Harbor离线安装及扫描器的使用

最新推荐文章于 2024-07-28 22:17:49 发布
最新推荐文章于 2024-07-28 22:17:49 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 系统运维 文章标签: docker 运维 容器 Harbor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mico18/article/details/128452766
版权

参考链接:https://blog.51cto.com/lidabai/5175749

注意!:此文章内出现的源都是自己配置的!!!!原样复制代码行不通!!!

#安装docker-compose
yum -y install epel-release
yum -y install docker-compose
#升级docker-compose(此处从其他地方下载来的)
mv docker-compose-Linux-x86_64 /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
rm -f /usr/bin/docker-compose
ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
docker-compose --version
#安装docker
sudo yum install -y yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager --add-repo https://mirrors.xurikeji.com/package/setting/docker-ce.repo
sudo yum clean all
sudo yum makecache fast
sudo yum -y install docker-ce
#配置加速
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://docker.xurikeji.com"]
}
EOF
sudo systemctl daemon-reload
systemctl enable --now docker.service
#安装Harbor
wget https://mirrors.xurikeji.com/package/harbor/harbor-offline-installer-v2.4.0.tgz
tar zxvf harbor-offline-installer-v2.4.0.tgz -C /usr/local/
cd /usr/local/harbor
cp harbor.yml.tmpl harbor.yml
#配置文件只需修改hostname 为主机的ip地址,注释掉https 
vim harbor.yml
#看看docker和docker-compose 还有所需文件等
./prepare
#安装
./install.sh
#然后看看提示安装成功后
#可以是用IP地址进行访问
#默认用户:admin 密码: Harbor12345(也可以自行更改)
#登录http://10.10.0.10后新建了一个habor项目
#配置私有仓库
[root@10.10.0.10 harbor]# vim /etc/docker/daemon.json
{
  "registry-mirrors": ["https://docker.xurikeji.com"],
  "insecure-registries":["http://10.10.0.10"]
}
[root@10.10.0.10 harbor]# systemctl restart docker.service
#登录私有仓库
[root@10.10.0.10 harbor]# docker login http://10.10.0.10
Username: admin
Password:
#修改镜像tag并且上传
[root@10.10.0.10 harbor]# docker tag nginx:latest 10.10.0.10/habor/nginx:1.20
[root@10.10.0.10 harbor]# docker tag nginx:latest 10.10.0.10/habor/nginx:latest
[root@10.10.0.10 harbor]# docker push 10.10.0.10/habor/nginx:1.20
[root@10.10.0.10 harbor]# docker push 10.10.0.10/habor/nginx:latest
#登录harbor查看是否上传成功
#安装Harbor时安装扫描器
[root@10.10.0.10 harbor]# ./install.sh --help

Note: Please set hostname and other necessary attributes in harbor.yml first. DO NOT use localhost or 127.0.0.1 for hostname, because Harbor needs to be accessed by external clients.
Please set --with-notary if needs enable Notary in Harbor, and set ui_url_protocol/ssl_cert/ssl_cert_key in harbor.yml bacause notary must run under https.
Please set --with-trivy if needs enable Trivy in Harbor
Please set --with-chartmuseum if needs enable Chartmuseum in Harbor
[root@10.10.0.10 harbor]# ./install.sh --with-trivy
#Harbor已启动后才安装扫描器(不会影响已存在的项目和镜像)
#先停止容器
[root@10.10.0.10 harbor]# docker-compose down
#到harbor工作目录执行./prepare
[root@10.10.0.10 harbor]# pwd
/usr/local/harbor
#安装Trivy扫描器
[root@10.10.0.10 harbor]# ./install.sh --with-trivy
#验证是否安装成功
[root@10.10.0.10 harbor]# docker-compose ps
      Name                     Command                       State                          Ports
-----------------------------------------------------------------------------------------------------------------
harbor-core         /harbor/entrypoint.sh            Up (health: starting)
harbor-db           /docker-entrypoint.sh 96 13      Up (health: starting)
harbor-jobservice   /harbor/entrypoint.sh            Up (health: starting)
harbor-log          /bin/sh -c /usr/local/bin/ ...   Up (health: starting)   127.0.0.1:1514->10514/tcp
harbor-portal       nginx -g daemon off;             Up (health: starting)
nginx               nginx -g daemon off;             Up (health: starting)   0.0.0.0:80->8080/tcp,:::80->8080/tcp
redis               redis-server /etc/redis.conf     Up (health: starting)
registry            /home/harbor/entrypoint.sh       Up (health: starting)
registryctl         /home/harbor/start.sh            Up (health: starting)
trivy-adapter(看这里)       /home/scanner/entrypoint.sh      Up (health: starting)
#可以登录Harbor UI界面查看了
#扫描器的使用说明

