Docker 为你的镜像仓库Harbor部署HTTPS

最新推荐文章于 2024-07-24 23:27:08 发布
最新推荐文章于 2024-07-24 23:27:08 发布
阅读量685 收藏 2
点赞数
分类专栏: Docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/109671963
版权

Harbor 部署HTTPS

生成SSL证书

配置https必须要有ssl证书,ssl证书可以是受信任的第三方CA签发的,大部分是花钱要买的,要域名证书公司帮你签发。这些都是受信任的,大概一个域名3000左右。

当然你也可以使用自签证书,比如使用openssl生成证书,或者使用cfssl工具去生成证书。

我这里使用自签证书,创建生成证书的目录ssl,并且下载配置cfssl工具

[root@reg harbor]# mkdir /ssl
[root@reg harbor]# cd /ssl/ 

#这个脚本主要是下载cfssl这个工具。然后二进制文件放在系统二进制目录下面
[root@localhost ssl]# cat cfssl.sh 
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl*
mv cfssl_linux-amd64 /usr/bin/cfssl
mv cfssljson_linux-amd64 /usr/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo
[root@localhost ssl]# chmod o+x cfssl.sh 
[root@localhost ssl]# bash cfssl.sh 

[root@reg ssl]# cfssl   可以看到直接可以使用了,有了这个工具之后就可以基于这个工具生成证书
cfssl           cfssl-certinfo  cfssljson 

cfssl  cfssljson 这两个工具配合的使用  cfssl-certinfo 查看证书的工具

首先创建CA,你花钱购买的证书也是CA。所以自签也需要CA,CA就是证书颁发机构,这个必须得有。先创建CA的两个json文件,cfssl工具就通过json的配置文件来生成证书CA的。

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF

 使用cfssl工具生成初始化CA

[root@localhost ssl]# ls
ca-config.json  ca-csr.json  cfssl.sh

[root@localhost ssl]#  cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
2020/11/13 19:56:15 [INFO] generating a new CA key and certificate from CSR
2020/11/13 19:56:15 [INFO] generate received request
2020/11/13 19:56:15 [INFO] received CSR
2020/11/13 19:56:15 [INFO] generating key: rsa-2048
2020/11/13 19:56:16 [INFO] encoded CSR
2020/11/13 19:56:16 [INFO] signed certificate with serial number 475903264239659842602085673089005502135504585581


[root@localhost ssl]# ls
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem  cfssl.sh

ca-key.pem  ca.pem
这两个是CA相关的证书,通过这个CA来签署服务端证书

先创建服务端证书的请求文件,请求文件里面CN是域名,也就是你现在使用什么域名就写什么域名

cat > reg.harbor.com-csr.json <<EOF
{
  "CN": "reg.harbor.com",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

使用这个配置文件生成一个域名证书,这个域名要和docker harbor的域名保持一致

[root@localhost ssl]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes reg.harbor.com-csr.json | cfssljson -bare reg.harbor.com
2020/11/13 20:00:32 [INFO] generate received request
2020/11/13 20:00:32 [INFO] received CSR
2020/11/13 20:00:32 [INFO] generating key: rsa-2048
2020/11/13 20:00:33 [INFO] encoded CSR
2020/11/13 20:00:33 [INFO] signed certificate with serial number 259717222341344224885262503583243473042738884138
2020/11/13 20:00:33 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").

生成好之后会为reg.harbor.com域名颁发两个证书,一个是私钥 reg.harbor.com-key.pem,另外一个是数字证书reg.harbor.com.pem

[root@localhost ssl]# ls
ca-config.json  ca-csr.json  ca.pem    reg.harbor.com.csr       reg.harbor.com-key.pem
ca.csr          ca-key.pem   cfssl.sh  reg.harbor.com-csr.json  reg.harbor.com.pem

 

Harbor启用HTTPS

修改harbor的配置文件harbor.yml

[root@reg harbor]# vim harbor.yml
https:
  port: 443

指定刚刚生成证书的路径 
certificate: /ssl/reg.harbor.com.pem
private_key: /ssl/reg.harbor.com-key.pem

重新生成配置文件 

[root@reg harbor]# ./prepare   重新生成配置文件,将证书写进去

重建容器证书才会生效,down先帮你停止容器然后再删除容器

现在就实现了通过https访问仓库了

 

