Centos7安装harbor+ssl登录测试(亲测可用)

最新推荐文章于 2024-09-27 12:51:31 发布
最新推荐文章于 2024-09-27 12:51:31 发布
阅读量2.3k 收藏 3
点赞数 1
分类专栏: docker harbor 文章标签: docker harbor CA根证书 x509 openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccren/article/details/100947084
版权

1、安装依赖

yum install ebtables ethtool iproute iptables socat util-linux wget openssl-devel -y

2、安装docker

yum install docker-ce

3、安装 docker-compose

yum install epel-release -y
yum install python-pip -y
pip install --upgrade pip
curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

chmod a+x /usr/local/bin/docker-compose

docker-compose --version

4、证书存放目录
mkdir -p /mnt/hgfs/data/harbor/cert

cd /mnt/hgfs/data/harbor/cert

5、创建证书

参考官方文档https://github.com/goharbor/harbor/blob/master/docs/configure_https.md

生成CA证书
  openssl genrsa -out ca.key 4096
  openssl req -x509 -new -nodes -sha512 -days 3650 -key ca.key -out ca.crt -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=shary/OU=product/CN=harbor/emailAddress=183906280@qq.com"
或者:
  openssl req -newkey rsa:4096 -nodes -sha512 -keyout ca.key -x509 -days 3650 -out ca.crt -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=shary/OU=product/CN=harbor/emailAddress=183906280@qq.com"

生成证书签名请求
  openssl genrsa -out harbor.key 4096
  openssl req -sha512 -new -key harbor.key -out harbor.csr -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=shary/OU=product/CN=harbor/emailAddress=183906280@qq.com"
或者:
  openssl req -newkey rsa:4096 -nodes -sha512 -keyout harbor.key -out harbor.csr -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=shary/OU=product/CN=harbor/emailAddress=183906280@qq.com"

生成服务端证书

新建v3.ext文件内容:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
subjectAltName = @alt_names

[alt_names]
DNS.1 = harbor
IP.1 = 192.168.3.35

#  openssl x509 -req -sha512 -days 3650 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in harbor.csr -out harbor.crt
#  openssl x509 -inform PEM -in harbor.crt -out harbor.cert
#  cp harbor.cert /etc/docker/certs.d/192.168.3.35/
#  cp harbor.key /etc/docker/certs.d/192.168.3.35/
#  cp ca.crt /etc/docker/certs.d/192.168.3.35/   

上述IP地址92.168.3.35和v3.ext里面的ip地址保持一致

先让本机信任证书,将证书复制到信任证书的目录里
# cp harbor.crt /etc/pki/ca-trust/source/anchors/
然后让它立即生效
# update-ca-trust enable
# update-ca-trust extract
# systemctl restart docker

8、上传/解压harbor离线包

# cd /opt

# wget  https://storage.googleapis.com/harbor-releases/release-1.7.0/harbor-offline-installer-v1.7.5.tgz

(wget https://storage.googleapis.com/harbor-releases/release-1.8.0/harbor-offline-installer-v1.8.6.tgz)

(官网地址:https://github.com/goharbor/harbor/releases)

# tar -zxf harbor-offline-installer-v1.7.5.tgz
# cd  harbor
9、修改配置文件

$ vi harbor.cfg
hostname = 192.168.3.35
ui_url_protocol = https
ssl_cert = /mnt/hgfs/data/harbor/cert/harbor.crt
ssl_cert_key = /mnt/hgfs/data/harbor/cert/harbor.key
secretkey_path = /mnt/hgfs/data/harbor

