kubernetes实践之二十八:使用Harbor作为私有镜像仓库

最新推荐文章于 2023-08-07 16:32:47 发布
最新推荐文章于 2023-08-07 16:32:47 发布
阅读量182 收藏 1
点赞数
一:前言
Harbor使用了基于角色的访问控制策略,当从Harbor中拉去镜像的时候,首先要进行身份认证,认证通过后才可以拉取镜像。在命令行模式下,需要先执行docker login,登陆成功后,才可以docker pull。通常情况下,在私有云环境中使用kubernetes时,我们要从docker registry拉取镜像的时候,都会给docker daemo配置–insecure-registry属性来告诉docker daemo我们所使用的docker registry是可信的,这样才能从私有的docker registry中拉取镜像,但是如果要使用Harbor作为kubernetes的镜像仓库的话,这种方式就不适用了,下面让我们看看如何来使用Harbor作为kubernetes的镜像仓库。
二:Harbor开启HTTPS配置
1.生成ca证书和密钥文件(采用与部署Kubernetes时相同的方式
CA 配置文件ca-config.json

点击(此处)折叠或打开

  1. {
  2. "signing": {
  3.   "default": {
  4.     "expiry": "87600h"
  5.    },
  6.   "profiles": {
  7.      "kubernetes": {
  8.        "usages": [
  9.           "signing",
  10.           "key encipherment",
  11.           "server auth",
  12.           "client auth"
  13.         ],
  14.         "expiry": "87600h"
  15.        }
  16.     }
  17.   }
  18. }
CA证书签名请求文件ca-csr.json

点击(此处)折叠或打开

  1. {
  2.     "CN": "kubernetes",
  3.     "key": {
  4.         "algo": "rsa",
  5.         "size": 2048
  6.     },
  7.     "names": [
  8.         {
  9.             "C": "CN",
  10.             "L": "BeiJing",
  11.             "ST": "BeiJing",
  12.             "O": "k8s",
  13.             "OU": "System"
  14.         }
  15.     ]
  16. }
生成CA证书和密钥
cfssl gencert -initca ca-csr.json | cfssljson -bare ca

2.生成harbor的证书和密钥

签名请求文件 harbor-csr.json

点击(此处)折叠或打开

  1. {
  2.   "CN": "harbor",
  3.   "hosts": [
  4.     "127.0.0.1",
  5.     "120.79.156.135"
  6.   ],
  7.   "key": {
  8.     "algo": "rsa",
  9.     "size": 2048
  10.   },
  11.   "names": [
  12.     {
  13.       "C": "CN",
  14.       "ST": "BeiJing",
  15.       "L": "BeiJing",
  16.       "O": "k8s",
  17.       "OU": "System"
  18.     }
  19.   ]
  20. }
生成证书和密钥
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes harbor-csr.json | cfssljson -bare harbor

3.harbor参数配置( harbor.cfg )
ui_url_protocol = https
ssl_cert = /mnt/harbor/ssl/harbor.pem
ssl_cert_key = /mnt/harbor/ssl/harbor-key.pem
verify_remote_cert = off

4.重新启动harbor
docker-compose down
./install.sh

启动成功后,可以通过https://ip 访问UI界面,通过admin进行登录

三:Kubernetes配置Harbor私有镜像仓库

1.harbor ca证书复制
在kUbernetes的所有node节点创建文件目录 
mkdir -p /etc/docker/certs.d/harborIp(harbor访问IP地址)
将前面harbor使用的ca.pem 复制到/etc/docker/certs.d/harborIp
cp ca.pem /etc/docker/certs.d/harborIp/ca.crt

2.验证ca证书是否可用
通过  docker login harborIp 验证是否能够成功登录harbor. 确保不出现错误:x509: certificate signed by unknown authority

3.kubernetes 创建secret

点击(此处)折叠或打开

  1. kubectl create secret docker-registry registry-secret --namespace=default --docker-server=harborIp --docker-username=desktop --docker-password=Weinongopde --docker-email=273936024@qq.com
desktop是在harbor中创建好的用户,并且已经关联到项目上。

4.创建测试busybox Pod
busybox.yaml

点击(此处)折叠或打开

  1. apiVersion: v1
  2. kind: Pod
  3. metadata:
  4.   name: busybox
  5.   namespace: default
  6. spec:
  7.   containers:
  8.   - image: 120.79.156.135/desktop/busybox:latest
  9.     command:
  10.       - sleep
  11.       - "3600"
  12.     imagePullPolicy: IfNotPresent
  13.     name: busybox
  14.   restartPolicy: Always
  15.   imagePullSecrets:
  16.   - name: registry-secret
kubectl create -f busybox.yaml  成功从Harbor私有镜像库pull镜像busybox:latest,并创建Pod

