Hello Taylor, please start the recording.好吧,我们要开始了,非常感谢各位的参与。欢迎参加今天的SINCEF网络研讨会。增强合规信心使用Harbor进行高级镜像扫描。我是Vivian,SINCEF大使。同时我也是京东的产品经理。今天的网络研讨会将会由我主持。下面让我们来欢迎今天的演讲者,Steven Zhou。Steven是Harbor的Cole Mentender,负责领导关键Harbor组建的开发。下面最近Steven开始以宣传官的身份在云原生社区中运营和推广Harbor项目,带领多个工作组利用整个社区的力量来确保功能的实施。在我们开始之前,我要先介绍一些注意事项。在网络研讨会期间,您作为余会者无法参与交谈,但屏幕底部下面有一个问答框,您可以随时在该框中提交问题。在问答环节,我们会尽可能多地回答大家的问题。好,现在让我们欢迎Steven开始今天的演讲。好,感谢Vivian。大家早上好,非常感谢SINCEF提供这次机会和大家在网络上share今天这个topic。今天的topic主要是谈complants,就是合规性。主要是谈谈以Harbor为线索来谈谈如何提升合规性信息。在这个topic里边,我们会重点谈到Harbor在接下来新的release里边发布的高级的进行扫描功能。我自己本身就不做介绍,因为Vivian已经介绍过了。在开始之前,我想先给大家share一些bunk around。大家看到这张图的话应该比较熟悉了。在容器领域,这实际上是一个容器生命周期的一个头。大家可以看到左边的这个湖边框的这个,实际上是一个容器的生命周期的一个完善的一个flow。那我们作为使用容器环境的时候,我们会通过dogfire去build你的软件包变成这种镜像。当然你也可以在你的本地去run这个镜像为container实力。当然你也可以将container实力再提交给成为一个新的image。然后的话,你可能会tag你的image。那如果仅仅只有左边这个框的时候,大家会发现在单一的环境下,实际上是很难在企业级或者production环境中去真正的去enable,cognitive or containerized,这么一个solution的。所以,因为在企业级生产环境中,我们会有很多这种框,也就代表着整个很多这种round time。那所以在部署round time,walkload的部署到round time的时候,实际上我们会发现我们需要镜像去支撑这个workload的启动。那如果只是左边单一的环境里边产生镜像无法传达给其他这种workload的环境的话,实际上会带来很多的问题。这样的话,我们才提出了大家可以看到中间这个redshade,一个镜像的redshade镜像仓库。那出现镜像仓库的作用其实看似仓库随时一个比较小的服务,但是它是在一个关键路径上的一个关键的节点。也就是说我们通过镜像仓库服务提供了镜像的这种存储并且作为一个重要的媒介来发布、分发镜像,使得你的镜像可以在多个round time环境里边去share。那作为一个关键节点上的一个服务关键节点上,那我们其他的一些management的需求或management control的一些要求就可以在这个节点上去实现。那这个round time,那就不多说了,那现在有coronane、dalker都可以归在这个round time里边。那实际上在整个生产环境中构建你的原原生或container rise运行环境的时候,我们会考虑到整个这个大框。也就是说在特定的网络里边我有很多这种round time不管coronane、dalker,我有我自己的一个register或者register service去分发我的镜像。那谈到企业级里边我们需要很多这种合规的要求,这个合规实际上是符合某些规范企业级的一些规范。这些规范里边可能很多是一种控制防外控制的规范,也有很大一片是安全的规范,还有其他相关的更多这种规范。那所以但是在这个整个环境里边提供合规的话,其实不单纯是你要提供整个环境的合规,其实要从不同的角度不同的维豆上去考虑。那第一个其实说一般会考虑到网络你也需要相关的这种合规,然后你的round time,coronane,dalker,你也有自己的一些合规性的要求。当然第三点就是workload的来源,就是这种镜像你也需要一些合规,那这个合规的check就可以在这个人事这个媒介里边去实现。那共建整个运营环境的时候是需要考虑方方面面的合规,那今天我们会重点考虑在镜像或者在workload的原图,就是continuous镜像这一块,考虑如何实现这种合规。那讨论这个合规的话,我们并不是无缘之水,就是凭空而谈,那我今天谈的就是说我们在regis上面的合规。那看到regis水,我们会讨论到今天这个主题就是open source的开源的interpress class 级别的这么一个continuous image regis水像harbor。那harbor本身会提供一些安全镜像服务,那这种安全的镜像服务会基于什么,我们会有一些arbacked access control,然后会帮你去提供一些镜像漏洞扫描,以确保它是安全的,而且可以提供镜像的安全的签名,以确保它的来源是可信的等等一系列。所以这一系列像achieve的一个目的或者一个购就是提供安全和合规这么一个能力,当然在这个填迹下我们也会提供更好的performance,更好的可护操作性,以及比较重要的这么一致性的进行管理。这个也是在提升operational productivity和平常的这种生产RD效率上也很重要。那harbor开开项目已经是cognitive computing foundation,也就是CNCF一个腐化项目了。那大家想了解更多的信息可以直接去goharbor.io去check一下。那截至目前,harbor项目本身在githarbor上已经超过1万颗星了,这也是在社区以及中专用户对这个项目的认可。