或者通过sed行编辑命令修改
## 修改配置文件harbor.cfg参数
sed -i "s#hostname = reg.mydomain.com#hostname = 192.168.3.35#g"  harbor.cfg
## 可以是主机IP,或者是以后要用的域名
sed -i "s#ui_url_protocol = http#ui_url_protocol = https#g"  harbor.cfg
## 使用的协议,此处用的是https,后面安装的时候,再添加漏洞检查的时候需要https的支持
sed -i "s#ssl_cert = /data/cert/server.crt#ssl_cert = /mnt/hgfs/data/harbor/cert/harbor.crt#g"  harbor.cfg
## 证书的路径必须先创建好,并把秘钥放入配置文件
sed -i "s#ssl_cert_key = /data/cert/server.key#ssl_cert_key = /mnt/hgfs/data/harbor/cert/harbor.key#g"  harbor.cfg
sed -i "s#secretkey_path = /data#secretkey_path = /mnt/hgfs/data/harbor#g"  harbor.cfg
## 可以使用默认的路径
## 修改配置文件docker-compose.yml
## 由于指定安装路径需求,需要修改一下所有部署相关文件的指定路径()
sed -i "s#/data/registry#/mnt/hgfs/data/harbor/registry#g" docker-compose.yml
sed -i "s#/data/ca_download#/mnt/hgfs/data/harbor/ca_download#g" docker-compose.yml
sed -i "s#/data/config#/mnt/hgfs/data/harbor/config#g" docker-compose.yml
##postgresql用到了符号链接,不能使用windows共享目录
sed -i "s#/data/database#/data/harbor/database#g" docker-compose.yml
sed -i "s#/data/job_logs#/mnt/hgfs/data/harbor/job_logs#g" docker-compose.yml
sed -i "s#/data/psc#/mnt/hgfs/data/harbor/psc#g" docker-compose.yml
sed -i "s#/data/redis#/mnt/hgfs/data/harbor/redis#g" docker-compose.yml
sed -i "s#/data/registry#/mnt/hgfs/data/harbor/registry#g" docker-compose.yml
sed -i "s#/data/secretkey#/mnt/hgfs/data/harbor/secretkey#g" docker-compose.yml
sed -i "s#/data/clair-db#/mnt/hgfs/data/harbor/clair-db#g" docker-compose.clair.yml
sed -i "s#/data/notary-db#/mnt/hgfs/data/harbor/notary-db#g" docker-compose.yml
sed -i "s#/data/:/data/:z#/mnt/hgfs/data/harbor/:/data/:z#g" docker-compose.yml
sed -i "s#/data/chart_storage#/mnt/hgfs/data/harbor/chart_storage#g" docker-compose.chartmuseum.yml
## 修改配置文件prepare
sed -i "s#"/data"#/mnt/hgfs/data/harbor#"  prepare

参数说明:

hostname:配置主机名称,不可以设置127.0.0.1,localhost这样的主机名,可以是IP或者域名

ui_url_protocol:指定使用HTTP协议还是HTTPS协议

Email settings:邮箱设置,option配置,只在首次启动生效,可以登陆UI后修改

harbor_admin_password:设置管理员的初始密码,只在第一次登录时使用

auth_mode:用户认证模式,默认是db_auth,也可以使用ldap_auth验证。

db_password:使用db需要指定连接数据库的密码

self_registration:是否允许自行注册用户,默认是on,新版本可以在图形界面中修改。

max_job_workers:最大工作数,默认是10个

customize_crt:是否为token生成证书,默认为on

ssl_cert:nginx cert与key文件的路径, 只有采用https协议是才有意义

ssl_cert:nginx cert与key文件的路径, 只有采用https协议是才有意义

secretkey_path:The path of secretkey storage

admiral_url:Admiral's url, comment this attribute, or set its value to NA when Harbor is standalone

clair_db_password:未启用calir服务,但解压目录下的"./prepare"文件中要检查以下相关参数配置,不能注释,否则环境准备检查不能通过,报"ConfigParser.NoOptionError: No option u'clair_db_password' in section: u'configuration' "相关错误;或者在"./prepare"中注释相关检查与定义,但需要注意,文件中的关联太多,推荐修改"harbor.cfg"文件即可

ldap_url:ladp相关设置,如未采用ldap认证,但解压目录下的"./prepare"文件中要检查以下相关参数配置,不能注释,否则环境准备检查不能通过,报"ConfigParser.NoOptionError: No option u'ldap_timeout' in section: u'configuration' "相关错误;或者在"./prepare"中注释相关检查与定义,但需要注意,文件中的关联太多,推荐修改"harbor.cfg"文件即可

ldap_scope:

self_registration:默认开启自注册,off为关闭

token_expiration:token有效时间,默认30minutes

project_creation_restriction:创建项目权限控制,默认是"everyone"(所有人),可设置为"adminonly"(管理员)

verify_remote_cert:与远程registry通信时是否采用验证ssl

其他使用默认值

修改docker-compose.yml文件避免端口冲突

  proxy:
    image: goharbor/nginx-photon:v1.7.5
    container_name: nginx
    restart: always
    cap_drop:
      - ALL
    cap_add:
      - CHOWN
      - SETGID
      - SETUID
      - NET_BIND_SERVICE
    volumes:
      - ./common/config/nginx:/etc/nginx:z
    networks:
      - harbor
    dns_search: .
    ports:
      - 5080:80
      - 5443:443
      - 4443:4443

