Accede a Docker y Helm

En esta página, se describe cómo acceder a Docker o Helm con el asistente de credenciales del servicio administrado de Harbor (MHS) o los secretos de la CLI.

Para brindar flexibilidad, Google Distributed Cloud (GDC) con aislamiento de red proporciona dos métodos para autenticarse con Docker y Helm desde tu instancia del registro de Harbor. El primer método consiste en usar el auxiliar de credenciales de Managed Harbor Service (MHS) y tu identidad de GDC para acceder a la CLI de Docker o Helm. Después de autenticarte con GDC, puedes acceder al cliente de Docker y realizar operaciones de Docker sin tener que crear ni administrar secretos de CLI separados en Harbor.

El segundo método es usar secretos de la CLI. Después de autenticarte con Identity-Aware Proxy (IAP) y acceder a la interfaz de Harbor por primera vez, usa la CLI de Docker o Helm para acceder a Harbor. Las CLIs de Docker y Helm no pueden controlar el redireccionamiento para IAP, por lo que Harbor proporciona un secreto de CLI para usar cuando se accede desde Docker o Helm. Este método solo está disponible cuando Harbor usa la autenticación de IAP.

Antes de comenzar

Para configurar la autenticación de Docker y Helm para las instancias del registro de Harbor, debes tener lo siguiente:

  • El auxiliar de credenciales de MHS docker-credential-mhs instalado en el entorno El asistente de credenciales se incluye de forma predeterminada en el paquete de la CLI de gcloud. Para obtener más información, consulta la descripción general de la CLI de gcloud.
  • El rol de identidad y acceso necesario. Pídele al administrador de IAM de la organización que te otorgue el rol de visualizador de instancias de Harbor (harbor-instance-viewer).

Accede a Docker con tu identidad de GDC

Usa el auxiliar de credenciales de MHS con tu identidad de GDC para acceder a la CLI de Docker. Para autenticarte con Docker, sigue estos pasos:

  1. Accede al servidor de la API de Management con la CLI de GDC siguiendo las instrucciones en Acceder.

  2. Configura Docker para que use el auxiliar de credenciales de MHS docker-credential-mhs:

    TENANT_PROJECT=PROJECT_NAME
HARBOR_INSTANCE_NAME=HARBOR_INSTANCE_NAME
REGISTRY=$(kubectl get harborinstance $HARBOR_INSTANCE_NAME -n $TENANT_PROJECT -o jsonpath='{.status.url}' | sed s#https://##)

docker-credential-mhs configure-docker --registries=${REGISTRY}

    Reemplaza lo siguiente:

  3. Sigue las instrucciones en Configura Docker para que confíe en la CA raíz de Harbor.

  4. Opcional: Verifica que el asistente de credenciales se haya configurado correctamente. Para ello, verifica que la entrada mhs se haya agregado a ~/.docker/config.json:

    cat DOCKER_CONFIG_PATH

    Reemplaza DOCKER_CONFIG_PATH por la ruta de acceso a tu archivo de configuración de Docker. Por ejemplo: ~/.docker/config.json.

    El resultado es similar a este:

    {
    "auths": {
        "10.200.0.1": {
            "auth": "YWRtaW46YWRtaW4="
        },
        "10.200.16.5:10443": {
            "auth": "YWRtaW46ZEROVVJCVWE1a1FBcE4xQQ=="
        }
    },
    "credHelpers": {
        "asia.gcr.io": "gcloud",
        "eu.gcr.io": "gcloud",
        "gcr.io": "gcloud",
        "marketplace.gcr.io": "gcloud",
        "myinstance-e2e-test-user.org-1.zone1.google.gdch.test": "mhs",
        "staging-k8s.gcr.io": "gcloud",
        "us-central1-docker.pkg.dev": "gcloud",
        "us.gcr.io": "gcloud"
    }
}

    En este ejemplo, se muestra un resultado exitoso de "myinstance-e2e-test-user.org-1.zone1.google.gdch.test": "mhs".

  5. Configura el proyecto del usuario en gdcloud:

    TENANT_PROJECT=PROJECT_NAME
gdcloud config set project $TENANT_PROJECT

    Se muestra el siguiente resultado:

    Updated property [core/project].