查看扫描器:登录Harbor UI界面==> 【项目】==>【扫描器】即可看到已经安装的扫描器。

单个镜像的扫描:项目–需要扫描的项目——项目下的某个镜像——点击【扫描】即可进行扫描

全局漏洞扫描:【系统管理】——【审查服务】——【漏洞】,全局漏洞扫描可手动触发,也可设置定时任务触发。

定时任务格式:秒 分钟 小时 每日 每月 周

自动扫描:​​在系统上传到项目成功后,系统自动对其进行扫描操作并生成相关报告。【项目】——【项目名】——【配置管理】

阻止有漏洞的镜像部署到容器中:当镜像经过漏洞扫描发现存在漏洞后,可以在【部署安全】-【阻止潜在漏洞镜像】选项阻止不同漏洞级别的镜像部署。

CVE白名单:如果某个镜像存在漏洞,但部署者可以接收这种漏洞,想继续使用该镜像来部署服务,则可以使用CVE特赦白名单。【系统管理】——【配置管理】——【系统设置】——【部署安全性】

扫描数据存储:进行漏洞扫描后,扫描结果数据存放于​./data/trivy-adapter/trivy/db/trivy.db​文件中。

扫描状态说明
​1.已入队列​:扫描过程的起始阶段,已创建扫描任务,但未执行扫描;
​2.扫描中​:正在进行扫描,但还未完成;
​3.失败​:扫描过程因为遇到不可忽略的错误导致扫描未成功完成,可通过系统扫描的日志信息排查;
​4.成功​:扫描过程成功,并生成对应的扫描报告。

