BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース オープンソースレジストリ Harbor が卒業: VMwareのMichael Michael氏とのQ&A

オープンソースレジストリ Harbor が卒業: VMwareのMichael Michael氏とのQ&A

原文(投稿日:2020/06/23)へのリンク

Cloud Native Computing Foundation (CNCF) は、オープンソースレジストリであるHarborが2020年クラスの卒業を発表した。

Harborは、ポリシーとRBACを使用してOCIベースのアーティファクトを安全に保存し、イメージをスキャンして脆弱性を検出し、署名された信頼できるイメージを提供するレジストリである。Harborは、Redis Key-Valueデータストアに支えられて、他のクラウドベースのレジストリへのレプリケーションや、Docker CLI、公証人 (Notary) クライアントなどのコンシューマを介したアクセスなどの基本的なレジストリサービスを提供する。Harborのより詳細なアーキテクチャを以下に示す。

Harbor architecture

(画像提供: Architecture Overview of Harbor)

InfoQは、CNCFプロジェクトのHarborの卒業を、HarborのメンテナでありVMwareの製品管理ディレクターでもあるMichael Michael氏と話した。

Michael氏は、プロジェクトの起源、メンテナ間の多様性を確保する背後にある課題、HarborでのOCIアーティファクトのサポート、Harborと他のクラウドベースのレジストリの違いについて話した。彼はまた、プラグ可能なセキュリティレイヤとHarborのロードマップについても話した。

InfoQ: まず最初に、2014年の構想から2020年の卒業までのHarborの旅を探りましょう。その旅と、卒業するために克服しなければならなかった課題について話していただけますか?

Michael氏: Harborは、VMwareがイメージのセキュリティ体制を評価し、コンプライアンスを実施できるようにするプライベートなエンタープライズグレードのコンテナレジストリの必要性から、2014年にVMwareのチームによって最初に開発されました。時間の経過とともに、ロールベースのアクセス制御でイメージを保護し、脆弱性についてイメージをスキャンし、信憑性とトレーサビリティのためにイメージに署名できる、人気のあるオープンソースコンテナイメージレジストリに成長しました。

Harborが最初にVMwareの中国のR&D組織内で開始されたとき、それはコンテナイメージを管理するためのいくつかの内部プロジェクトに活用されました。コミュニティ内のより多くの開発者がプロジェクトを使用して貢献できるようにするため、VMwareは2016年3月にHarborをオープンソース化しました。2018年7月にHarborがCNCFに寄付されて以来、ユーザと貢献者は着実に増加しています。 。

寄付からわずか数か月後、HarborはCNCFの次の段階に進み、インキュベーションプロジェクトになりました。

今日に向けて早送りすると、Harborにはユーザ、寄稿者、コミュニティの豊富なエコシステムがあります。CNCFでのHarborの卒業は、私たちのコミュニティの努力とエコシステムにおけるHarborの重要性の証です。githubには12,000のスターがあり、大きなv2.0リリースを含む複数のメジャーリリースがあり、Harborに賭け、Harborの成功に貢献している複数の組織もあります。

その過程で解決しなければならなかった大きな課題の1つは、メンテナと貢献企業に多様性を持たせることです。Harborのテクニカルディレクションを推進している (5社からの) 13人のメンテナを誇りに思っています。彼らの努力は、83社の貢献企業からの200人以上のコミッタによってさらに増幅されています。

InfoQ: Harborは主にOCIアーティファクト用ですよね? コンテナ開発の観点から、これは正確にはどういう意味でしょうか?