当然这也是一个big milestone,一个重要的节点,也是我们继续前程的一个新的起点。那作为一个开源的项目,要就提供了一个很好的图就用去让大家去run他们自己的这么一个image倾向仓库。那run,由overaged这么一个自己进向仓库所需要考虑的consideration,你考虑的哪些方面,或者说这些考虑方面,也就是你所期望得到的一些benefit,一些好处,或者说你期望得到的一些功能的话,有哪些方面呢?首先呢,作为企业机你肯定会考虑到这种安全和合规的这种要求,首先我得保证我的东西对我的环境不会造成破坏,而且是符合我公司开发某些流程或者其他一些定义的规范。那在这个里边我会考虑,就是说一致性的一些控制策略,或者安全策略,或者就是我的register货,我的data, the ownership,就是我的数据相关的所有权,而且呢,就是一些identity management,和一些multi-tinted的这种这种数据隔离啊等等相关,以及这个identity的系统继承方面的一些考量。那针对这个的话,其实在harper这个角度上,我们可以看到就是harper本身是project isolation,就是我们有这种项目可以帮你去隔离数据,做一个逻辑上的隔离。那harper本身除了local database这种authentication之外的话,我们也可以支持OIDC integration,以及RDAP-AD这么一个integration。那在这个基础上的话,也就是说你可以使用自己的OIDC provider,自己的RDAP server服务。那在这个基础上,我们也有这种rbacked access control机制,来增强这个对access,content access的一些控制。当然在集成OIDC和RDAP的条件下,为了方便就是client的使用,我们也提供CRS secret,帮你去便于你的client去访问。那同时呢,进向就是soft package的rap,是一种package,那对package marketing会牵涉到OS和以及相关的这些package的dependence package的一些漏洞的问题,这会影响到你的workloader runtime的一些运行吧,所以我们会有onebase scanning。当然在onebase scanning我们会提供就少出相关的这种漏洞的问题,那在这漏洞问题里面有一些可能我们根据某些策略,或者说我们以之会有其他的措施来保证这个东西不会影响到我的内容访问的话,所以我们也会提供一个CVEY的list,可以设置这些白名单去bypass一些这种颂描出来的东西。当然就说除了之外呢,我们也提供了这种进行签名来帮你确信,就保证这个进行内容不可篡改,保证它的来源可靠。同时为了提升你的运为的可供性啊,运为的这个高效性啊,你的资源的使用率啊,我们也提供了这种quarter management,就是我们可以设置一些quarter来,不同的需求,不同的team来设置不同级别的这种quarter。当然就是说因为它是进行内容不会不断的有这种会不断的拥挤,比如说你和你的CSD基层会不断的产生这种进行tag,当到达一定阶段的时候,内容会显得有点很多内容可能out of date,所以我们需要一些retention这种清理机制来帮你快速的基于automation flow来实现这种tag的一个清理。那还有一些就是说我们有一些啊,特点就是我们某些啊,因为某种特别的这种使用需求,我们某些的tag是不可overwrite的,所以也会有一些immutable tag这种需求,所以Hover也会帮你提供immutable tag来保证你某些tag不可被篡改,不可被覆盖。那另外一个就是infrastructure,那就是我们的基础设施,那考虑这个方面的话,首先我们是说这个东西可以deploy on any infrastructure,不管是private, public, host, or edge,当然在这个条件下run your own,你的deter是localized,就是你的地色数据本地化,那另外就是提供这个infrastructure,你可能cuberlinks也可能是gv docker,那么cuberlinks和docker是这么一致化,那在这边我会简单提到像deploy on any infrastructure,我们会有这种online,我们会不同的这种安装方式和戒指,online offline installer for docker这种环境快速的启动,然后我们for burninus的话也有harbor and tar,那for其他一些传统,比如cloth foundry,或者其他的product里边我们会有harbor tar,当然这里边我也没有note down,就是我们的operator,其实我们现在社区也有相关的用户和contributor在做harbor operator,operator也变于就是通过covernate native的方式,通过covernate CRD的方式来deploy monitor and upgrade这种harbor,在之后的会有更多的消息披露,那另外一个就是scar和control,那也就是说在harbor里边你对content artifacts的方式是受控的,那不管是基于错律,不管基于offstation,它是应该受控以达到你的安全的要求,以达到你合规的要求。