Kubernetes之kubeadm集群优化篇—harbor添加更新SSL证书

最新推荐文章于 2024-01-03 10:00:00 发布
最新推荐文章于 2024-01-03 10:00:00 发布
阅读量671 收藏 9
点赞数 9
分类专栏: Kubernetes 文章标签: kubernetes ssl harbor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cljdsc/article/details/134646753
版权

docker 从docker 仓库中推送或获取镜像都是默认走https协议的。需要配置ssl证书,否则将无法方面,为了解决这以问题,我们有2个方案:

修改docker配置文件,关闭证书 “insecure-registries”。关闭证书校验

配置ssl证书,配置harbor走https协议

对比:
  • 关闭证书校验,也就是不加密,不走https协议。带来的问题就是不安全,能都收到数据篡改和数据劫持等风险。且修改insecure-registries参数是需要重启docker服务的,是会终断容器业务的,并且每次修改仓库ip,或新增仓库,或修改网段都需要重启docker
  • 配置ssl证书,也是实现数据加密保障数据安全。官方建议采用https方式运行,下面我们介绍如何配置harbor添加ssl证书。
证书分类

ssl证书分为:自签名证书、公网证书

自签名证书就是通过自建CA的方面,创建签名证书,具有加密的功能,一般仅供内部使用。公网证书是受信任的证书提供商签名的证书,由于我们所有的系统、浏览器内置的受信任的根证书颁发机构中都默认有了公网证书提供商的CA证书,公网证书可以直接使用。内网证书需要导入自签名的CA跟证书才能使用。简单来说,公网证书相对方便,一般基于域名进行签名。私有证书供内部使用,一般需要导入自签名CA证书,或提前预制导入CA证书,私有证书的优势在于自签名,无需通过第三方证书供应商。为了方便起见,我们采用公网免费ca证书。使用域名的形式配置证书,这样就可以实现一次配置多处使用。

公网ssl证书申请
  • 公网ssl证书提供商有很多,如赛门铁克、geotrust 、沃通 等等。免费的单二级域名ssl证书也有很多,如geotrust、Let’s Encrypt、Free ssl等。三方平台一般都会提供各个厂商的ssl证书申请。下面我们就用阿里云的SSL证书服务来申请免费的证书。、
  • 在阿里云的证书服务中找到购买证书,选择免费证书。
  • 点击申请,输入域名 地址 ,联系人等。按照提示进行dns配置,域名验证
  • 找到已颁发证书,点击下载证书

因为公网ssl证书每次使用期限仅有一年时间,所以更换ssl证书时,也可以使用以下方法:

1、修改harbor配置文件
# cd /opt/app/harbor
# ls
common  common.sh  docker-compose.yml  harbor.v2.0.0.tar.gz  harbor.yml  harbor.yml.tmpl  install.sh  LICENSE  prepare  ssl

