K8S-Demo集群实践00:搭建镜像仓库Harbor+安全扫描

最新推荐文章于 2024-05-13 10:09:09 发布
最新推荐文章于 2024-05-13 10:09:09 发布
阅读量554 收藏 1
点赞数
分类专栏: k8s-demo 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonhe2018/article/details/112978773
版权

K8S-Demo集群实践00:搭建容器镜像仓库Harbor+安全扫描

一、安装Docker-compose

1、下载docker-compose

[root@harbor ~]# curl -L https://github.com/docker/compose/releases/download/1.26.2/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
[root@harbor ~]# chmod +x /usr/local/bin/docker-compose

2、查看docker-compose版本号

[root@harbor ~]# docker-compose --version
docker-compose version 1.26.2, build eefe0d31

二、安装harbor

1、下载并解压到/usr/local/目录下

[root@harbor ~]# wget https://github.com/goharbor/harbor/archive/v1.8.1.tar.gz
[root@harbor ~]# tar zxf harbor-online-installer-v1.8.1.tar.gz  -C /usr/local/

2、修改配置

[root@harbor ~]# vim /usr/local/harbor/harbor.yml
  • 设置hostname
    • hostname = IP或域名
  • 禁止用户注册,也可以在安装完成后,在管理界面设置
    • self_registration = off
  • 设置只有管理员可以创建项目
    • project_creation_restriction = adminonly
  • 设置admin的密码
    • harbor_admin_password = Harbor1234578
  • 可以配置https证书,通过https访问,证书的生成这里就不赘述了
    • certificate: /usr/local/harbor/harbor.https.crt
    • private_key: /usr/local/harbor/harbor.https.key

3、安装

[root@harbor ~]# cd /usr/local/harbor/
[root@harbor harbor]# ./install.sh
  • 要下载容器镜像等,执行过程比较长,会有很多日志,耐心等待
    在这里插入图片描述
  • 常用命令
[root@harbor ~]# cd /usr/local/harbor/
[root@harbor harbor]# docker-compose start
[root@harbor harbor]# docker-compose stop
[root@harbor harbor]# docker-compose up -d
[root@harbor harbor]# docker-compose down

4、命令行登录harbor.demo

[root@localhost ~]# docker login harbor.demo
Username: admin
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

三、访问测试

  • 在浏览器输入容器镜像仓库地址,例如 https://harbor.demo/
    在这里插入图片描述

四、添加容器镜像扫描器

  • 有些容器镜像我们是从网络上下载的,或者团队自己制作的容器镜像中使用了其它的软件,为了安全在容器镜像仓库配置一个扫描器
[root@harbor ~]# cd /usr/local/harbor/
[root@harbor harbor]# ./prepare --with-clair
[root@harbor harbor]# docker-compose down
[root@harbor harbor]# docker-compose up -d
[root@harbor harbor]# docker-compose ps

在这里插入图片描述

  • 发现多了两个容器
    • goharbor/clair-adapter-photon
    • goharbor/clair-photon
  • 容器镜像扫描
    在这里插入图片描述

参考

  • https://blog.csdn.net/u011323949/article/details/106576793

附专栏链接

K8S-Demo集群实践00:搭建镜像仓库Harbor+安全扫描
K8S-Demo集群实践01:准备VMware虚拟机模板
K8S-Demo集群实践02:准备VMware虚拟机3台Master+3台Node
K8S-Demo集群实践03:准备集群各组件间HTTPS通讯需要的x509证书
K8S-Demo集群实践04:部署etcd三节点高可用集群
K8S-Demo集群实践05:安装kubectl并配置集群管理员账户
K8S-Demo集群实践06:部署kube-apiserver到master节点(3个无状态实例)
K8S-Demo集群实践07:kube-apiserver高可用方案
K8S-Demo集群实践08:部署高可用kube-controller-manager集群
K8S-Demo集群实践09:部署高可用kube-scheduler集群
K8S-Demo集群实践10:部署ipvs模式的kube-proxy组件
K8S-Demo集群实践11:部署ipvs模式的kube-kubelet组件
K8S-Demo集群实践12:部署Calico网络
K8S-Demo集群实践13:部署集群CoreDNS
K8S-Demo集群实践14:部署集群监控服务Metrics Server
K8S-Demo集群实践15:部署Kubernetes Dashboard
K8S-Demo集群实践16:部署Kube-Prometheus
K8S-Demo集群实践17:部署私有云盘owncloud(10.6版本)
K8S-Demo集群实践18:构建宇宙中第一个基础容器镜像