另外就是我们提供的replicate results,based on burninus needs,就是你可能有些特种特别的这种有需求,使得这些经向要transfer在不同的redsh and redsh服务之间,那这个我们可能知道harbor is a different native feature,就是replicate,经向的这种复制,可以在多个 redsh服务之间来transfer你的经向,那除了harbor对harbor这种native之外的话,那harbor可以横跨第三方的这种服务,那现在就是我们covernate native领域常见的像dokker redsh,dokker harbor,比如华为cloud,awsa,jcp,alibaba,quad,g4,gartifacker,gitlab redsh,常见的这些redsh服务harbor都已经支持这种复制,就是harbor一个比较different的一个明显的功能,然后另外就考虑automation和extensibility,就是这种自动化和extensibility就扩展性的需求,那就是,虽然自动化呢,很多redsh会用在cctworkflow里边,这个比较重要的,自动化是很重要的一种诉求了,那extensibility就说我可能有一些现有的这种,所谓的investment,就是我们一些对现有基础设计的一些投资,或者我现有的已经有一些服务,我需要介入这个harbor,我不想再使用其他的什么用本身也有的话,那也会有这方面的诉求,所以harbor会提供一些这种,首先是automation,extensibility的能力,包括syslog integration,包括webhooks,就是在某些特定事件的发生过push image,replication image,sky image,quarter变化的时候有一些webhook发出来,那当然我们提供标准在API便据去集成在第三方服务,或者通过其他的这种blocker什么的client去访问,更多的这种API实现更复杂的这种流程控制,然后我们也提供roomer count便据在这些syscd pipeline和automation pipeline里边,去做一些这种push的操作,好,这是harbor的整个架构图吧,我会快速的过一下吧,那这个带红线的就是harbor的本身的component,那还有一些我们会Depend on第三方的一些服务,那么可以很快的自上而下看一下,就是在consumer层我们会,刚才说了我们是compliment,correlate,donker,当然我们也支持harm,我会稍微提到会有这些client我们会无缝的支持,那harbor本身也提供了webhook portal便据operator administrator去做更快速,更方便的这种日常运营业和管理,那进入的所有的需求的话是通过API routing,这是一个ngx,当然在这个charm chart里边不会有这种ngx,这个都是OK的,就是说这边会有一个ngx做API routing,那API routing会导入到harbor call里边,harbor call里边一个很关键就是我们会有API server来接触这些request,然后会提供相关的这些核心的功能,包括authentication,authentication,那包括这些基本的这种系统配置管理,包括nip space管理,包括portal管理,以及对应的这种charm相关的一些管理服务,包括tag orientation,以及对content trust的这种handle,还有replication,以及scan,就是进入共同扫描相关的基本的这种核心的某种能力都在这个靠服务里边,那靠会做一单独的一个服务类型,那在这下面的话,我们会看到一些支撑的一些服务,就是一个异部的招保对列,来提供更大的这种并发的运行任务的支撑,然后我们会有logs,syslog,会统一收集管理这些logs,然后我们有gc controller,就是用来控制online gc这么一个flow,当然除了出自之外,我们会有依赖第三方的一些东西,比如说关键的documentary,relate on它去提供一些倾向的storage的一些功能,然后呢,我们又差点没有zim,会提供一些chart相关的这种storage和管理的一些能力,包括nother,就是基于nother实现这个签名的这种机制,那再往底层,就是detail access layer,就是数据相关的,用使用rallys来提供这种cache和cube storage的功能,那么我会支持,这种存储包括local和remote,包括block,fire,object都可以,那这个是完全兼容于documentary distribution的storage支持,然后我们secret database is in further grade,去提供metadata的这种数据支持,大家可以看到,左边的data provider,我刚才提到我们的支持,第三方adda,adaptersize基层,支持歪tc provider,就所有符合歪tc规范的,都可以接触,那这边右边的话,我们看到扫描的话,在即将发布的1.10里面,我做了很多的一种改进,就是plot out of tree,提供这种scan能力,那么我可以使用不同的scan provider,这个我稍后会有详细介绍,那包括这个replication,我们会有各种这种driver去驱动replication,逼成harper and other,其他的第三方这种registful,那harper即将在,要发布的是harper的1.10版本,那在这个1.10版本里边,考虑很多的,就是我们的安全和合规,其实安全和合规,是相互相乘的,很多时候合规,很大一部分,就是你的安全性的合规,所以在这里边,我提供这个imutable image,poster,一种功能imutable,就是不可算不可改,然后呢,我们会也,支持歪tc group,然后,会提供一个新的limit的get through,然后,会提供srssecret,还有robot counter,这些增强,那比较,其实,第五个就比较关键的一件,interrogate,就是一种审查服务,那在1.10版本里边,这是一个比较key的,很大的一个feature,我们会plugout