修改Harbor相关https的配置,指定ssl证书的路径

# vim harbor.yml
https:
  # https port for harbor, default is 443
  port: 443
  # The path of cert and key files for nginx
  #  certificate: /your/certificate/path
  #  private_key: /your/private/key/path
  certificate: /opt/app/harbor/ssl/peogoo.com.pem
  private_key: /opt/app/harbor/ssl/peogoo.com.key
2、修改harbor后需要预编译下harbor
# cd /opt/app/harbor
# ls
common  common.sh  docker-compose.yml  harbor.v2.0.0.tar.gz  harbor.yml  harbor.yml.tmpl  install.sh  LICENSE  prepare  ssl
# ./prepare
prepare base dir is set to /opt/app/harbor
Clearing the configuration file: /config/db/env
Clearing the configuration file: /config/nginx/nginx.conf
Clearing the configuration file: /config/core/env
Clearing the configuration file: /config/core/app.conf
Clearing the configuration file: /config/log/logrotate.conf
Clearing the configuration file: /config/log/rsyslog_docker.conf
Clearing the configuration file: /config/jobservice/env
Clearing the configuration file: /config/jobservice/config.yml
Clearing the configuration file: /config/registryctl/env
Clearing the configuration file: /config/registryctl/config.yml
Clearing the configuration file: /config/registry/root.crt
Clearing the configuration file: /config/registry/config.yml
Clearing the configuration file: /config/registry/passwd
Generated configuration file: /config/log/logrotate.conf
Generated configuration file: /config/log/rsyslog_docker.conf
Generated configuration file: /config/nginx/nginx.conf
Generated configuration file: /config/core/env
Generated configuration file: /config/core/app.conf
Generated configuration file: /config/registry/config.yml
Generated configuration file: /config/registryctl/env
Generated configuration file: /config/registryctl/config.yml
Generated configuration file: /config/db/env
Generated configuration file: /config/jobservice/env
Generated configuration file: /config/jobservice/config.yml
loaded secret from file: /data/secret/keys/secretkey
Generated configuration file: /compose_location/docker-compose.yml
Clean up the input dir
3、重新关闭启动harbor
# cd /opt/app/harbor
# docker-compose down
Stopping nginx             ... done
Stopping harbor-jobservice ... done
Stopping harbor-core       ... done
Stopping harbor-db         ... done
Stopping redis             ... done
Stopping harbor-portal     ... done
Stopping registryctl       ... done
Stopping registry          ... done
Stopping harbor-log        ... done
Removing nginx             ... done
Removing harbor-jobservice ... done
Removing harbor-core       ... done
Removing harbor-db         ... done
Removing redis             ... done
Removing harbor-portal     ... done
Removing registryctl       ... done
Removing registry          ... done
Removing harbor-log        ... done
Removing network harbor_harbor

# docker-compose start
Starting log         ... done
Starting postgresql  ... done
Starting redis       ... done
Starting portal      ... done
Starting registry    ... done
Starting core        ... done
Starting jobservice  ... done
Starting proxy       ... done
Starting registryctl ... done