Michael氏: ほとんどですが、Charts Museumを通じてHelmチャートも引き続きサポートしています。Harborは当初、コンテナイメージとHelmチャートのサポートを開始しました。現在、HarborはOCI準拠のアーティファクトをサポートしており、Harborの使い慣れた操作と主な利点をすべてOCIに拡張しています。

OCIは、フォーマット、ランタイム、およびクラウドネイティブアーティファクトの配布に関する仕様を定義する、実証済みの業界標準です。ほとんどのユーザは、DockerイメージやHelmチャートなど、より一般的なOCI準拠のアーティファクトのいくつかに精通しています。OCI仕様は、アーティファクトの作成者とレジストリベンダを共通の標準の背後にまとめるのに役立ちます。開発者として、アーティファクトにOCI標準を採用できるようになり、HarborのようなOCI準拠のレジストリを最小限の変更で使用できると確信できます。つまり、OCI準拠のアーティファクトをHarborにプッシュおよびプルでき、RBAC、認証、クォータ、保持ポリシー、ガベージコレクション、必要に応じてスキャンなどのHarborのポリシーを利用できます。

InfoQ: Harborは、Docker Hub、ACR、ECR、GCRなどの他のレジストリとどのように異なるのでしょうか?

Michael氏: 他のレジストリとの主な違いは、Harborがパッケージ化された製品であるということです。ユーザは、選択したインフラストラクチャ、オンプレ、またはクラウドにHarborをインストールできます。組織として、Harborのデプロイメント、運用、および使用を担当します。これは、規制、コンプライアンス、またはデータアクセスの理由でパブリッククラウドを利用できない一部のユーザにとって大きなメリットです。さらに、レジストリをコンピューティングクラスタ (Kubernetesなど) と同じ場所に配置すると、レイテンシが短縮され、イメージ転送の信頼性が向上します。

もう1つの大きな利点は、拡張性です。Harborは、レプリケーションアダプタ、スキャンアダプタ、数か月以内にP2Pアダプタなど、プラグ可能なオプションの巨大なエコシステムを提供します。

InfoQ: イメージスキャンレイヤについて具体的にお話しいただけますか? さまざまなスキャナを使用するという選択肢があります。ユーザはこれを選択できるのでしょうか? もしそうなら、なぜそしていつでしょうか ?

Michael氏: そのとおり。約1年前、スキャン用のツリー外プラグインアーキテクチャの作成を開始しました。それまで、CoreOS ClairはHarborで利用できる唯一の静的分析スキャナでした。プラグインアーキテクチャにより、セキュリティベンダは一連のインターフェイスを実装し、Harborに保存されているイメージに対して静的分析を実行し、Harborのポリシーがユーザの意図を満たすために使用する結果を生成できるようになります。

Aqua、Anchore、およびDoSecは、Harbor用のプラグ可能なスキャナを作成したセキュリティベンダの初期セットの一部でした。プラグ可能なアーキテクチャの最初のリリース以来、Sysdigと協力して、まもなくリリースされるプラグ可能なスキャナについても取り組んでいます。

実際、Harbor v2.0では、デフォルトのイメージスキャナとしてClairをAquaのTrivyに置き換えました。Trivyは、コンテナイメージスキャンをこれまで以上に高いレベルの使いやすさとパフォーマンスに引き上げます。Harbor v1.10のプラグ可能なスキャンフレームワークを通じてTrivyのサポートを追加して以来、私たちは大きなフィードバックを受け取り、Harborコミュニティの間で注目を集めており、TrivyはHarborを完全に補完しています。

InfoQ: 開発者/アーキテクトが気にかけるべきHarborの他の詳細とHarborのロードマップについて話していただけますか?

Michael氏: 皆さんには、「Kubernetesの信頼できるクラウドネイティブレジストリであるHarbor」のWebinarをご覧になることをお勧めします。このWebinarでは、Harborの主なメリットについて説明し、Harborの拡張性とポリシーエンジンを示す強力なデモが含まれています。ユーザには、コミュニティミーティングに参加するか、SlackまたはTwitterに参加することをお勧めします。Harborで次に何が起こるかを知りたい場合、または貢献する方法を見つけたい場合は、公開ロードマップから始めてください。

技術的な詳細はGitHubリポジトリにあります。プロジェクトのメインページには、プロジェクトに関する詳細情報とインストールガイドが含まれています。

この記事に星をつける

おすすめ度
スタイル

BT