  • 先用起来,通过操作实践认识k8s,积累多了自然就理解了
  • 把理解的知识分享出来,自造福田,自得福缘
  • 追求简单,容易使人理解,知识的上下文也是知识的一部分,例如版本,时间等
  • 欢迎留言交流,也可以提出问题,一般在周末回复和完善文档
  • Jason@vip.qq.com 2021-1-22
jasonhe2018
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Demo环境私有容器镜像仓库Harbor升级过程记录
jj_tyro的专栏
03-18 1686
Demo环境私有容器镜像仓库Harbor升级过程记录 在某朵月底即将随风飘散的云中,我搭建有一个Kubernetes环境,一个容器Demo环境。前段时间,看到VMware公司对其开源Docker镜像仓库实现Harbor做了许多升级,尤其增加了对镜像安全漏洞的扫描,因此就尝试着升了下级,现在整理下当时粗略记录的过程步骤。 因公司面向的主要客户目前对应用容器化还没有需求,对微服务的需求还集中于求业...
Harbor 2.0 API JAVA版本调用demo
kakahu2015的博客
03-07 2292
全网搜索了下Harbor 2.0 API,几乎全是Linux curl或者python版本,java版本的很少,至少我找到的没调用成功,因为工作需要,将jar包或者前端静态文件制作成docker镜像。腾讯TKE并未提供这种支持,历经一番手动传输到VM再用linux命令上传,完全是拼体力。为了解决这种低效率问题,我写了个web版本的工具用来替代繁琐的手动敲命令制作、上传镜像。 1、核心Maven 依赖 <dependencies> <dependency>
【云原生-K8s】镜像漏洞安全扫描工具Trivy部署及使用
最新发布
2401_84971075的博客
05-13 313
Trivy是一个开源的容器镜像漏洞扫描器,可以扫描常见的操作系统和应用程序依赖项的漏洞。它可以与Docker和Kubernetes集成,帮助用户在构建和部署容器镜像时发现安全漏洞。Trivy支持多种漏洞数据库,包括Red Hat、Debian、Alpine等,可以根据用户的需求进行配置。Trivy还支持CI/CD集成,可以在构建过程中自动扫描镜像并生成报告。
K8S应用安全检测(调用分析 容器健康 审计日志)
m0_46690280的博客
07-10 873
专属状态命令。
k8s进阶4——安全机制常用工具之kube-beach、kube-hunter、Trivy、kubesec
百慕卿君博客
05-24 1129
1、安全机制的概念。 2、kube-beach CIS安全基准工具。 3、kube-hunter集群漏洞扫描工具。 4、Trivy镜像漏洞扫描工具。 5、kubesec检查YAML文件安全配置工具
K8s:开源安全平台 kubescape 实现 Pod 的安全合规检查/镜像漏洞扫描
山河已无恙
03-03 1085
生产环境中的 k8s 集群安全不可忽略,即使是内网环境容器化的应用部署虽然本质上没有变化,始终是机器上的一个进程但是提高了安全问题的处理的复杂性分享一个开源的 k8s 集群安全合规检查/漏洞扫描 工具kubescape博文内容涉及:kubescape简介介绍kubescape命令行工具安装,扫描运行的集群kubescape在集群下安装,通过 kubescape Clound 可视化查看扫描信息理解不足小伙伴帮忙指正需要有科学上网环境对每个人而言,真正的职责只有一个:找到自我。
K8S:kubeadm搭建K8S+Harbor 私有仓库
09-07
K8S:kubeadm搭建K8S+Harbor 私有仓库所需要的安装包,含有:docker-compose、harbor-offline-installer-v1.2.2、v1.20.11、dashboard、recommended.yaml
K8S+Jenkins+Harbor+Docker+gitlab集群部署所需资源
02-20
K8S+Jenkins+Harbor+Docker+gitlab集群部署所需的所有资源
k8s-harbor-presentation:关于港口工程的介绍
05-12
cd k8s-harbor-presentation git submodule add https://github.com/hakimel/reveal.js.git revealjs cp revealjs/demo.html index.html cp revealjs/{package * ,gruntfile.js} . 发展 npm install npm start 打印 ...
百度地图开发java源码-gitlab-docker-k8s:基于GitLab+Docker+K8S的持续集成和交付
06-06
、mvnw、Docker、harbor、k8s等技术,同时展示了在k8s平台利用EFK(elasticsearch,fluentd,kibana)技术完成了集群统一日志管理,使用kube-prometheus技术进行集群实时监控以及kube-dashboard管理集群中的应用部署,...
将docker-harbor镜像部署到k8s集群-node部署时需harbor认证
06-29