of trace scanner,那大家如果,运过号,知道号之前的话,我们会有个moronative的一个scanner,那,自此之后的话,我们会变成plugout of trace scanner,那说到scanner的话,那其实,我们会考虑harbor,是一个倾向存储,或者是clonative artifact,这种存储的话,那很多,倾向存储是很关键的一部分,那scanner,目前基本上target的是continental image,那所谓continental image,大家可以看到,其实在这个package里边,我们的image,一边是有一个base image,那base image,提供一些os,的级别的一种支持,然后在这上面,我们可以通过package manager,去安装一些package dependence,然后才是我们的一些code banner,OK,那在这个image invalability,我们可能会,涉及到下面的,两个层面上,就是一个是os,一个是,就是你的package manager里边的,相关的software package,我们会发现里边的相关的漏洞,然后包括这个东西,那这个,是很重要的一个,一个环节,目前的abcode的话,还未实际,那,之前,如果大家,刚才提到,就是如果在,之前的那个hardware,大家应该知道,我们用的是,一个默认的,一个scanner,Clear,Clear,然后,那为什么,我会要,有这种plug about,这种,这种訴求,或者说,我们为什么要,提供这个plug about the reason,在哪呢?其实是一个很关键,就是not all scanner are created equal,而且还有一个很重要的诉求,investment,就可能我现,现有我本身,的体系里边,就有相关的,这种scanner服务,那,我这个scanner服务,本身应有,所以我想,就是level current,的这种infrastructure,investment,那,所以,这种,两方面这种诉求的话,我们才会引入这个东西,当然,在这边,我们说not all scanner are created,我可以多谈一点,就是说,就是,不同的scanner,那我们考虑了什么,package version,你的这个,等于,就是说,你的网络被database,这个来源,cover多少,然后你package packed,你的这个os,能cover多少,然后呢,你会,师傅提供更多的additional information,然后呢,师傅有,对吧,有,其更多的additional information from,你的一些,自由的一些secure research,那可能不同的,providder,它就有不同的,这种差异,或者说,它有不同的偏重点,那还有一些,就是说,啊,你师傅扫,support了更多的,这种layered package,师傅扫,啊,支持什么,这种mallware scanning,师傅有sensitive data checks,师傅,啊,这甚至,师傅支持windows,就是说,他们,这个能力,会有方方面的差异,那我们会考虑它的功能,会考虑它的commercial information,稍微的,会考虑它的支持,就是说,当我用,用户,customer,用户,那意思用的时候,它会有方方面的这种考虑,所以它会有不同的,这种选择,那我可能我,啊,我这个,没有什么菩萨,那我就喜欢用op source,或者我用freight,那我本身,就有完善的这种体系,那我里边,有一些commercial,很强功能的,啊,它可能比op source,更强大的这种scanner,那我就想用这个,来支持我,当前的这种,进行送料,那所以,它会有不同的选项,接下来发挥1.10里边,引入这个很,啊,fancy的这么一功能plago scanner,in harbor,那这个目的,就是很简单,就是要prefer,就是你,使用你自己prefer的scanner,来去扫,而且是一个project,也就是说,你对不同的project,你可以使用,不同级别的这种scanner,那这个是整个的一个架构,compare之前的这个架构,大家可以看底下的话,就说,我们会把,scanner的,啊,的能力,啊,就是,啊,规范化,啊,标准化,然后通过一个,scanner的,API spec,来把它透明化,就像那个说,harvard,和,scanner provider的沟通,那我们就通过,统一的一个transparent,API,透明的API,来实现,来达到,那这样的话,一个好处就是,对harvard来说,我talk的是,统一泡,啊,API,然后对,其他的这个,scanner provider来说,当我想,啊,plug in harvard的时候,那我只需要,实现这个API规范,就可以了,那目前这个,API,啊,scanner,API spec的规范的话,啊,1.0百万里面,其实,我们就有,三个非常简单的,这种,API实现,一个matter data,去返回,啊,这个scanner,相关的matter data,相细的一些,基本信息,啊,这些相关的信息,或者说你有其他的,这些,Bedition and Information,需要让用户知道的话,可以通过matter data,那scanner,就是说,我去发起一个,啊,向你发起一个,啊,扫码的请求,就告诉我要扫,扫,啊,我要制定的这个specified,啊,specified的一个artifact,那,另外一个就是说,我要拿回这个报告,那就是说,对其他的,啊,啊,scanner如果,标准的APS spec,就可以了,而且,啊,数量也不多,在1.0,那,在harbor 