RE8CH REGISTRY预构建发布
镜像在生产节点外构建,以不可变 tag 推送,按 digest 签名后再部署。
产品页不进入镜像传输路径。
Docker、containerd、Cosign、Trivy、Kubernetes 和 Harbor API 继续使用原有端点。Worker 只回答产品微站路由。
image.re8ch.comPublic product pageimage.re8ch.com/assets/*Static site assetsregistry.re8ch.com/v2/*Not handled by this Workerregistry.re8ch.com/service/*Harbor token service remains untouchedRegistry 产品承诺
成员隔离
每个获批成员拥有独立 Harbor 项目、配额、保留策略和审计记录。
供应链信号
Cosign 签名、漏洞扫描和 SBOM 可用性成为产品级信号。
运维事件
Registry 事件先进入独立 receiver,再进入通知、自动化或事件处理。
Registry Live Case
Anonymous public snapshot generated from private Harbor and registry operations. Names are HMAC-hashed before publishing.
Release activityLoading snapshot...
Severity distributioncritical / high / medium / low
Supply-chain trendscan / sign / SBOM
Project storageanonymous project ratios
Semantic groupsproduct roles
Anonymous projectRoleArtifactsQuotaHealth
Loading latest public snapshot...
Anonymous repoRoleArtifactsPulls 24hRiskSBOM
会员加入流程
1提交邮箱、namespace、用途、公开/私有偏好和存储预估。
2Ops 审批后创建带默认安全元数据的 Harbor 项目。
3先发放文档化 pull 权限;发布契约清楚后再开放 push。
4运行时租户后续可升级为完整 SaaS 基础设施包。
registry.re8ch.com 安全边界
1不通过产品页代理 Docker layer blob。
2不暴露私有项目名、robot 凭据或集群节点名。
3默认不混用公开 registry member 和 SaaS runtime namespace。
4Harbor 继续作为 OCI 操作事实源。
OCI 路径保持朴素
正常路径仍然是标准容器工作流:
docker login registry.re8ch.com
docker pull registry.re8ch.com/functions-shared/alpine:3.23.4
cosign verify --key cosign.pub registry.re8ch.com/<project>/<repo>@sha256:<digest>