修改 common/templates/registry/config.yml

auth:
  token:
    issuer: harbor-token-issuer
    realm: $public_url:5443/service/token
    rootcertbundle: /mnt/hgfs/data/harbor/cert/harbor.crt


确认无误后,使用./install.sh命令开始安装

10、安装harbor 

./install.sh --with-notary --with-clair --with-chartmuseum
# --with-notary启用镜像签名,--with-clair启用漏洞扫描如果需要在Harbor中启用Notary,请设置--with-notary,并在harbor.cfg中设置ui_url_protocol/ssl_cert/ssl_cert_key,因为公证必须在https下运行。
# 如果需要启用Clair in Harbour,请设置--with-clair
# 如果需要在Harbor启用Chartmuseum,请设置--with-chartmuseum

docker-compose常用命令

docker-compose start    ## 启动 Harbor
docker-compose stop     ## 停止 Harbor
docker-compose restart  ## 重启 Harbor
docker-compose ps       ## 列出容器
docker-compose create   ## 创建服务
docker-compose down     ## 停止并删除容器、network、images和volumes
docker-compose log      ## 容器的视图输出
docker-compose up       ## 创建和启动容器

重启容器

docker-compose down -v
vi harbor.cfg                            ## 修改要更新的配置
vi docker-compose.yml          ## 修改要更新的配置

  1. ./prepare

docker-compose up -d

docker login 192.168.3.35

复制ca.crt文件到的/etc/docker/certs.d/192.168.3.35目录下

在192.168.3.34登录192.168.3.35的harbor:

在192.168.3.34push镜像到192.168.3.35的harbor私服:

浏览器访问https://192.168.3.35

使用admin/Harbor12345登录成功并查看从192.168.3.34 push的镜像

参考&踩坑足迹:

https://github.com/goharbor/harbor/blob/master/docs/installation_guide.md

https://github.com/goharbor/harbor/blob/master/docs/configure_https.md

http://www.youdzone.com/signature.html

https://www.jianshu.com/p/0046add931df

https://www.jianshu.com/p/44a3efae1d84

https://www.jianshu.com/p/f9b8a3e62af1

https://security.stackexchange.com/questions/74345/provide-subjectaltname-to-openssl-directly-on-the-command-line
http://www.apetec.com/support/GenerateSAN-CSR.htm
http://blog.zencoffee.org/2013/04/creating-and-signing-an-ssl-cert-with-alternative-names/
https://github.com/goharbor/harbor/blob/master/docs/configure_https.md
https://zhuanlan.zhihu.com/p/26646377
https://blog.csdn.net/u013066244/article/details/78725842/

 