层面上,做的感觉就是说,因为我们介入了,不同的scanner,那,所以,介入不同的scanner,同时,我们是支持,通过管理员,去配置多个multiple scanner,那,所以我们这会提供,一个scanner,来管理,统一管理,啊,介入的这些scanner,那,一个很重要,就是说,在发生这个scanner的时候,那,我们会有个scanner controller,来接触这些scanner,请求和,报告查询的这些请求,那scanner controller,当然会,基于配置,啊,scanner 认识里边的,相关的scanner 配置,来去发起,一些这种,一步的scanner,那scanner 我完成之后,会将报告,啊,开始在一个scanner data store,里面,呃,去查询,嗯,那这个,关键就是说,这个scanner,当发声的时候,接受的时候,它会,去拿相关的内容,就通过和harper talk,去拿相关的内容,去player,去分析,就,就ok了,这是整个的一个,plugable,scanner 的一个architecture,大家可以看,这是scanner registry,之后,我会有live demo,大家可以自己看一下,然后呢,这是一个,扫描的报告,然后呢,这个是那个scanner reports,左边是scanner request,一个get data,右边是,得到的一个report,get data.然后,目前,接着,目前的话,我们supported the scanner,大概有,一个是equal的,CSP,一个cloud security platform,他们的一个commercial,官方的一个方案,然后还有equal公司的,刚刚说过的travel,是一个scanner,比较强,powerful的一个scanner,算表情,那另外,也是anchor,secure公司的anchor engine,和anchor enterprise,这个可能,用户也比较多,另外就说,我们默认的这个clare,sinterOS的clare,open source,clare,另外还有一个,一家中国,就小游科技的,都seq,这么一个,在中国,用的比较多的一个,算表情,那在我们的gohobber,的name space下,有一个plugged scanner spec,这边会有更多的信息,大家有空可以去check it,那这个,这个项目是一个joint,我可是一个联合工作,是由这个aqua公司,anchor公司,一个mware,还有end user恢复,这四家一起,完成的,所以这是一个,完完整整的一个,通过community的力量,deliver了一个powerful feature,好,那我们快速看一下demo,这是我已经登进hobber了,那我们,就从一个,从零开始吧,我们先创建一个,像比如sensef,webinar,给它设个portal,OK,在sensefwebinar里面,目前是空,那,很方便的,我们就不用铺式了,我们就用hobber的,而replicable,能从double harper上,拉点经向下,从double harper,选择它的名字,拉一些mysacre,put a query,hdpngx,把他们的litix,拉下来,以及,让我们之后,去,去用,去省描,好,配完了,我先让它,启动,那我们先,再去,再调一下replicable,期间的话,我们去看看这个integration,就是说,当你download之后,你管理员身份,download在administration,下面,可以看到integration,service,一个审查服务的,一个tab,打开点开之后,这边会有个scanner,这个就是管理员,可以通过这个体系,来管理你,所有的这种scanner,那之前我们,已经加了一些scanner,然后,这边已经列出了,他们的健康状态,都是ok的,大家可以看到,在这个里边,有一个clear,就是说,虽然我们,引入proper scanner,那在之后的版本里边,你依然在安装,harper的时候,可以指定一个default,clear,所以你在,如果,在install的时候,选择位置clear的话,我们依然会帮你,自动安装一个,内置的clear,做一个default的上标器,如果你有其他的话,你是可以,不用安装这个,内置的clear,然后,你可以自己配,那比如说,我们再配一个其他的,或者还有,我们再配一个travel,另外一个travel,那就是说,同一个proper scanner,你可以配多个,都没有问题,但是同一个,只能被听下一次,名字是,唯一的,我们测试一下,ok,它是通的,大家可以见到,我刚新加的一个travel tool,进来的,然后,你点击这个arrow,可以看到,它的一些metadata,更详细的信息,比如说,它的summelization,shows package,然后呢,它是,它的这个scammer的来源,都有,这边会有更多的信息,给你,然后,如果,选,加完之后的话,你就可以做一些管理,比如说,editor,disable,如果你不想,在短暂不想,使用它,当然,你可以继续编辑,如果你需要修改需求的话,这些就是,常规的operations,是没有问题的,那这样有个很关键,就是说,你可以指定一个default,那,所谓default的话,就是说,System Default Scanner,那在System Default Scanner,意味就是,它会apply to,所有的project,如果你在你的project里边,没有指定,specified scanner,那它会默认,使用这个System Default,当然,如果你指定了specific,project specific scanner的话,那这个default,就会被overwrite,比如,我们用这个travel 