"docker-harbor镜像部署到k8s集群-node部署时需harbor认证" docker-harbor镜像部署到k8s集群-node部署时需harbor认证,这是一种常见的云原生部署场景。下面我们将详细地解释该过程中涉及到的知识点。 1. 部署YAML...
KubiScan:一种扫描Kubernetes集群以获取危险权限的工具
02-03
一种在Kubernetes的基于角色的访问控制(RBAC)授权模型中扫描Kubernetes群集以获取危险权限的工具。 该工具已作为“通过消除风险许可保护Kubernetes集群”研究的一部分发布, 。 总览 KubiScan帮助群集管理员确定攻击者可能利用来破坏群集的权限。 这在大型环境中尤其有用,因为在大型环境中,许多权限可能难以跟踪。 KubiScan收集有关危险角色\集群,角色绑定\集群角色绑定,用户和吊舱的信息,自动化传统的手动流程,并为管理员提供降低风险所需的可见性。 它能做什么? 识别危险角色\ ClusterRoles 识别危险的RoleBindings \ ClusterRoleBindings 确定有风险的主题(用户,组和服务帐户) 识别危险的豆荚\容器 从Pod中转储令牌(全部或按名称空间) 获取与角色,ClusterRole或主题(用户,组或服务帐户)关联的RoleBindings \ ClusterRoleBindings 列出特定种类的主题(“用户”,“组”或“ ServiceAccount”) 列出RoleBinding或ClusterR
k8s学习-CKS真题-Trivy扫描镜像安全漏洞
关注网络安全、云原生安全
04-16 1058
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。你必须切换到 cluster 的 master 节点才能使用 Trivy。一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。读者根据自己的操作系统版本安装即可。第一需要下载库(考试时不需要)
k8s学习-CKS真题-ImagePolicyWebhook容器镜像扫描
关注网络安全、云原生安全
05-17 1311
启用ImagePolicyWebhook插件,确认–admission-control-config-file选项已有配置文件并挂载。把defaultAllow由true改为false。考试时应该已经挂载,可以检查一下,没有自行添加。在cluster下添加server。修改api-server配置文件。做题的时候按照以下顺序。不完整的准入配置文件。修改kube配置文件。
k8s-CKS真题-CIS基准测试与安全扫描
关注网络安全、云原生安全
04-16 929
-authorization-mode stringkubelet 服务器的鉴权模式。当 --config 参数未被设置时,默认值为 AlwaysAllow,当使用了 --config 时,默认值为 Webhook。- -authorization-mode strings 在安全端口上进行鉴权的插件的顺序列表。1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (现在没有了,也可以手动检查下)
【云攻防系列】从攻击者视角聊聊K8S集群安全(上)
Jinmindong
01-17 635
作为云原生管理与编排系统的代表,Kubernetes(简称K8S)正受到越来越多的关注,有报告[1]显示,96% 的组织正在使用或评估K8S,其在生产环境下的市场占有率可见一斑。K8S 的功能十分强大,其系统复杂性也同样较高,一般而言,程序越复杂则越容易存在安全问题,自然而然地,K8S 集群也同样面临着严重的安全威胁,如 K8S组件的未授权访问、容器逃逸和横向攻击等。我们说攻和防是相互促进、相伴而生的,作为相关安全人员首先应该从整体上把握业务架构可能面临的安全威胁才有可能做好防护。
Harbor 私有镜像仓库
a755737444的博客
07-23 1412
Harbor 简介 使用 DNSMASQ 快速搭建简单 DNS 服务 为 Harbor 签发域名证书 信任自签发的域名证书 Harbor 1.8 版本配置与安装 镜像管理与安全: 漏洞扫描镜像签名 镜像复制与同步 Harbor HA: 环境与准备 Harbor HA: 修改配置 Harbor HA: 启动 Harbor Harbor HA: keepalive...
Harbor使用案例
BigData_Mining的博客
03-07 597
测试上传和下载镜像 1.修改各docker client配置(各自客户端都需要更改) # vim /usr/lib/systemd/system/docker.service 增加: ExecStart=/usr/bin/dockerd --insecure-registry 192.18.1.8(服务器注册地址) 增加 --insecure-registry 192.18.1.8 即可。 重...
K8s集群实战:从搭建到运维,包括docker、harbor、kuboard与微服务管理
"这篇文档详述了如何搭建和运维基于Kubernetes(k8s)的集群,涵盖了Docker安装、Harbor私有仓库部署、Kuboard可视化运维平台的搭建,以及采用Supervisor作为进程管理工具,Containerd作为容器运行时,Calico作为...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值