，这些软件包有多少个是有问题的，严重程度是怎么样的。用户可以决定性地去使用，比如发现严重问题的，我就不允许这个镜像去下载了，如果是很轻微的，可以允许获取镜像。……