2,做一个default,然后,我们看到,我们现在是travel 2,一个travel,那,我们回到,我们的项目,我们看到,Repulsory,已经都有了,然后,我们看到replication,我们已经来了,已经进行了,那,在这个,新建的Sense and Webinar,这个项目之下,我们可以看到,这边有个scanner,就是配project-level的scanner,那我们看到,其实,我没有做任何的设置,这个时候,我的默认,已经有一个travel 2,当然,如果你不想使用这个default,你可以选择editor,可以配置其他的scanner,作为你这个项目,独有的,一个scanner,扫描隐形,那,通过这个配置好之后,如果,我们在这个里面,看到这个travel 2的话,也就是说,这个时候,我们再去扫描的话,我们就用的是,travel 2的,这个扫描器,就是一个travel,那扫描的,体验和之前,是没有任何差异的,那我们选中,以前扫描的印象,首次印象,首次扫描可能,有可能比较慢,那之后的扫描,它可能会比较快一点,那在这个扫描的,这个期间的话,它会有一些这种提示,那在它,让它扫描的期间,我们,可以再去看看,哎,挺快,大家可以看到,这个时候,已经扫描完毕了,大家看到这个http,这个httpd,这么来的image,已经扫出来,总共有,268个,啊,蚂蚁发现了,其中,零个是可FixBall,也就是说,没有可FixBall,它的整个,级别是,overall的一个,severage,是一个critical,那这个overall的,就是说,最高级别,只要是大一零的,最高级,那就是它那个级,比如说,critical的蚂蚁发现是,大一零的,overall的curtial,那如果curtical,curtical,大一零,hi的发现是,hi的发现是,大一零的critical,overall的severage,就是hi,对边会有这么一个整体的,然后会有相关的信息,那么move over,你的mouse,上去的话,可以看到一个quick,summary report,是一个,啊,图表的形式,来给你展现,不同级别的这么一个,什么样的,啊,漏洞的一个,一个数量,比如curtial,发现四个hi,五个media,一百二十五,low,五十一,啊,还有网络十三个,但是还有些扫描,完成时间啊,duration的,这个,啊,侧里,然后呢,智慧是一样的,进入这个,详情的时候,依然能看到所有的这个,所有的这些,网络背内的详情,那还有,以及他们的级别,以及他们的发生,是在哪个package,哪个version,这个就和之前的事,没有差异,ok,好,那这个时候,我们使用的是travi2,就是,这个,这个system level的,那我为了说,诶,我就是不想我自己,有我自己的别的,这么一个东西,比如,我们使用anchor,那我就单独给我的项目,CNCF webinar,设置一个,anchor scanner,ok,这个是再回到这个,httpd,我们会发现这个时候是,没有,这个是看到他的状态,又回复到一个not a scanner,因为,我切换了这个scanner,所以,travi2的reporter就不存在了,那,就是因为我这个,没有被anchor,扫描过,那我可以依然可以扫描,嗯,可能需要点时间,好,在这个过程中的话,我可以在,就是,在这里边,大家可以看到,这个,就是deployment security,那就是说,如果我们有vulability,这种扫描出来的东西的话,你是可以定一个级别,就是发现哪一个级别的,这个,vulability的进向就,会prevent,就是amage pooling,就是,不能被铺,可以在这儿设置这种铺策略,当然还有一个就是automatic scan,就当我铺是上来的时候呢,我就可以直接去扫描了,这个和之前的,是没有差异的,那再回到这边,integration service这个tap,在这儿有一个vulability,在这儿你可以去扫描所有,之后我会trigger一下,我们先看看之前的那个,那有问题我们一会儿再,可能这个比较慢,它的有些初次扫描,时间会比较长,所以,我们就不在这儿等待了,我们会继续进行,然后之后回来再有,再看一下,那这边的话,就是说,我刚刚提到的integration service,下面我们会有个vulability,在这里边,你可以scan out,就是说,它会scan,所有的,这个系统里边,所有的镜像,那它scan,所用的scanner,是根据你的project的配置,也就刚才说了,如果你没有为你的project,指定specified,这么一个scanner,它会使用system default,那如果你配了,它就会用你,project-specified scanner,去完成这个scan out,那我们可以,其实我们可以,手动做一个scan out,大家其实可以看到,但是所有镜像,比如说我们指定,这个不是我,我之前其他项目的话,他们会用他们自己的镜像,就已经完成扫描,我如果回到,我这,看到之前,微动的镜像,因为那个scan的时候呢,就scan out,它会,同时scaddle很多照,那就是里边所有的,因为所有的都会扫,所以它会有一个排队,发生的这么一个情况,不是所有的,就是我们不会立马看到,所有的在跑,这么一个东西,有些可能会,之前扫过的,可能很快就会扫完,大家可以看到,它会有不同的这种,然后如果它,继续进行的话,你可以在这儿去check,它的一些状态,大家可以看到,其实已经发生了,这边会告诉你这个scan,总共扫描了多少,完成了多少,有多少失败,它会有一个整体的,一个进展报告,这是相对于之前的话,增压了一个indication,是帮你辨了解,这个整个的scan,这么一个进度,我再回去,再check最后一次,如果还没有扫描完,我们就不管了,好,这个Anker,稍微有点慢,所以我们就不等它,一会儿回来,我们来看一下,如果它扫描完,会发现其实报告,会有一些差异,时间原因,我就先回到PPT,那我再用几分钟,简单过一下,就是我们的long