Implementando o Serviço Harbor no VMware Cloud Foundation 9.0 em Ambiente Air-Gapped

A infraestrutura de nuvem privada moderna exige recursos de registro de contêineres de nível empresarial, particularmente em ambientes onde a conectividade externa com a internet é restrita ou proibida. No VMware Cloud Foundation (VCF) 9.0, a implantação de Supervisor Services em ambientes air-gapped apresenta desafios técnicos únicos que exigem planejamento cuidadoso e execução precisa. Este guia fornece uma abordagem sistemática para implantar e gerenciar o Harbor como um Supervisor Service em implantações VCF air-gapped, permitindo que sua organização mantenha a disponibilidade de imagens de contêineres enquanto adere a rigorosos requisitos de segurança e conformidade.

O desafio crítico em ambientes air-gapped é o "problema de bootstrap". O Harbor Supervisor Service requer imagens de contêineres para ser implantado, mas em um ambiente air-gapped, não há registro de onde puxar essas imagens. Este guia aborda esse desafio demonstrando como estabelecer um registro de bootstrap que permite a implantação do Harbor Supervisor Service, após o qual o Harbor Supervisor Service pode se tornar seu registro de contêineres de produção.

Compreendendo os Desafios da Implantação Air-Gapped

Um ambiente air-gapped é uma medida de segurança de rede que isola física ou logicamente uma rede de computadores de redes não seguras, incluindo a internet. Para organizações que operam em setores regulamentados, como serviços financeiros, agências governamentais, saúde e defesa, a infraestrutura air-gapped não é opcional; é um requisito regulatório. Portanto, fornecemos aqui uma solução para implantar o Harbor Supervisor Service em uma configuração air-gapped que, então, se tornará seu registro OCI para o ambiente air-gapped.

Processo de Implantação

Para ambientes VCF air-gapped, exigimos uma abordagem em duas fases.

Passo 1: Implantação do Bitnami Harbor OVA

Implante o Harbor Open Virtual Appliance (OVA) da Bitnami como uma máquina virtual para servir como o registro de bootstrap para armazenar as imagens do Harbor Supervisor Service. Esta abordagem oferece:

• Implantação rápida através de um appliance pré-configurado
• Gerenciamento tradicional baseado em VM
• Adequado para testes iniciais ou implantações menores

Este registro de bootstrap serve a um propósito crítico: ele hospeda as imagens de contêineres do Harbor Supervisor Service que serão puxadas durante a implantação do Harbor Supervisor Service.

Passo 2: Harbor Supervisor Service (Registro de Produção)

Uma vez que você tenha um registro de bootstrap operacional, você pode implantar o Harbor como um Supervisor Service nativo. Este se torna seu registro de contêineres de produção e fornece:

• Integração nativa com o gerenciamento de ciclo de vida do VCF
• Escalabilidade com sua infraestrutura de Supervisor
• Suporte empresarial através dos canais padrão da Broadcom
• Integração com vSphere Namespaces e clusters VKS

Por que esta Abordagem em Duas Fases?

O Harbor Supervisor Service não pode se implantar sem acesso às suas próprias imagens de contêineres. Em ambientes conectados à internet, essas imagens são puxadas de registros externos automaticamente. Em ambientes air-gapped, você deve primeiro fornecer um registro de bootstrap interno usando a VM do Harbor que hospeda essas imagens. Uma vez que o Harbor Supervisor Service esteja implantado e operacional, ele se torna o registro de produção para todas as suas cargas de trabalho, e o registro de bootstrap pode ser desativado ou mantido como backup.

Este guia cobre o fluxo de trabalho completo: configurar um registro de bootstrap do Harbor, preenchê-lo com as imagens necessárias, implantar o Harbor Supervisor Service usando o registro de bootstrap e usar o Harbor Supervisor Service como o registro de produção para a implantação de cargas de trabalho.

