En esta página, se describe cómo acceder a Docker o Helm con el asistente de credenciales del servicio administrado de Harbor (MHS) o los secretos de la CLI.
Para brindar flexibilidad, Google Distributed Cloud (GDC) con aislamiento de red proporciona dos métodos para autenticarse con Docker y Helm desde tu instancia del registro de Harbor. El primer método consiste en usar el auxiliar de credenciales de Managed Harbor Service (MHS) y tu identidad de GDC para acceder a la CLI de Docker o Helm. Después de autenticarte con GDC, puedes acceder al cliente de Docker y realizar operaciones de Docker sin tener que crear ni administrar secretos de CLI separados en Harbor.
El segundo método es usar secretos de la CLI. Después de autenticarte con Identity-Aware Proxy (IAP) y acceder a la interfaz de Harbor por primera vez, usa la CLI de Docker o Helm para acceder a Harbor. Las CLIs de Docker y Helm no pueden controlar el redireccionamiento para IAP, por lo que Harbor proporciona un secreto de CLI para usar cuando se accede desde Docker o Helm. Este método solo está disponible cuando Harbor usa la autenticación de IAP.
Antes de comenzar
Para configurar la autenticación de Docker y Helm para las instancias del registro de Harbor, debes tener lo siguiente:
- El auxiliar de credenciales de MHS
docker-credential-mhsinstalado en el entorno El asistente de credenciales se incluye de forma predeterminada en el paquete de la CLI de gcloud. Para obtener más información, consulta la descripción general de la CLI de gcloud. - El rol de identidad y acceso necesario. Pídele al administrador de IAM de la organización que te otorgue el rol de visualizador de instancias de Harbor (
harbor-instance-viewer).
Accede a Docker con tu identidad de GDC
Usa el auxiliar de credenciales de MHS con tu identidad de GDC para acceder a la CLI de Docker. Para autenticarte con Docker, sigue estos pasos:
Accede al servidor de la API de Management con la CLI de GDC siguiendo las instrucciones en Acceder.
Configura Docker para que use el auxiliar de credenciales de MHS
docker-credential-mhs:TENANT_PROJECT=PROJECT_NAME HARBOR_INSTANCE_NAME=HARBOR_INSTANCE_NAME REGISTRY=$(kubectl get harborinstance $HARBOR_INSTANCE_NAME -n $TENANT_PROJECT -o jsonpath='{.status.url}' | sed s#https://##) docker-credential-mhs configure-docker --registries=${REGISTRY}Reemplaza lo siguiente:
PROJECT_NAME: Es el nombre de tu proyecto de usuario. Este es el mismo nombre de proyecto que proporcionaste cuando creaste tu instancia de Harbor.HARBOR_INSTANCE_NAME: Es el nombre de la instancia de Harbor que se crea en Crea instancias del registro de Harbor.
Sigue las instrucciones en Configura Docker para que confíe en la CA raíz de Harbor.
Opcional: Verifica que el asistente de credenciales se haya configurado correctamente. Para ello, verifica que la entrada
mhsse haya agregado a~/.docker/config.json:cat DOCKER_CONFIG_PATHReemplaza
DOCKER_CONFIG_PATHpor la ruta de acceso a tu archivo de configuración de Docker. Por ejemplo:~/.docker/config.json.El resultado es similar a este:
{ "auths": { "10.200.0.1": { "auth": "YWRtaW46YWRtaW4=" }, "10.200.16.5:10443": { "auth": "YWRtaW46ZEROVVJCVWE1a1FBcE4xQQ==" } }, "credHelpers": { "asia.gcr.io": "gcloud", "eu.gcr.io": "gcloud", "gcr.io": "gcloud", "marketplace.gcr.io": "gcloud", "myinstance-e2e-test-user.org-1.zone1.google.gdch.test": "mhs", "staging-k8s.gcr.io": "gcloud", "us-central1-docker.pkg.dev": "gcloud", "us.gcr.io": "gcloud" } }En este ejemplo, se muestra un resultado exitoso de
"myinstance-e2e-test-user.org-1.zone1.google.gdch.test": "mhs".Configura el proyecto del usuario en
gdcloud:TENANT_PROJECT=PROJECT_NAME gdcloud config set project $TENANT_PROJECTSe muestra el siguiente resultado:
Updated property [core/project].Identifica un proyecto de Harbor al que tengas acceso de administración. Crea un proyecto de Harbor si no existe uno.
