本页介绍了如何使用受管理的 Harbor 服务 (MHS) 凭据帮助程序或 CLI Secret 登录 Docker 或 Helm。
为了提供灵活性,Google Distributed Cloud (GDC) 空气隔离设备提供了两种方法,用于从 Harbor 注册表实例向 Docker 和 Helm 进行身份验证。第一种方法是使用受管理的 Harbor 服务 (MHS) 凭据帮助程序和您的 GDC 身份登录 Docker 或 Helm CLI。通过 GDC 进行身份验证后,您可以登录 Docker 客户端并执行 Docker 操作,而无需在 Harbor 中创建或管理单独的 CLI 密钥。
第二种方法是使用 CLI Secret。使用 Identity-Aware Proxy (IAP) 进行身份验证并首次登录 Harbor 界面后,您可以使用 Docker 或 Helm CLI 访问 Harbor。Docker 和 Helm CLI 无法处理 IAP 的重定向,因此 Harbor 提供了一个 CLI Secret,以便在从 Docker 或 Helm 登录时使用。仅当 Harbor 使用 IAP 身份验证时,此方法才可用。
准备工作
- 如需为 Harbor 注册表实例配置 Docker 和 Helm 身份验证,请让您的组织 IAM 管理员向您授予 Harbor Instance Viewer (
harbor-instance-viewer) 角色。
使用 CLI Secret 登录 Docker 或 Helm
如需使用 CLI Secret 登录 Docker 或 Helm,请按以下步骤操作:
- 使用 IAP 用户账号登录 Harbor。
- 点击您的用户名,然后选择用户个人资料。
- 如需复制与您的账号关联的 CLI 密钥,请点击 复制。
可选:如需显示用于自动生成或手动创建新 CLI Secret 的按钮,请点击用户个人资料中的 椭圆。
如果您生成了新的 CLI 密钥,请点击 Copy(复制)进行复制。
现在,您可以在通过 Docker 或 Helm CLI 登录 Harbor 时,将 CLI Secret 用作密码:
docker login -u USERNAME -p CLI_SECRET HARBOR_INSTANCE_URL
替换以下内容:
USERNAME:Harbor 账号用户名CLI_SECRET:生成的 CLI 密钥。HARBOR_INSTANCE_URL:Harbor 实例的网址。