Pré-requisitos

Antes de iniciar a implantação, verifique se seu ambiente atende a estes requisitos:

• VMware Cloud Foundation 9.0 com Supervisor habilitado em um ambiente air-gapped
• Arquivo YAML do pacote do Harbor Supervisor Service

Passo 1: Implantação do Bitnami Harbor OVA

Baixe o OVA mais recente do Harbor do portal Bitnami e certifique-se de que o OVA esteja disponível em um local de onde possa ser carregado para o vCenter air-gapped. Faça login no seu vCenter air-gapped, clique com o botão direito do mouse no seu cluster e selecione "Deploy OVF Template". Selecione os arquivos relacionados ao OVF do Bitnami Harbor. Siga o assistente e implante o modelo OVF.

Ligue a VM do Harbor e deixe que o bootstrap inicial da VM seja concluído; você poderá ver o IP e o FQDN fornecidos a ela no vCenter. Ao fazer login no console, podemos ver que o bootstrap do Harbor foi concluído e as credenciais para fazer login na UI do Harbor estão disponíveis aqui.

Agora podemos fazer login na instância Bitnami Harbor. Esta atuará como nosso registro de bootstrap para armazenar as imagens do Harbor Supervisor Service. Criamos um novo projeto chamado supervisor-services, que será usado para armazenar as imagens do Harbor Supervisor Service.

Como estamos usando uma instância do Harbor que não é assinada por uma CA confiável, iremos adicioná-la como um registro de contêineres no Supervisor. Para isso, fazemos login no vCenter > Menu > Supervisor Management > > Configure > Container Registries e clicamos em "Add Registry". Forneça os detalhes da VM do Harbor de bootstrap.

Obtemos os detalhes do certificado TLS fazendo login na VM do Harbor de bootstrap > Administration > Configuration > System Settings, clicando no botão "Download" ao lado de "Registry Root Certificate" e colando o conteúdo do arquivo na entrada na UI mostrada abaixo. Podemos ver que o registro é adicionado com sucesso. Isso permitirá que o Supervisor use este registro para puxar as imagens do Supervisor Service relacionadas ao Harbor sem o estabelecimento de confiança adicional.

Passo 2: Pré-preparação de Imagens (Image Pre-Staging)

Agora que o registro de bootstrap está disponível, devemos pré-preparar todas as imagens de contêineres exigidas pelo Harbor Supervisor Service. Esta seção descreve o processo.

Pré-requisitos: Carvel imgpkg

No momento da escrita deste blog, o Carvel Imgpkg mais recente disponível é o 0.47.2. Para informações sobre a versão mais recente disponível, consulte a documentação do Carvel imgpkg. Como estamos usando um jumphost Windows com conectividade à internet, baixamos o arquivo imgpkg.exe do GitHub e o adicionamos à lista de Variáveis de Ambiente do Windows.

Processo de Coleta e Pré-preparação de Imagens:

Abrimos o arquivo YAML do Harbor Supervisor Service e identificamos os pacotes Carvel que ele puxa durante a instalação para pré-prepará-los. Neste caso, estamos usando o Harbor 2.14.3.

Agora copiamos o pacote para o nosso jumphost Windows usando imgpkg:

Copy imgpkg copy -b projects.packages.broadcom.com/vsphere/supervisor/harbor-service/2.14.3/harbor:v2.14.3_vmware.2-vks.1 –to-tar harbor-v2.14.3.tar –cosign-signatures

Podemos ver que o pacote Carvel do Harbor Supervisor Service agora está disponível como um arquivo .tar em nosso jumphost.

Agora copiamos o arquivo .tar do nosso jumphost para o nosso registro de bootstrap do Harbor.

Copy imgpkg copy –tar harbor-v2.14.3.tar –to-repo harbor-bitnami-bootstrap.site-a.vcf.lab/supervisor-services/harbor –cosign-signatures –registry-insecure –registry-username admin –registry-password Harbor12345

Agora podemos ver que as imagens relacionadas ao Harbor Supervisor Services estão disponíveis no registro da VM de bootstrap do Harbor.

Finalmente, atualizamos a URL da imagem no YAML do Harbor Supervisor Service do local baseado na internet para apontá-la para a VM de bootstrap do Harbor air-gapped.

Passo 3: Instalar o Harbor Supervisor Service

Adicionar o Serviço Harbor ao vCenter

1. Faça login no vSphere Client.
2. Navegue até Menu > Supervisor Management > Services > Add New Service.
3. Selecione "Upload".
4. Faça o upload do arquivo harbor-service-x.xx.x.yml.
5. Clique em "Finish".

