使用 K8S 几年后，这些技术专家有话要说(15)_图1

Harbor 虽然支持完善的认证和鉴权机制，但是企业内部一般都有自己定制的认证和鉴权逻辑，而这些特殊逻辑是无法通过 Harbor 现有的方式来兼容的。怎么在不修改 Harbor 的情况下进行认证和鉴权？

首先是无侵入的认证和鉴权。它的核心就是把认证和鉴权从 Harbor 内部迁移到 Harbor 外部。现在的流程是平台调用认证中心，由企业的认证中心来完成这个认证和鉴权，当认证和鉴权通过之后，再调用 Harbor 的 API 来执行相关的操作。执行完相关的操作之后，还需要把对应的 RBAC 的资源写入到认证中心，这样就可以实现对 Harbor 的无侵入认证和鉴权修改方案。API 的认证、鉴权无侵入方案存在的一个问题就是，它不能兼容 docker 命令行，因为它不是使用我们的平台 API，它是由 dockdemo 加入，所以这里面还要对认证和鉴权的命令行做一个无侵入方案。

在企业生产环境里如果需要部署 Harbor，要进行高并发来压测一下。杜扬浩在演讲里对比了基于普通的 CephFS、基于对象存储和文件存储这三个环境的压测对比。