Realiza operaciones de Docker, como enviar o extraer una imagen:
TENANT_PROJECT=PROJECT_NAME HARBOR_INSTANCE_NAME=HARBOR_INSTANCE_NAME REGISTRY=$(kubectl get harborinstance $HARBOR_INSTANCE_NAME -n $TENANT_PROJECT -o jsonpath='{.status.url}' | sed s#https://##) HARBOR_PROJECT=HARBOR_PROJECT_NAME # Push image docker pull nginx docker tag nginx ${REGISTRY}/${HARBOR_PROJECT}/nginx:latest docker push ${REGISTRY}/${HARBOR_PROJECT}/nginx:latest # Pull image docker pull ${REGISTRY}/${HARBOR_PROJECT}/nginx:latestUn resultado correcto es similar al siguiente:
# Push image root@gpc-adhoc-70846130vm-bootstrapper-zone1:~# docker push ${REGISTRY}/harbor-project/nginx:latest The push refers to repository [myinstance-e2e-test-user.org-1.zone1.google.gdch.test/harbor-project/nginx] e4e9e9ad93c2: Pushed 6ac729401225: Pushed 8ce189049cb5: Pushed 296af1bd2844: Pushed 63d7ce983cd5: Pushed b33db0c3c3a8: Pushed 98b5f35ea9d3: Pushed latest: digest: sha256:7ba542bde95e6523a4b126f610553e3657b8108bc3175596ee7e911ae1219bfc size: 1778 # Pull image root@gpc-adhoc-70846130vm-bootstrapper-zone1:~# docker pull ${REGISTRY}/harbor-project/nginx:latest latest: Pulling from harbor-project/nginx Digest: sha256:7ba542bde95e6523a4b126f610553e3657b8108bc3175596ee7e911ae1219bfc Status: Image is up to date for myinstance-e2e-test-user.org-1.zone1.google.gdch.test/harbor-project/nginx:latestSi la operación no se realiza correctamente, es posible que veas el siguiente resultado:
E1025 19:21:39.322290 1273587 get.go:24] failed to get user name: user is not logged in or login expired, please login againEn este ejemplo, la sesión de autenticación de GDC caducó y debes volver a acceder a GDC. Para obtener más información, consulta Acceder.
Accede a Helm con tu identidad de GDC
Usa el auxiliar de credenciales de MHS con tu identidad de GDC para acceder a la CLI de Helm.
Para autenticarte con Helm, sigue estos pasos:
Después de autenticarte con GDC, recupera tus credenciales de usuario del auxiliar de credenciales:
echo $REGISTRY | docker-credential-mhs getEl resultado es similar a este:
{"Username":"tokenreview$fop-infrastructure-operator@example.com","Secret":"STS-Bearer-3q2o6mBKk44Gzi4105vyiSnXMuixtnm-RnyxSgJtnYkNbGV7drpwgIuftinAXVlo0Im9kgoGmc2WcZTSjE-vh2a71Su7YjB6qIAjAQ5ABkY03AHNfkHhRZzxthumDIVAd08wm2weit3_NpMPgOnf9qMblds_Q0PAWk2OhpodBpCfyl3LWZpIZBaNVgtg-TB_7fjpEDOm-_Q5VYABScOgZFP_bw"}Accede a la CLI de Helm con las credenciales. Cuando se te solicite que ingreses las credenciales, usa las que devolvió el auxiliar de credenciales.
helm registry login $REGISTRY Username: tokenreview$fop-infrastructure-operator@example.com Password: STS-Bearer-3q2o6mBKk44Gzi4105vyiSnXMuixtnm-RnyxSgJtnYkNbGV7drpwgIuftinAXVlo0Im9kgoGmc2WcZTSjE-vh2a71Su7YjB6qIAjAQ5ABkY03AHNfkHhRZzxthumDIVAd08wm2weit3_NpMPgOnf9qMblds_Q0PAWk2OhpodBpCfyl3LWZpIZBaNVgtg-TB_7fjpEDOm-_Q5VYABScOgZFP_bwUn resultado correcto para esta operación se ve de la siguiente manera:
Login Succeeded
Accede a Docker o Helm con secretos de la CLI
Para acceder a Docker o Helm con secretos de la CLI, sigue estos pasos:
- Accede a Harbor con una cuenta de usuario de IAP.
- Haz clic en tu nombre de usuario y selecciona Perfil de usuario.
- Para copiar el secreto de la CLI asociado a tu cuenta, haz clic en Copiar.
Opcional: Para mostrar botones para generar automáticamente o crear manualmente un nuevo secreto de la CLI, haz clic en los puntos suspensivos de tu perfil de usuario.
Si generaste un nuevo secreto de la CLI, haz clic en Copiar para copiarlo.
Ahora puedes usar tu secreto de la CLI como contraseña cuando accedas a Harbor desde la CLI de Docker o Helm:
docker login -u USERNAME -p CLI_SECRET HARBOR_INSTANCE_URL
Reemplaza lo siguiente:
USERNAME: Es el nombre de usuario de la cuenta de Harbor.CLI_SECRET: Es el secreto de la CLI generado.HARBOR_INSTANCE_URL: Es la URL de la instancia de Harbor.