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/28624388/viewspace-2153568/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/28624388/viewspace-2153568/

clmaykr95629
关注
云原生之容器编排实践-在K8S集群使用Registry2搭建私有镜像仓库
Heartsuit的博客
02-18 1722
基于前面搭建的3节点 Kubernetes 集群,今天我们使用 Registry2 搭建私有镜像仓库,这在镜像安全性以及离线环境下运维等方面具有重要意义。作为测试环境,本次使用 Registry2 搭建了私有镜像仓库,实际生产环境建议使用 Harbor;创建了一个 local-storage 的 StorageClass ,并使用本地磁盘的方式创建使用 PV ,实际建议使用 NFS 。
Kubernetes系列】私有仓库Harbor和Registry的安装使用
邓邓子的博客
06-16 1106
Harbor 是 VMWare 公司提供的一个用于存储和分发 Docker 镜像的企业级 Registry 服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。支持多租户、 可扩展的 API 和 Web UI、支持跨多个注册表(包括 Harbor)进行复制、支持身份集成和基于角色的访问控制。Registry 是 Dcoker 官方的一个私有仓库镜像,可以用来存储和管理自己的镜像Harbor 是 Docker Registry 的更高级封装,提供
Kubernetes安装镜像仓库harbor
邢宁
03-08 1151
前言 harbor是vmware开源的企业级镜像仓库,目前是CNCF的毕业项目。它拥有完整的仓库管理、镜像管理、基于角色的权限控制、镜像安全扫描集成、镜像签名等。 1、使用helm下载harbor helm repo add harbor https://helm.goharbor.io helm fetch harbor/harbor --untar #创建harbor namespace kubectl create ns harbor 2、修改harbor配置 vim harbor/val
docker harbor 域名_harbor docker 仓库 https配置
weixin_39913472的博客
12-18 370
1,harbor.cfg 配置修改1.1 hostname = reg.mydomain.com #必须是域名1.2 ui_url_protocol = https #https1.3 verify_remote_cert = off #默认是on,如果是自签证书,配置为off2,将证书reg.mydomain.com.crt 拷贝到 需要登录该仓库的目标机器/etc/docker/cert...
Harbor.cfg 配置文件参数详解
最新发布
2302_77582029的博客
08-07 685
Harbor.cfg 配置文件参数详解
k8s上部署harbor并暴露访问
03-14
使用cfssl工具配置证书并在kubernetes上部署harbor并暴露访问。
k8s-创建harbor私有镜像仓库
PpikachuP的博客
04-27 753
#tar zxvf harbor-offline-installer-v1.4.0.tgz #mv harbor/ /opt #mkdir /data/harbor #用来保存harbor的文件和目录 修改配置文件 #cd /opt/harbor #vim harbor.cfg hostname = reg.yunwei.edu ui_url_protocol = htt...
Kubernetes使用Harbor私有镜像仓库
Java大数据联盟
09-03 3346
Kubernetes使用Harbor私有镜像仓库1 安装说明1.1 安装要求说明1.2 安装版本说明1.3 集群效果说明2 安装步骤2.1 安装Docker2.2 安装Docker-Compose2.3 安装Harbor2.4 配置Docker客户端3 测试3.1 创建Harbor项目3.2 推送Docker镜像3.3 拉取Docker镜像 1 安装说明 1.1 安装要求说明 集群要求说明:在安装 Harbor 私有镜像仓库之前,需要先有一个K8S集群,本文使用的集群的搭建过程请见 基于CentOS 7
Kubernetes如何使用harbor拉去私有镜像
MyySophia的博客
04-22 3488
harbor的搭建 7. harbor 配合kubernetes使用 7.1 k8s拉取镜像的方式 Always:当容器失效时,由Kubelet自动重启该容器。RestartPolicy的默认值。 OnFailure:当容器终止运行且退出码不为0时由Kubelet重启。 Never:无论何种情况下,Kubelet都不会重启该容器。 注意,这里的重启是指在 Pod 所在 Node 上面本地重启,并不会调度到其他 Node 上去。 7.2使用私有镜像仓库拉去镜像 7.2.1 k8s-node节点添加验证 将
Harbor:企业级私有Docker镜像仓库解决方案
Harbor私有Docker镜像仓库解决方案 Harbor是一个开源的私有Docker镜像仓库解决方案,它提供了企业级的镜像管理和安全功能。下面是Harbor的详细知识点: **Harbor的功能特性** Harbor是基于Docker Registry的高级...