Atualizar o Arquivo de Valores de Dados do Harbor Supervisor Service

Configurar os Valores de Dados do Harbor: Edite o arquivo harbor-data-values-x.xx.x.yml para configurar o Harbor para seu ambiente air-gapped. Detalhes sobre como definir os valores podem ser encontrados nos blogs "Reducing Harbor Deployment Complexity on Kubernetes" e "Making Harbor Production-Ready: Essential Considerations for Deployment".

Implantar o Harbor Supervisor Service

1. No vSphere Client, localize o cartão de serviço do Harbor.
2. Clique em Actions > Manage Service.
3. Selecione seu cluster supervisor e clique em "Next".
4. Cole o conteúdo modificado de harbor-data-values-x.xx.x.yml.
5. Clique em "Finish".
6. Monitore o progresso da instalação. A instalação cria um namespace (por exemplo, svc-harbor-<unique-id>) e implanta todos os componentes do Harbor.

Uma vez que a implantação é concluída, podemos acessar a UI do Harbor Supervisor Service usando o FQDN fornecido no arquivo YAML de valores de dados. A partir deste ponto, temos um registro empresarial de nível de produção air-gapped que pode ser usado para implantar outros Supervisor Services, bem como aplicações.

Conclusão

A implantação de Supervisor Services em um ambiente VCF 9.0 air-gapped exige planejamento cuidadoso, execução precisa e disciplina operacional contínua. O Harbor Supervisor Service fornece uma base robusta para operações de registro de contêineres sem conectividade externa com a internet.

Principais pontos:

• Decisões de arquitetura: A abordagem do Harbor Supervisor Service oferece integração superior com o gerenciamento de ciclo de vida do VCF em comparação com implantações de VM autônomas. Ele escala com sua infraestrutura e recebe suporte empresarial.
• Pré-preparação é crítica: O sucesso em ambientes air-gapped depende inteiramente da pré-preparação abrangente de imagens. Mantenha inventários detalhados de imagens e estabeleça procedimentos de transferência confiáveis.
• Gerenciamento de certificados: PKI interna e relações de confiança de certificados são fundamentais. Implemente rotação automatizada de certificados e mantenha cadeias de certificados completas.
• Segurança em primeiro lugar: Ambientes air-gapped existem por razões de segurança. Implemente confiança de conteúdo, varredura de vulnerabilidades e RBAC desde o primeiro dia.

Seguindo este guia, você estabelece uma infraestrutura de registro de contêineres pronta para produção que atende aos rigorosos requisitos de operações air-gapped, mantendo a flexibilidade e escalabilidade esperadas das plataformas de nuvem privada modernas.

Para recursos adicionais e atualizações, consulte os Broadcom TechDocs para VCF Supervisor Services.

Se você está procurando mais informações sobre o Harbor, siga nossa série de blogs sobre o Harbor:

• Blog 1 – Harbor: Seu Registro de Contêineres Empresarial para uma Nuvem Privada Moderna
• Blog 2 – Reduzindo a Complexidade da Implantação do Harbor no Kubernetes
• Blog 3 – Tornando o Harbor Pronto para Produção: Considerações Essenciais para a Implantação
• Blog 4 – Integrando o VMware Data Services Manager com o Harbor para um Registro Pronto para Produção
• Blog 5 – Usando o Harbor como Cache Proxy para Registros Baseados em Nuvem
• Blog 6 – Protegendo sua Cadeia de Suprimentos de Software com o Harbor
• Blog 7 – Implementando Replicação Cross-Region com o Harbor no VMware Cloud Foundation
• Blog 8 – Usando o Harbor como um Registro de Modelo de IA

Descubra mais no Blog do VMware Cloud Foundation (VCF)

Assine para receber as últimas postagens por e-mail.

Digite seu e-mail… Assinar

Como parceiro certificado VMware, a VirtuAllIT possui a expertise e o conhecimento aprofundado para auxiliar sua empresa na implementação e otimização de soluções complexas como o Harbor Supervisor Service em ambientes VCF air-gapped, garantindo conformidade e segurança para suas operações críticas.