Vertrauenswürdige Cloud-native Registry Harbor

Im sicheren Hafen

Stephan Kaps

Wer Container in produktiven Umgebungen einsetzt, muss auch auf Sicherheit achten. Hier kann die Cloud-native Container-Registry Harbor helfen.

Beim Betreiben von Containern in Produktionsumgebungen besteht unter anderem der Bedarf, die erzeugten Images in einer Container-Registry vorzuhalten. Dabei ist sicherzustellen, dass nicht ungewollt fremde Container aus unbekannten Quellen oder manipulierte Images mit Malware den Weg in die Produktion schaffen. Darüber hinaus sollte man keine Container (weiter-)betreiben, deren Images bekannte Verwundbarkeiten enthalten. Das unter der Ägide von VMware entstandene, mittlerweile unter die Fittiche der Cloud-Native Computing Foundation (CNCF) geschlüpfte Open-Source-Projekt Harbor verspricht hierfür Unterstützung. Es entwickelt eine freie Cloud-native Container-Registry, die Vulnerability Scans und Content Trust bietet und sich bei Bedarf im eigenen Rechenzentrum betreiben lässt.

Um zu klären, ob sich der Aufwand für den Betrieb einer eigenen Container-Registry lohnt, muss ein Unternehmen prinzipiell vier Aspekte betrachten: Compliance, Kosten, Geschwindigkeit und Integration. Oft erfordern es die Sicherheitsrichtlinien, dass der Code vor Ort bleibt – sei es zum Schutz geistigen Eigentums oder um den Kundenanforderungen und Branchenbestimmungen zu entsprechen. Für Teams, die viele jeweils relativ kleine Container-Images verwalten, kann der Betrieb einer eigenen Registry kostengünstiger sein als die Nutzung von Docker Hub oder Quay.io, die auf Basis der benötigten privaten Repositories abrechnen. Bei intensiver Nutzung und häufigen Aktualisierungen der Container bringt die lokale Verfügbarkeit von Images (zumindest als Mirror, etwa in derselben Cloud-Region wie die Docker-Hosts) Geschwindigkeitsvorteile und Redundanz beim Ausfall externer Dienste. Letztlich ist aber bei vielen kommerziellen Registries eine LDAP/AD-Integration oder die Anbindung an einen eignen OpenID-Provider (OIDC) entweder nicht möglich oder erzwingt den Wechsel auf „große“ Komplettlösungen wie Docker EE, die wiederum für kleine bis mittelgroße Teams möglicherweise zu komplex und zu teuer sind.

Enterprise-Einsatz im Fokus

Als Registry der Enterprise-Klasse enthält Harbor einen Schwachstellenscanner, der auf in den Container-Images enthaltene CVEs (Common Vulnerabilities and Exposures) aufmerksam macht. Es nutzt dafür das von CoreOS bereitgestellte Open-Source-Projekt Clair [1]. Der Vorteil: Durch den lokalen Einsatz eines Scanners müssen keine Metadaten von Container-Images an einen Drittanbieter übertragen werden.

Harbor selbst besteht aus mehreren Docker-Containern, die sich auf jeder Linux-Distribution einsetzen lassen, vorausgesetzt, Docker und Docker Compose sind installiert. Bei der Hardware setzt Harbor mindestens zwei CPUs, 4 GByte RAM und 40 GByte Massenspeicher voraus. Zum Einspielen gibt es zwei Varianten: einen sehr kleinen Online-Installer, der die Images von Docker Hub herunterlädt, und eine Offlineversion. Die bringt zwar alle Images mit, ist dadurch aber größer und benötigt keine Internetverbindung. Details zum Installieren und ersten Einrichten liefert der Kasten „Harbor-Installation und -Konfiguration“. Über das Docker-GUI Portainer kann man sich nach dem Einspielen den kompletten Stack ansehen und so überprüfen, ob alles funktioniert hat.

Mit dem Docker-Tool Portainer kann sich der Administrator komfortabel einen Überblick über seinen Harbor-Stack verschaffen (Abb. 1).

Harbor-Installation und -Konfiguration

Den Online-Installer kann man unter Angabe der Versionsnummer als Tar-Archiv harbor-online-installer-<version>.tgz von der Projektseite herunterladen und entpacken. Anschließend sind die Konfigurationsparameter in der Datei harbor.yml anzupassen, Listing 1 zeigt eine Beispielkonfiguration. Im einfachsten Fall ist lediglich der Hostname anzupassen.

Nicht aufgeführt wurden die Konfigurationsparameter für die Möglichkeit der Anbindung separater externer Datenbanken für die einzelnen Dienste. Dabei ist aktuell jedoch nur Postgres möglich. Schließlich installiert der Aufruf

sudo ./install.sh --with-notary --with- clair --with-chartmuseum

Harbor mit allen im Artikel beschriebenen Diensten.

Listing 1: Harbor-Beispielkonfiguration harbor.yml

hostname: myreg.kitenco
http:
  port: 80
https:
  port: 443
# Der Pfad zu den Zertifikaten für nginx
  certificate: /data/cert/myreg.kitenco.de.crt
  private_key: /data/cert/myreg.kitenco.de.key
# Das Initialpasswort des Harbor Admins
harbor_admin_password: Harbor12345
# Harbor DB-Konfiguration
database:
  # Das Passwort für den Root User der Harbor DB
  password: root123
# Das default Data Volume (Harbor Storage)
data_volume: /data
# Standardeintrag ist das Verzeichnis /data im lokalen Filesystem
# Alternativ: azure, gcs, s3, swift oder oss
# Clair Konfiguration
clair: 
  # Das Intervall der Clair Updaters, Einheit ist Stunde
  updaters_interval: 1
  # Beim Einsatz hinter einem Proxy, ist dieser hier für Clair zu konfigurieren
  http_proxy: http://myproxy.kitenco.de:8080
  https_proxy: http://myproxy.kitenco.de:8080
  no_proxy: 127.0.0.1,localhost,ui,registry
jobservice:
  max_job_workers: 10
chart:
  absolute_url: disabled
# Log-Einstellungen
log:
  level: info
  rotate_count: 50
  rotate_size: 200M
  location: /var/log/harbor

Damit die Kommunikation mit dem Docker Daemon nicht auf insecure umgestellt werden muss, sollte man Zertifikate erzeugen und hinterlegen. Die Onlinedokumentation liefert eine sehr gute und kompakte Anleitung dazu (siehe ix.de/zy3c).