# docker ps
CONTAINER ID        IMAGE                                COMMAND                  CREATED             STATUS                             PORTS                                         NAMES
2d680a4205f1        goharbor/nginx-photon:v2.0.0         "nginx -g 'daemon of…"   5 months ago        Up 27 seconds (health: starting)   0.0.0.0:80->8080/tcp, 0.0.0.0:443->8443/tcp   nginx
65c3dc2e985a        goharbor/harbor-jobservice:v2.0.0    "/harbor/entrypoint.…"   5 months ago        Up 27 seconds (health: starting)                                                 harbor-jobservice
6c5eebed24f9        goharbor/harbor-core:v2.0.0          "/harbor/entrypoint.…"   5 months ago        Up 27 seconds (health: starting)                                                 harbor-core
2b6477408c44        goharbor/harbor-db:v2.0.0            "/docker-entrypoint.…"   5 months ago        Up 28 seconds (health: starting)   5432/tcp                                      harbor-db
ebb763bea740        goharbor/redis-photon:v2.0.0         "redis-server /etc/r…"   5 months ago        Up 28 seconds (health: starting)   6379/tcp                                      redis
3c68c72a79c0        goharbor/harbor-portal:v2.0.0        "nginx -g 'daemon of…"   5 months ago        Up 29 seconds (health: starting)   8080/tcp                                      harbor-portal
2aa053eaa705        goharbor/harbor-registryctl:v2.0.0   "/home/harbor/start.…"   5 months ago        Up 29 seconds (health: starting)                                                 registryctl
c3a6086e810e        goharbor/registry-photon:v2.0.0      "/home/harbor/entryp…"   5 months ago        Up 28 seconds (health: starting)   5000/tcp                                      registry
dec4b5284ff8        goharbor/harbor-log:v2.0.0           "/bin/sh -c /usr/loc…"   5 months ago        Up 30 seconds (health: starting)    127.0.0.1:1514->10514/tcp                     harbor-log
4、重新登录harbor
# docker login harbor.peogoo.com
杰哥的技术杂货铺
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
更新harbor证书
欢迎你们到来,希望能帮到大家
12-25 1312
Harbor更新证书
K8S:kubeadm搭建K8S+Harbor 私有仓库
09-07
K8S:kubeadm搭建K8S+Harbor 私有仓库所需要的安装包,含有:docker-compose、harbor-offline-installer-v1.2.2、v1.20.11、dashboard、recommended.yaml
Harbor Https 私有证书配置注意事项
01-08
官方文档:https://github.com/goharbor/harbor/blob/master/docs/configure_https.md 想要访问远程的 Harbor,就需要配置 HTTPS 访问。配置过程中,Harbor 服务器和 Docker 客户端都需要进行相应的配置才能让两者互通。 首先按照官方文档生成证书证书名称无所谓)。 使用 IP 访问的情况下,所有域名都可以使用该 IP。 将证书放到指定的位置。 按照文档配置完成后, Docker 客户端还需要配置私有证书认证。 参考这里:https://stackoverflow.com/questions/50768317/
k8s集群harbor仓库应用资源
10-27
k8s集群harbor仓库应用资源
【运维知识大神】运维人必学的Docker教程7(Harbor配置HTTPS证书的两种方式+Harbor两种方案实现高可用+镜像推送至Docker hub官方仓库和阿里云镜像仓库+拉取海外镜像技巧)
最新发布
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
01-03 1426
文章继续介绍Docker内容,包含Harbor配置HTTPS证书的两种方式(阿里云官方证书与自建证书),Harbor两种方案实现高可用(共享存储目录与主从复制),镜像推送至Docker hub官方仓库和阿里云镜像仓库及拉取海外镜像技巧。
配置Harbor 的 HTTPS 访问
琦彦
11-12 5544
默认情况下,Harbor 不附带证书。可以在没有安全性的情况下部署 Harbor,以便你可以通过 HTTP 连接到它。但是,在生产环境中,建议使用 HTTPS。如果你要使用Content Trust with Notary ,则必须使用 HTTPS。要配置 HTTPS,你必须创建 SSL 证书。你可以使用由受信任的第三方 CA 签名的证书,也可以使用自签名证书。本节介绍如何使用创建 CA,以及如何使用你的 CA 签署服务器证书和客户端证书。你也可以使用其他 CA 提供程序,例如。
使用HTTPS访问配置Harbor
ccy19910925的博客