term的一些road map,就是说,我们会考虑在performance & scalability 方面,做一些增强,提升它的一些performance,改进performance,还要提升它的 scalability,然后,我们刚才也提到,会有考虑到cooperative operator,当然,现在我们会有一些市区的ender user和市区的contributor,再尝试,做一些harper operator,我们会和他们一起看一看,那之前的,还有一个signingpolicy replication,就是说,因为在Harper里面,你可以签名之后,当我replicate的时候,我希望把签名一起replicate过去,那之前,基于notary,是这边会是有些 challenge 的问题,我们现在正在和notary 团队在一起,在看这个问题,那之后,包括metadata management,这个metadata,就是说,我们在Imagem 里面,会有一些label,会有一些 annotation,这个时候,我们会把它抽离出来,抽离出来,就是说,我们将来可以基于这些metadata,做更多的,控制,Observability,就是说,我们会做一些,比如说,traceability,metrics collection,其他的monitor,比如说,比如说,比如说,你增强它的Observability,那从另外一个方面说,Image Distribution,那Image Distribution,我们会考虑,就是说,会提升它的一个分发效率,当大批量的round time,去签名的时候,很多时候,你的register 下发,会变成一个前进,所以,我们会考虑,P2P的这种分发机制,来做,那,关于P2P的分发机制,我们会1.1,会做一些工作了,那这个,我们会有个P2P Work Group,大家会和其他的,这些,阿里巴巴的Dragonfly,Uber,Karakin 的team,团队一起来,清理合作,看师傅能deliver,一个合理的,P2P Leverage,这个方案,solution,那之后,我们会考虑,一些Proxy Cache,这个能力,就是Proxy Upstream,Proxy and Cache,Upstream Registration,可以配置一下,我们会做一些Proxy Cache,那另外,第三方面,Extendability,我们会,之前,我们谈到,我们支持Webhook,那么之后,我们会提供,更多的这种Event,支持包括,这种Quarter,的称值,这个,其他,相关的,更多的,这种事件,出现,之类的,包括,Roboto 的产生,等等,然后,Integration Service,就是我刚才提到,Advanced Scanner,Scanal Service,我们之后,一些 Lessons Checking,Packet Dependence,这种 Checking,都会在这个,Integration Service 里边,不断的去增强,也提升,它整个这种,身上服务,提供更多的,这种,Compliance Policy,的Control,那,这个白字的,大家可以看到,其实就是,Clonative Artifact,这是我们下一阶段,比较重要的一个,东西,就是,Hover,从Contenture Image,进化到,这个,Clonative,云原生的 Artifact,这个管理体系,那这个,其实,谈到的是,说,现有的,我们,已经支持了,其实,我们也支持了,但是,大家可以看到,其实,两个支持,是有不同的,这个,从架构上来看,就是,有两个后段的,这种支持,一个是,Amit,Releon,一些Proxy,And,这个,API上的一些,Control的一些,控制,达到Consistent Workflow的,机制,那这个,虽然能workable,但是呢,它还是会,带来一些问题,那毕竟是说,它的移植性,移植性的问题,会为将来的一些,Fullow的Consistence,会造成一些,阻礙,所以,我会考虑,OCR,Registry Compatible,就是说,我们会Refected,成OCR,那OCR Regist,大家可以去,OCR Regist,OCR Regist,本身会,可以存,去,所有符合OCR Regist,BEC的这种artifact,那Amit,这肯定是OK的,那Charter,也正在,一些工作,正在,正在进展,或其他的一些CNAP,OPPA,将来可能会有,更多符合OCR,规范的,在原原商领域,比较popular的,这种artifact,都会进入这个,这个体系,所以我们后,会统一,成一个OCR Regist,然后通过这种,比较简带这种,Proxy,这个Cleaner的需求,然后通过Harper,统一的API,来提供,提供Consistent,的Management,Add,Operation,Experience,最后,简单提一下,现在Harper,市区的情况的话,当然,已经提到了,就是说,我们的Gavel of Stars,已经超过万颗星了,这是对大家,对我们的鼓励,也是我们的一个,分率前行的,一个新的提点,那目前的话,我们的Contributor,已经达到200加以上,然后呢,在,在,就是说,做成Regular Maintenance,的Meterna,一定有,14位之多,那分布在,三大洲吧,就是亚洲,北美,和欧洲,我们都有,然后这些,四个Meterna,来自于,6个Organization,包括,咱们这边的,360,网易,都有,同时,在里面,那包括我们,其他的这个,Contribution,里面,用到的话,也是达到,20加以上,就是社区,还在不断的发展,不断的这状态,我们也鼓励,更多的人参与进来,那,这个就是,简单提一下,就参与的,一些形式吧,就是,昨天有什么鼓励,你去,在Community