Mico18
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jenkins+docker集成harbor实现可持续集成
congge
04-14 1万+
jenkins+docker集成harbor实现可持续集成
容器镜像安全扫描工具推荐——镜界容器镜像漏洞扫描器可支持与harbor镜像仓库无缝集成
Dosecnews的博客
01-14 6552
镜像安全的解决方案 镜像是容器的最基础的载体,docker作为最流行的容器runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像的安全就决定了容器安全。 但现实不乐观,在docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像没有漏洞。镜像在构建过程中会安装依赖组件,这些组件存在大量漏洞,而这...
harbor-scanner:一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 Harbor 无缝集成
05-16
Harbor-Scanner 一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 无缝集成。 Dosec 的商业客户可以使用企业版扫描功能,例如扫描开源框架中的漏洞以及扫描容器镜像中包含的敏感数据。同时企业版增加了WEB UI, 提供仪表板,资产管理,用户管理,镜像漏洞修复建议, 安全和策略评估报告,容器运行时防护,Docker 和 Kubernetes 合规检查以及其他功能和模块。 特点 漏洞扫描快速准确,支持CVE和CNNVD双漏洞编号,漏洞中文描述信息 自动更新漏洞库(在配置中开启自动更新参数) 快速部署使用,最新的发布版中已包含最近日期之前的全量漏洞库,安装完成即可立即扫描出结果 安装 推荐将 Harbor-Scanner 和 Harbor 镜像仓库部署在同一台服务器。 下载 Harbor-Scanner 的离线安装包并解压 wget https
Harbor Scanner:保障你的容器安全的利器
gitblog_00013的博客
04-01 456
Harbor Scanner:保障你的容器安全的利器 项目地址:https://gitcode.com/dosec-cn/harbor-scanner Harbor 是一个企业级的容器镜像仓库,它提供了高级的安全特性,如访问控制、图像扫描和日志审计等。而 Harbor Scanner 则是针对 Harbpor 的一款集成式安全扫描插件,旨在帮助用户更有效地发现并管理他们存储在 Harbor 中的容...
harbor系列之7:镜像漏洞扫描
最新发布
codelearning的专栏
07-28 474
Harbor 默认通过开源项目(Harbor 2.0.0 及之后版本)或(Habor v2.2.0 版本之后从默认中删除)提供镜像漏洞的静态分析。在harbor中可以对特定镜像或 Harbor 中的所有镜像手动启动扫描。也可以设置策略,使系统定期自动扫描所有镜像。说明:本文中harbor使用的截图以 Harbor v2.11.0 为例,具体操作以实际环境版本为准。
dockerharbor-trivy镜像扫描工具安装部署(离线漏洞库)
西原一点红的博客
08-22 2135
漏洞库下载trivy v1版本和V2版本漏洞库下载地址不一样。
Harbor镜像仓库的搭建(附镜像扫描器安装配置
你说亮不亮的博客
12-26 1588
离线环境下私有镜像仓库Harbor的搭建
dockerharbor 拉取镜像慢_手把手教你搭建自己的docker-hub
weixin_39588209的博客
11-22 515
目录前言为什么要搭建docker-hub1. 什么是harbor2. harbor特征3. harbor的安装3.1 目标环境的要求3.1.1 硬件3.1.2 软件3.1.3 网络端口3.2 安装步骤3.2.1 下载安装文件3.2.2 配置harbor.yml3.2.3 执行安装并启动3.2.4 管理Harbor的生命周期4. harbor使用4.1 创建项目4.2 拉取/推送镜像前言为什么要搭...
企业级镜像仓库harbor安装指南
vampire的博客
09-19 839
企业级镜像仓库harbor安装指南 Harbor 可以通过两种方式安装: 在线安装: 使用docker hub中下载的Harbor镜像安装,这种方式是最小的安装 离线安装: 当主机没有Internet连接时使用此安装程序。安装程序包含预构建的映像,因此其大小更大. 所有安装程序都可以从 官方发布 下载. 如果运行以前版本的Harbor,可能需要更新 harbor.yml。并迁移数据以...
Harbor集成Clair安全扫描实践(KOS)
KeyarchOS的博客
08-24 291
clair的目标是能够从一个更加透明的维度去看待基于容器化的基础框架的安全性。clair通过对容器的layer进行扫描,发现漏洞并进行预警,其使用数据是基于数据库简称CVE),各Linux发行版一般都有自己的CVE源,而Clair则是与其进行匹配以判断漏洞的存在与否,比如HeartBleed的CVE为:。
harbor-offline-installer-v2.4.0-arm64.tgz
12-15
支持 苹果 Apple MacBook M1 Chip 芯片,或其他 Arm64 架构的 Docker 私服 Harbor 软件。
harbour-scanner-trivy:将Trivy用作Harbor注册表中的插件漏洞扫描程序
02-12