k8s 1.27 + centos 7 + containerd 部署
maxwell code的博客
07-20 241
基于centos 7、containerd部署k8s1.27,包括dashboard、metric-server
Centos8安装Harbor 2.0.1进行镜像服务的管理
bufegar0的博客
07-24 1320
安装背景 接下来描述安装harbor2.0.1当前的最新版本,并配置https方式访问,记录以备忘 介绍Harbor 还记得Docker Registry么?它是Docker官方提供的镜像仓库,简单易用,一键就可以部署、使用。 虽然看起来不错,但是Registry有些问题需要解决: 没有图形界面 没有用户权限控制 看不到镜像操作记录 仓库内镜像管理难度大,容易造成空间浪费 Harbor支持如下功能: 基于角色的访问控制:用户与Docker镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命
CentOS7安装harbor
01-07
一、下载安装包 点击这里下载Harbor github project 这里分为在线和离线的版本,我下载的是1.8.1在线的版本 # wget --continue https://storage.googleapis.com/harbor-releases/release-1.8.0/harbor-online-installer-v1.8.1.tgz 下载下来之后解压缩,目录下会有harbor.conf,就是Harbor的配置文件了 二、配置Harbor 大多数时候,只需要修改hostname属性和https证书即可。配置完成之后再当前目录下执行./prepare,再执行./ins
centos7安装harbor
OfficerGoodbody的博客
09-01 196
安装docker 安装docker-compose 官网地址:https://github.com/docker/compose/releases/ curl -L https://github.com/docker/compose/releases/download/1.28.4/docker-compose-Linux-x86_64 > ...
dockerharbor仓库登录问题
最新发布
weixin_68256171的博客
09-27 692
Self-signed Certificate (自签名证书)没有通过可信的证书颁发机构 (CA) 签署,所以验证失败,提示。将自签名证书添加到系统的可信证书存储中。
CentOS7安装Harbor
Ivan_Lee8023的专栏
05-03 292
1.安装并设置Harbor 下载安装包 https://github.com/goharbor/harbor/releases 解压Harbor包 # tar -zxvf harbor-offline-installer-v2.2.1.tgz 执行准备以及安装(记得复制配置文件,并且修改hostname为自身hostname,注释掉https相关配置后,执行以下命令) # cd harbor # cp harbor.yml.tmpl harbor.yml # ./prep.
CentOS7搭建Harbor镜像仓库及https处理
肓己CSDN
03-08 1946
前言 笔者在规划服务容器化的过程中,对镜像管理有一些思考,最终决定使用Harbor管理镜像; 在局域网搭建Harbor私有仓库,在构建镜像的服务器中构建好服务镜像,并且将镜像传上harbor中,那么测试及开发环境只需要拉取镜像运行,即完成服务的更新: 部署过程 修改hosts文件 笔者以下使用的域名hub.domain.com,并不是实际注册的域名,而是通过修改Hosts文件指向了这个Harbo...
Docker 之分布式仓库 HarborHarbor可用
GJZ23456789的博客
11-22 1402
Docker 之分布式仓库 Harbor Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,由VMware开源,其通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有Registry服务器,Harbor 提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜 像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有 Registry 中,确保数据和知识产
Harbor安装部署、主从备份及使用
weixin_45642360的博客
05-28 1870
Harbor 是一个用于存储和分发 Docker 镜像的企业级 Registry 服务器。 ①Harbor 可以据角色灵活的进行权限控制,如访客只需给 pull 权限即可。 ②Harbor 可以实现镜像同步。生产环境中对系统稳定性要求高,多个仓库可保证其高可用性。更常用的场景是,在企业级软件环境中,会在软件开发的不同阶段存在不同的镜像仓库。 ③Harbor 可利用图形界面进行镜像的管理。 ④Harbor 提供分层传输机制,优化网络传输:Docker 镜像是是分层的,而如果每次传输都使用全量文件
Centos 7安装Harbor
星辰大海_的博客
04-18 1762
Harbordockerdocker-compose、cfssl
Centos7安装Harbor
linux运维工程师的博客
12-11 415
大家好,我是Linux运维工程师 Linke 。技术过硬,从不挖坑~ 以下内容安装 Harbor.v1.9.0 为例 首先要有个高版本 docker ,例如我的是 docker.18.03.1-ce ,docker安装见https://blog.csdn.net/qq_31547771/article/details/103475559 然后要有个高版本 docker-compose ...
Centos7安装Harbor
wangxin123wangxin的博客
02-14 560
harbordocker私有镜像仓库,也是devops重要的组件。代码编译生成镜像将会推到harbor中,持续化部署自动拉去对应镜像完成自动部署。
Centos7 安装harbor
weixin_42786042的博客
06-28 746
centos7 安装harbor
centos7 安装 harbor
欢迎所有人,批评指正!
08-20 109
【代码】centos7 安装 harbor
centos7 安装Harbor
qq_39254190的博客
12-07 231
1.安装环境: Centos版本: 7.X Docker版本: 19.03.14 安装使用Harbor 需要安装 Docker & Docker-compose 2.Docker 安装 配置 yum源: echo '#Docker for centos 7 [docker-ce-stable] name=Docker CE - Aliyun baseurl=https://mirrors.aliyun.com/docker-ce/linux/centos/7/x86_64/stable/ en
CentOS 7 安装 Harbor
weixin_44449869的博客
04-24 366
CentOS7 安装 Harbor
亲测有效!Win7+CentOS双系统安装全攻略
"这篇教程详细介绍了如何在已安装Win7的电脑上添加CentOS,创建一个双系统环境。教程强调了安全备份数据的重要性,并推荐使用EasyBCD、PA3CN和Wingrub等工具来辅助操作。" 在打造Win7与CentOS双系统的过程中,首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值