Meeting里面,去share,你的这个,一些使用的一些Experience,给大家,更多的一些,参考,也许你的这个,场景是别人,更,然后呢,当然你有问题,你可以即时返回的,给大家一宿,当然,Contributor,那我们更希望,就是说,有更多的Contributor,来,Follow我们的这个Contributor Guide,然后Follow我们的Galaxy Model,去,Fix更多的Bug,去,提,Contributor,更多的这种,Face the Feature,给社区用户,然后当然呢,Materna,那我们是更,就是说,Materna,需要做一些Regular maintenance,希望,就是更多的,Patternship,希望更多的Patternship,建立起来,希望更多的,人参与到这个,一起每天这个项目,和时去,使得它继续的,往前发展,去一个壮大,以服务,更多的这个End user,好,然后,如果有其他的问题,你可以,有我们有Slack Channel,我们有Twitter,我们有这个Mirr Group,都可以联系到我们,然后我们有百weekly的Meeting,希望大家,就是有时间呢,去参加,可以,这个Meeting,其实是给大家一个,和Materna,沟通的一个途径,然后大家可以,讨论一些问题,问一些问题,了解一些,项目的发展的趋势,plan,等等,其实,而且,每天也更想,清醒大家的一些feedback,所以,我们是鼓励大家,去参加的,这里有两个时期,中国的话,大家可以参加,APAC,亚太的这个,周三的晚上九点,那,这个Meeting的这个,链接,大家可以在我们的,这个Meeting Schedule,这个,文件里边找得到,那在AWS,我们布了一个demo event,如果大家有什么,想玩的话,可以去这个demo,到Go Hub,到它IO,然后注册一个账号,去玩,好,这是,主要的内容,我来看一下,刚才的那个,扫完了吗,好,啊,还没扫,好,大家有什么问题,可以问,对,太棒了,非常感谢Steven的,啊,精彩演讲,下面那个,我们就先进入,问答环节吧,呃,在屏幕底部的,呃,问答宽容,可以提,大家可以提交问题,我们会在,时间允许的范围之内,然后,让Steven帮大家回答,更多的问题,这个,刚才是说,这些image critical,的fix,老师可以给一个简单的演示,啊,我觉得,可能,呃,这同学可能,啊,有点,呃,就是说,刚才提到的这个fix,它是一个fixable,就说在,它在发布这个CVE,这个漏洞,这个atom的时候,它会,会提供一个,我的信息就是说,这个东西,在我的哪一个版本里边,发现的,就是current,发现的哪一个版本,我在哪一个版本里边fixed,那就说,其实给大家一个参考,就是,你可能需要,升级你的package,到它fixed,这个version里边去,那目前,我们没有提供一个,所谓的,呃,automatic,自动化的,这种fix,这种机制,目前还没有,其实在去年的,互报上,上海里,我们和一个community reviewer,倒是,呃,分享过一个topic,就是这种automatic,呃,fix,当然,这种automatic fix,不一定,适用于每一个人,因为它确实,是需要,一些review的,这种问题,那review的,其实,会改变了,你的,进向的,这些,呃,一些属性,所以,不一定是,呃,大家,接受的,嗯,这是,这个问题的,答案吧,好,在现在,在现在,朋友看了,大家还没有问题,好,还有一个问题,Plafe,你提示,目前很多的问题,Steven,你看一下,这个问题,升级到某些版本,就能避避,对,就说,目前,怎么使用这个,这个网杯,其实是说,为什么,死干的是,帮你扫描,帮你发现,你现在,进行里边的soft package的漏洞,会给你提供这么一个报告,那这个报告是需要,你去check,然后再去make a decision,到底要,要怎么做,就是,刚才也说了,是给你一个reference,比如,你会发现,这里边critical,你认为,对你的影响很大,那你就,得,啊,stuff,比如说,我就是要,升级我的,这个software package,我要就是要rebuild,我的image,重新去push,你让大家使用这个,这个更安全的,景象,当然,在这个时候,你可能,你可以引入那个prevent,prevention,就是说,对这种安全的,有漏洞的,要被,下发,这个是,在我们harper里边,是有,这是这个问题,他说是,他都看不到别人的问题,不好意思,那我刚才,忘了重复一下,他的问题,但答案,答案里边,他主要是说,这个vampality,这个report,如何去使用,就是,给你扫描出了,这么一些漏洞,景象之后,你是去,需要决定,你的下一步,是如何去做,那首先,然后你可以根据,这个fixball的信息,去做一些,你的景象的升级,然后铺持新的,景象tag,然后,以让之后,使用这些,更安全的景象,然后,这个图影片,可以分享吗?咱们,应该是,可以分享吗?VV,是咱们这个,这个网络研讨会,那个,幻东片,和一些,这个视频,我们稍后,都会,分享给大家,然后后面,关注我们的,那个cnsf的,微信公众号,然后在线的,听众看看,大家有没有,其他的问题,如果没有问题的话,我们今天的,webinar就到,好,好吧,今天,如果大家没有问题的话,我们今天的,webinar就到这里了,非常感谢,各位的,积极参与,网络研讨会的,录像刚刚,已经提到了,录像,还有我们的,都会在今天,晚一些的时候,上线,大家同时,在微信公众号,那么期待,在未来的cnsf的,网络研讨会中,再次,与大家见面,希望大家,每次都能收获满满,好,好,谢谢,好,谢谢大家,谢谢大家的参与,拜拜,谢谢,哈啰,我们很高兴,在拍摄,谢谢,好,谢谢,好,