  6. Identifica un proyecto de Harbor al que tengas acceso de administración. Crea un proyecto de Harbor si no existe uno.

  7. Realiza operaciones de Docker, como enviar o extraer una imagen:

    TENANT_PROJECT=PROJECT_NAME
HARBOR_INSTANCE_NAME=HARBOR_INSTANCE_NAME
REGISTRY=$(kubectl get harborinstance $HARBOR_INSTANCE_NAME -n $TENANT_PROJECT -o jsonpath='{.status.url}' | sed s#https://##)
HARBOR_PROJECT=HARBOR_PROJECT_NAME

# Push image
docker pull nginx
docker tag nginx ${REGISTRY}/${HARBOR_PROJECT}/nginx:latest
docker push ${REGISTRY}/${HARBOR_PROJECT}/nginx:latest

# Pull image
docker pull ${REGISTRY}/${HARBOR_PROJECT}/nginx:latest

    Un resultado correcto es similar al siguiente:

    # Push image
root@gpc-adhoc-70846130vm-bootstrapper-zone1:~# docker push ${REGISTRY}/harbor-project/nginx:latest
The push refers to repository [myinstance-e2e-test-user.org-1.zone1.google.gdch.test/harbor-project/nginx]
e4e9e9ad93c2: Pushed
6ac729401225: Pushed
8ce189049cb5: Pushed
296af1bd2844: Pushed
63d7ce983cd5: Pushed
b33db0c3c3a8: Pushed
98b5f35ea9d3: Pushed
latest: digest: sha256:7ba542bde95e6523a4b126f610553e3657b8108bc3175596ee7e911ae1219bfc size: 1778

# Pull image
root@gpc-adhoc-70846130vm-bootstrapper-zone1:~# docker pull ${REGISTRY}/harbor-project/nginx:latest
latest: Pulling from harbor-project/nginx
Digest: sha256:7ba542bde95e6523a4b126f610553e3657b8108bc3175596ee7e911ae1219bfc
Status: Image is up to date for myinstance-e2e-test-user.org-1.zone1.google.gdch.test/harbor-project/nginx:latest

    Si la operación no se realiza correctamente, es posible que veas el siguiente resultado:

    E1025 19:21:39.322290 1273587 get.go:24] failed to get user name: user is not logged in or login expired, please login again

    En este ejemplo, la sesión de autenticación de GDC caducó y debes volver a acceder a GDC. Para obtener más información, consulta Acceder.

Accede a Helm con tu identidad de GDC

Usa el auxiliar de credenciales de MHS con tu identidad de GDC para acceder a la CLI de Helm.

Para autenticarte con Helm, sigue estos pasos:

  1. Después de autenticarte con GDC, recupera tus credenciales de usuario del auxiliar de credenciales:

    echo $REGISTRY | docker-credential-mhs get

    El resultado es similar a este:

    {"Username":"tokenreview$fop-infrastructure-operator@example.com","Secret":"STS-Bearer-3q2o6mBKk44Gzi4105vyiSnXMuixtnm-RnyxSgJtnYkNbGV7drpwgIuftinAXVlo0Im9kgoGmc2WcZTSjE-vh2a71Su7YjB6qIAjAQ5ABkY03AHNfkHhRZzxthumDIVAd08wm2weit3_NpMPgOnf9qMblds_Q0PAWk2OhpodBpCfyl3LWZpIZBaNVgtg-TB_7fjpEDOm-_Q5VYABScOgZFP_bw"}

  2. Accede a la CLI de Helm con las credenciales. Cuando se te solicite que ingreses las credenciales, usa las que devolvió el auxiliar de credenciales.

    helm registry login $REGISTRY
Username: tokenreview$fop-infrastructure-operator@example.com
Password: STS-Bearer-3q2o6mBKk44Gzi4105vyiSnXMuixtnm-RnyxSgJtnYkNbGV7drpwgIuftinAXVlo0Im9kgoGmc2WcZTSjE-vh2a71Su7YjB6qIAjAQ5ABkY03AHNfkHhRZzxthumDIVAd08wm2weit3_NpMPgOnf9qMblds_Q0PAWk2OhpodBpCfyl3LWZpIZBaNVgtg-TB_7fjpEDOm-_Q5VYABScOgZFP_bw

    Un resultado correcto para esta operación se ve de la siguiente manera:

    Login Succeeded

Accede a Docker o Helm con secretos de la CLI

Para acceder a Docker o Helm con secretos de la CLI, sigue estos pasos:

  1. Accede a Harbor con una cuenta de usuario de IAP.
  2. Haz clic en tu nombre de usuario y selecciona Perfil de usuario.
  3. Para copiar el secreto de la CLI asociado a tu cuenta, haz clic en Copiar.

  4. Opcional: Para mostrar botones para generar automáticamente o crear manualmente un nuevo secreto de la CLI, haz clic en los puntos suspensivos de tu perfil de usuario.

  5. Si generaste un nuevo secreto de la CLI, haz clic en Copiar para copiarlo.

  6. Ahora puedes usar tu secreto de la CLI como contraseña cuando accedas a Harbor desde la CLI de Docker o Helm:

    docker login -u USERNAME -p CLI_SECRET HARBOR_INSTANCE_URL

Reemplaza lo siguiente:

  • USERNAME: Es el nombre de usuario de la cuenta de Harbor.
  • CLI_SECRET: Es el secreto de la CLI generado.
  • HARBOR_INSTANCE_URL: Es la URL de la instancia de Harbor.