4.配置管理

此层为容器平台上配置管理相关的部分，主要分为等自动化与配置、镜像私库、安全与合规等四个方面进行展开。这一层主要是聚集了与配置管理相关的通用的架构、工具以提供相关能力。结合 CNCF 孵化项目，可以考虑使用 Harbor 做相关的镜像私库服务，Notary、Open Policy Agent 与 TUF 进行安全和合规的检查。

而在实际的项目，自动化和配置方面虽然 CNCF 没有孵化中或者已毕业的项目，由于这是传统运维中非常常见和重要的一个环节，使用 Ansible、CHEF、SALTSTACK、PUPPET 以及 Rundeck 的用户都很多，而 Ansible 由于其轻便小巧无需客户端安装，在可以使用 ssh 前提下的项目中得到了很多的实践。

而镜像私库，HARBOR 的功能确实较为不错，是一个选择项之一，在实际的项目中，简单的情况直接使用 docker Registry 的也有不少，另外在 HARBOR 进入 CNCF 之前 portus 等也是选择项之一，考虑到其他功能的组合，使用商业的 JFROG Artifactory 的企业也有一部分，另外暂未加入 CNCF 的 Nexus 由于其统一的解决方案以及开源版本与价格亲民的商业版本的结合，也得到了很多用户的青睐。

而关于安全与合规性，显然 clair 和 anchore 聚焦于镜像安全确实是目前很不错的一个切入点，很多用户在此方面进行了功能的强化，而 Sonatype Nexus 与 snyk 也有一部分的用户在进行使用。

而关于私钥管理的功能，此部分功能往往作为辅助的定制化内容在其他的自动化和配置中进行了管控，目前 CNCF 还没有孵化中的项目，实际的项目中也似乎不存在一个让人非常期待使用的项目。