k8s拉取harbor镜像_kubernetes 拉取harbor私有仓库镜像
weixin_39790760的博客
12-24 955
愈来越多的企业和团体都有自己的私有仓库,但是在kubernetes部署时,拉取私有仓库私有镜像会出现拉取失败的问题。本文主要讲解如果解决这个问题。HTTPS支持如果是公开认证的证书,请忽略本步骤;如果是自生成的证书,需要配置docker。在kubernetes所有节点,配置docker,添加证书。在/etc/docker/certs.d文件夹下,创建以私有仓库域名为名字的文件夹,并将私有仓库...
kubernetes配置secret拉取私仓镜像
zengxx19920222的博客
08-14 382
kubernetes配置secret拉取私仓镜像问题是什么为什么出现怎么解决 问题是什么 对于nexus和harbor搭建的docker私有仓库,一般设置了密码,kubernetes的yaml上直接拉取镜像会报错 如:Get https://192.168.100.208:80/v2/: dial tcp 192.168.100.208:80: connect: connection refuse...
docker异常:Error response from daemon: Get https://10.10.8.1xx/v2/: x509: certificate signed by unknow
雪落夜的专栏
09-29 6035
在执行docker-compose up命令时抛出如下异常: Error response from daemon: Get https://10.10.8.1xx/v2/: x509: certificate signed by unknown authority 报错的ip地址是harbor私服地址,使用docker-compose up从harbor拉取镜像时缺少权限。 尝试使用以下方式解决: 1.确认用户是否在docker组内 #如果还没有 docker group 就添加一个 su
k8s和harbor的集成_kubernetes 分别从docker和harbor拉取镜像
weixin_35615475的博客
12-24 769
基本概念:DockerDocker是一个用于开发,交付和运行应用程序的开放平台。Docker使用户能够将应用程序与基础架构分开,从而可以快速交付软件。借助Docker,用户可以以与管理应用程序相同的方式来管理基础架构。通过Docker来快速交付、测试和部署代码,用户可以大大减少编写代码和在生产环境运行代码之间的延迟。Docker是供开发人员和系统管理员 使用容器构建,运行和共享应用程序的平台。相...
部署Harbor私有容器镜像仓库并配置KubernetesHarbor拉取镜像的方法
watermelonbig的专栏
05-10 5944
目前有两种部署Harbor的方法,其一是通过docker compose部署,其二是托管在Kubernetes平台之上。相比较而言,还是前一种方法更简洁易管理些,我们在这即使用方法一部署Harbor。然后重点介绍下怎样配置KubernetesHarbor拉取镜像。 实验环境说明 我们使用一套3节点部署的k8s环境,并且直接复用其的节点3部署Harbor服务。 [k8s@worker-node3...
Docker私有仓库Harbor理论与部署
weixin_45724795的博客
04-24 416
前言:Harbor 是 Vmwar 公司开源的 企业级的 Docker Registry 管理项目 它主要 提供 Dcoker Registry 管理UI,可基于角色访问控制, AD/LDAP 集成,日志审核等功能,完全的支持Harbor 的所有组件都在 Dcoker 部署,所以 Harbor使用 Docker Compose 快速部署。 文章目录一、Harbor概述1.Harbor理...
Harbor构建docker私有仓库
weixin_55609833的博客
08-16 537
Harbor构建docker私有仓库一、Harbor简介二、Harbor优势三、Harbor架构四、Harbor 配置文件以及相关参数(1)所需参数(2)可选参数 一、Harbor简介 Harbor 是VMware公司开源的云本地 registry 仓库,有可视化的Web管理界面,可以方便的管理和储存 Docker 镜像Harbor 支持在多个仓库直接进行复制镜像,提供用户管理和访问控制和活动审计。 二、Harbor优势 基于角色控制 基于镜像的复制策略 支持LDAP/AD域,通过VPN连接域使用 图像
harbor的搭建和使用
weixin_43557605的博客
02-21 1050
服务概述 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全...
部署harbor私有镜像---K8s
等风来也chen
04-26 561
环境准备: 添加硬盘,作为镜像的存储单元 cd /kubernetes tar -zxf harbor-offline-installer-v1.4.0.tgz 之后将解压出的harbor移动至/opt mv /root/kubernetes/harbor ./ mkdir /date/ 挂载 mount /dev/sdb /date cd /date mkdir harbor cd /...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值