用于Trivy的Harbor扫描仪适配器 用于的Harbor 是一项将扫描API转换为Trivy命令的服务,并允许Harbor使用Trivy来提供有关存储在Harbor注册表中的图像的漏洞报告,作为其漏洞扫描功能的一部分。 目录 入门 这些说明将为您提供适配器服务的副本,并在您的本地计算机上运行该适配器服务,以进行开发和测试。 有关如何在实时系统上进行的注释,请参阅。 先决条件 码头工人 港口> = 1.10 建立 运行make在./scanner-trivy构建二进制./scanner-trivy : $ make 要构建到Docker容器中: $ make docker-build 在Kubernetes上运行 在下面的说明我假设你安装了港湾> = 1.10在harbor命名空间,它在很接近 。 $ helm repo add harbor https://helm.gohar
[kubernetes]-harbor安装扫描器Clair
爷来辣的博客
06-18 774
harbor安装扫描器
云原生安全检测器 Narrows:为 Harbor 增加容器运行时安全扫描能力
亨利笔记
02-12 377
题图摄于广州花城广场本文作者之一Simon(赵仁明),VMware云原生实验室架构师。10+年云平台、数据平台、人工智能基础设施平台研发经验。目前主要关注云原生与人工智能领域的开源及创新项目。国内外的用户都在使用云原生技术来提高应用的开发效率和可管理性,不少用户运用开源 Harbor 制品仓库,管理敏捷软件供应链中云原生应用的镜像,包括镜像存储、镜像扫描和镜像签名等功能。Harbor 已经提供了一...
harbor scanner 从原理到构建
huzai9527的博客
07-14 570
为了让harbor能够支持更多的漏扫工具(大家也都知道,一些做安全的公司自己内部是会维护和积累漏洞信息的,但是这样的信息并不会开源出来),因此harbor有必要提供一个通用的框架能够使用户能够自定义sanner,以此检查harbor中image的漏洞信息。如是,harborsanner应运而生。......
云原生安全检测器 Narrows发布,在Harbor上增加容器安全的动态扫描
VMware中国研发中心
02-16 1307
CNSI, 即云原生安全检测器(Cloud Native Security Inspector),项目代号: Narrows。在 Harbor 的基础上,Narrows 增强了动态安全方面的能力,它允许用户对 Kubernetes 集群和其中的工作负载进行运行时的安全态势评估。
Harbor镜像仓库漏洞扫描功能
weixin_33964094的博客
04-11 960
镜像漏洞扫描功能简介 开源企业级镜像仓库 Harbor v1.2 新增了镜像漏洞扫描的功能,可以帮助用户发现容器镜像中的安全漏洞,及时采取防范措施。 容器镜像本质上是一系列静态文件的集合,也是容器应用运行的时候可见的文件系统。镜像扫描就是遍历所有镜像中的文件系统,逐个检查软件包(Package)是否包含安全漏洞。这个过程有点像我们电脑里面的扫病毒软件做的事情,把电脑的所有文件进行分析,和已知病毒数...
Harbor的WebHooks功能和扫描器使用
qq_23445457的博客
11-17 1759
Harbor的WebHooks功能使用目的WebHooks案例:pushImage 目的 为了对Harbor的镜像实时监控,便研究了下Harbor自带的WebHooks功能。 WebHooks 支持的功能如图所示: 当开启功能后,执行图中的操作就会发送相应的请求到指定的地址。官网对每个请求的详细描述其实不怎么清晰,下面以pushImage为例,看下如果是在实际的开发中应该怎么去集成这个功能。 案例:pushImage 写一个简单的server,捕获起发送的内容 from flask import Fl
Harbor离线安装程序
05-10
想要进行Harbor离线安装,你需要进行以下步骤: 1. 下载Harbor离线安装包:你可以从Harbor的官方网站(https://github.com/goharbor/harbor/releases)上下载最新版本的Harbor离线安装包。选择适合你系统的版本(Linux或Windows)以及对应的Harbor版本。 2. 安装Docker:在安装Harbor之前,你需要先安装Docker。如果你已经安装了Docker,请确保它是最新版本。 3. 解压Harbor离线安装包:将下载的Harbor离线安装包解压到你想要安装的目录。 4. 修改配置文件:在解压后的目录中,找到并打开“harbor.yml”文件。根据你的需要,修改其中的配置参数,例如端口号、存储路径、证书等。 5. 执行安装脚本:打开终端或命令行界面,进入Harbor解压后的目录,并执行以下命令: ``` sudo ./install.sh --with-notary --with-trivy ``` 这个命令将会安装Harbor,并且同时安装Notary和Trivy。如果你不需要Notary和Trivy,可以将"--with-notary"和"--with-trivy"从命令中删除。 6. 等待安装完成:在执行安装脚本后,等待一段时间,直到安装完成。你可以在终端或命令行界面中看到安装进度和日志信息。 7. 验证安装结果:在安装完成后,你可以使用浏览器访问Harbor的Web界面,验证是否安装成功。 这是一个简单的Harbor离线安装过程,具体步骤可能会因为不同的环境而有所不同。如果你遇到了问题,可以参考Harbor的官方文档或者社区论坛,寻求帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值