Formation Harbor

Programme de notre Formation Spring Boot : Développer des microservices

Pourquoi un registre privé ?

• Évolution des registres : du Docker Hub public aux solutions on-premises
• Risques de sécurité et de conformité liés aux registres publics
• Besoins de performance : latence, limitation de bande passante, mise en cache
• Positionnement d’Harbor dans l’écosystème CNCF
• Cas d’usage typiques pour une équipe DevOps entreprise

Harbor en un clin d’œil

• Historique du projet : VMware → CNCF (graduated)
• Vue d’ensemble de l’architecture micro-services
• Composants clés : Core, Registry, Portal, Trivy, Job Service, DB
• Parcours d’une requête docker push / pull dans Harbor
• Modes d’installation possibles : bundle Docker Compose ou Helm Chart

Installation mononœud et premiers pas

• Prérequis matériels & logiciels (Docker / Podman, 2 vCPU, SSL optionnel)
• Structure du fichier harbor.yml : hostname, admin pwd, certificats
• Lancement des conteneurs Harbor et vérification des services
• Découverte de l’interface Web et des menus principaux
• Atelier pratique : installer Harbor sur une VM locale et se connecter

Organisation par projets et contrôle d’accès (RBAC)

• Concept de projet : segmentation fonctionnelle et visibilité public/privé
• Rôles prédéfinis : Admin système, Project Admin, Developer, Guest
• Comptes utilisateurs locaux vs intégration LDAP / OIDC
• Création et utilisation des comptes robots pour la CI/CD
• Atelier pratique : créer deux comptes, attribuer les rôles et tester un push/pull

Sécurité des images et content trust

• Scanner Trivy : base CVE, déclenchement auto/manuel, seuils de sévérité
• Analyse des rapports de vulnérabilités et workflow de remédiation
• Signature d’images avec Notary / Cosign : principes et activation
• Blocage des pulls d’images non signées ou vulnérables (policy enforcement)
• Atelier pratique : pousser une image vulnérable, lancer un scan et corriger

Cycle de vie : rétention, immuabilité, quotas

• Règles de rétention de tags : garder n versions ou selon l’âge
• Immutabilité des tags de release pour garantir l’intégrité des builds
• Gestion des quotas par projet (GB, nombre d’artefacts)
• Garbage Collection : suppression physique des blobs et fenêtres de maintenance
• Audit & journaux : suivi des actions utilisateur et traçabilité

Réplication et scénarios multi-site

• Types de réplications : push, pull, bidirectionnelle
• Création d’endpoints : Harbor ↔ Harbor, Harbor ↔ Docker Hub, Harbor ↔ ECR
• Filtres d’inclusion (repository, tag) et planification
• Cas d’usage : DR, edge registry, déploiement multi-région
• Considérations de performance et de versionnement entre sites

Intégration dans la CI/CD et automatisation

• Schéma d’un pipeline : build → scan → push Harbor → déploiement Kubernetes
• Utilisation des comptes robots et tokens dans Jenkins / GitLab CI
• Webhooks Harbor : déclencher un job ou un déploiement à chaque push
• GitOps & ArgoCD : tirer l’image validée depuis Harbor
• Supply Chain Security : SBOM, provenance, politiques « shift-left »

Exploitation, monitoring et bonnes pratiques

• Supervision des services : métriques Prometheus, alertes, logs
• Stratégie de sauvegarde : base PostgreSQL, stockage objets/blobs
• Plan de montée de version et tests de migration
• Gouvernance globale : checklist d’entreprise (sévérité CVE, quotas, naming)
• Ressources pour aller plus loin : documentation, communauté, roadmap Harbor