05-10 9944
由于Harbor不附带任何证书,它默认使用HTTP来提供注册表请求。但是,强烈建议为任何生产环境启用安全性。Harbour有一个Nginx实例作为所有服务的反向代理,您可以使用准备脚本来配置Nginx来启用https。 获得证书 假设您的注册表的主机名是reg.yourdomain.com,并且其DNS记录指向您正在运行Harbor的主机。您首先应该从CA获得证书证书通常包含.crt文件和....
K8S异常之Harbor证书过期处理(完整版流程)
一掬净土
03-03 1435
在登录harbor仓库时, 提示证书已经过期。
harbor配置https访问
wenbo885的博客
11-04 1090
docker版本:23.0.1harbor版本:v2.6.4虚拟机:192.168.66.100本次笔记主要记录harbor配置SSL,docker,harbor部署不在重点讲述,不会可自行百度。SSL证书主要是通过openssl生成,也可以通过阿里云或者腾讯云购买证书等。默认情况下,Harbor不附带证书。可以在没有安全性的情况下部署Harbor,以便您可以通过HTTP连接到它。但是,只有在没有连接到外部Internet的气隙测试或开发环境中,才可以使用HTTP。
记一次harbor2.4.3证书更换问题处理过程与分析
qq1314233的博客
08-03 423
4.在harbor安装目录下面执行docker-compose down 停止所有容器,再执行docker-compose up -d 来重启所有容器,再查看所有容器状态。8.最后我使用./install --with-chartmuseum --with-notary --with-trivy来重启所有容器,ok,问题解决。7.这与我们前面的13个容器不一样,登录ui页面也登录不了,而且docker-compose.yml文件也变了,我仔细查看了另外4个容器的镜像。
Harbor 添加ssl证书
weixin_43423965的博客
03-31 3583
docker 从docker 仓库中推送或获取镜像都是默认走https协议的。需要配置ssl证书,否则将无法方面,为了解决这以问题,我们有2个方案: > 修改docker配置文件,关闭证书 "insecure-registries"。关闭证书校验 > 配置ssl证书配置harbor走https协议
harbor-https-cfssl生成证书
05-28
harbor-https cfssl 生成证书
harbor-kubernetes:KubernetesHarbor 环境
05-30
这个 repo 有旧版本并且很长时间没有维护。Harbor 原生支持 kubernetes。VMWare Harbor“艰难的道路” 港口的所有组件都... 如果您不使用 minikube,您可以根据需要在包含的 Kubernetes 清单中更新此 URL。证书已为域h
容器技术之镜像仓库harbor部署过程
04-20
本文档记录了容器镜像仓库harbor的部署过程及相关配置文件,根据步骤可以搭建一个安全可靠的带opensslharbor容器仓库。
k8s1.15安装详细精华版(环境准备、etcd集群安装、harbor私服搭建、高可用集群部署)
最美dee时光的博客
04-28 1565
一、环境准备 1、硬件配置 192.168.137.11 CentOS7.7.1908 2核2G+50G存储 192.168.137.12 CentOS7.7.1908 2核2G+50G存储 192.168.137.13 CentOS7.7.1908 2核2G+50G存储 192.168.137.14 Cent...
部署Node节点 配置kubelet证书自动申请 CSR、审核及自动续期
码农崛起
02-09 4374
apiserver 预先放置 token.csv,内容样例如下,master节点的token格式 id,用户名,编号,组 [root@localhost cfg]# cat token.csv d3f6263fa65e375967541947834b3988,kubelet-bootstrap,10001,"system:kubelet-bootstrapper" 允许 kubelet-bootstrap 用户创建首次启动的 CSR 请求 和RBAC授权规则 kubectl create ...
linux运维、架构之路-Kubernetes集群部署TLS双向认证
weixin_30783913的博客
09-14 241
一、kubernetes的认证授权 Kubernetes集群的所有操作基本上都是通过kube-apiserver这个组件进行的,它提供HTTP RESTful形式的API供集群内外客户端调用。需要注意的是:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,那么是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信...
Harbor安装与配置及Https(包教包会)
Null的博客
03-08 5352
Harbor 文章目录Harbor简介环境准备DockerLinux系统安装DockerDocker-compose安装在线安装离线安装更改端口启动查看状态使用推送镜像删除配置harbor的https访问证书生成CA证书生成服务器证书生成harbor仓库主机的证书先创建一个v3.ext文件生成harbor仓库主机的证书配置和安装证书配置harbor配置docker测试通过Helm部署具有高可用性的Harbor 简介 ​ Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共
harbor不停机更换自定义证书
u010948569的博客
01-31 1186
harbor不停机更换自定义证书
如何查看harbor的客户端证书文件
07-27
要查看Harbor的客户端证书文件,您可以按照以下步骤进行操作: . 登录到Harbor服务器或具有管理员权限的主机。 2. 找到Harbor证书存储的位置。默认情况下,Harbor证书存储在Harbor的`/data`目录中。您可以使用以下命令来确认证书存储位置: ``` cd /data ``` 3. 在证书存储目录中,您可以找到以下证书文件: - `ca.crt`:根证书文件,用于验证服务器证书。 - `server.crt`:服务器证书文件,用于对外提供HTTPS服务。 - `server.key`:服务器私钥文件,用于对外提供HTTPS服务。 - `harbor.crt`:Harbor客户端证书文件。 - `harbor.key`:Harbor客户端私钥文件。 可以使用以下命令来查看证书文件的内容: ``` cat <证书文件名> ``` 替换`<证书文件名>`为您要查看的具体证书文件名,例如`ca.crt`、`server.crt`、`server.key`、`harbor.crt`或`harbor.key`。 请注意,具体的证书存储位置和文件名可能因您的Harbor配置而有所不同。如果无法找到证书文件或遇到问题,请参考Harbor文档或与管理员或技术支持联系以获取更多帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杰哥的技术杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值