 将数字证书复制到Docker主机

docker仓库部署好之后,我们需要做的是在其它节点连接自己的仓库,经常会出现“x509 certificate signed by unknown authority.”错误。下面如何解决自建仓库出现x509错误的方法 

[root@localhost ~]# docker login reg.harbor.com
Username: admin
Password: 
Error response from daemon: Get https://reg.harbor.com/v2/: x509: certificate has expired or is not yet valid

要让docker访问的时候携带数字证书,完成正常的http握手,校验

这样要将之前的数字证书拷贝到docker主机,因为校验主要是去证书是否可信任或者有没有过去(由于是自签名证书,默认是不受Docker信任的,故而需要将证书添加到Docker的根证书中,Docker在CentOS 7中,证书存放路径是/etc/docker/certs.d/域名.crt)

192.168.179.99是一台docker主机,即要拉取镜像的主机
[root@reg ssl]# scp  reg.harbor.com.pem root@192.168.179.99:~

在docker主机上执行

[root@localhost reg.harbor.com]# mkdir /etc/docker/certs.d/reg.harbor.com -p
[root@localhost ~]# ls
anaconda-ks.cfg  reg.harbor.com.pem
[root@localhost ~]# cp reg.harbor.com.pem /etc/docker/certs.d/reg.harbor.com/reg.harbor.com.crt


[root@localhost ~]# docker login reg.harbor.com
Username: admin
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

 

脚本实现

cfssl工具脚本 

[root@localhost ssl]# cat cfssl.sh 
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl*
mv cfssl_linux-amd64 /usr/bin/cfssl
mv cfssljson_linux-amd64 /usr/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

 生成证书脚本

[root@localhost ssl]# cat certs.sh 
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

cat > reg.harbor.com-csr.json <<EOF
{
  "CN": "reg.harbor.com",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes reg.harbor.com-csr.json | cfssljson -bare reg.harbor.com

 

富士康质检员张全蛋
关注
专栏目录
Harbor私有镜像仓库部署
03-15
解压得到部署harbor私有镜像仓库所需的docker-ce、docker-compose、harbor包。 1.环境准备 可使用已下载好的包,也可自行下载。 2.安装docker 部署docker,安装后需进行重启,使docker接管iptables规则 3.配置镜像...
Harbor私有仓库搭建并配置https对接docker与kubernetes
qq_21475569的博客
03-01 2080
Harbor私有仓库搭建并配置https对接docker与kubernetes
Docker安装Harbor镜像仓库+HTTPS配置+API2.0操作
lc2288的博客
06-20 2721
Docker安装Harbor镜像仓库+HTTPS配置+API2.0操作
Harbor系列之3:使用docker环境安装Harbor仓库-https部署
最新发布
lldhsds的专栏
07-24 1332
Harbor 是一个开源的云原生镜像仓库,用于存储和分发容器镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有 Registry 服务器,Harbor 提供了更好的性能和安全。本文记录使用docker环境安装部署Harbor仓库,使用https协议,采用自签名证书。本文时间部署Harbor v2.11.0版本,采用离线部署安装包。
Harbor启用HttpsDocker配置
z2011415107的博客
02-19 930
一、部署Harbor Harbor地址:https://github.com/goharbor/harbor/releases,下载所需的Harbor版本,目前以1.2.0版本为例。 1.1 下载Harbor 解压:tar -xvf harbor-offline-installer-v1.2.0-rc1.tgz 目录结构为: 1.2修改Harbor配置 (1)修改harbor.cfg,修改ui_url_protocol为httpsssl_cert和ssl_cert_key分别为证书和私钥
docker实现https推送镜像harbor仓库
qq_42550285的博客
09-09 975
闲言少述,直接上操作步骤。 步骤一:SSL证书 生成自签名SSL证书,生成方法参考: https://mp.csdn.net/mp_blog/creation/editor/120197539; 步骤二:harbor配置 2.1. 编辑harbor.yml开启并配置SSL证书,命令参考如下: ``` vim harbor.yml ``` 2.2. 去除以下4行前面的注释,并注意缩进 https: port: 443 certificate: /path/ssl/harbor.crt ...
架构师系列-Docker(六)-镜像仓库Harbor支持Https(扩展)
dengwei_dw的专栏
04-27 254
前面说了怎么搭建harbor仓库,这里讲一讲harbor实现https访问,因为只需要内网访问,没必要去申请一个ssl证书,所以我就用。在生产环境中,您应该从CA获得证书,在测试或开发环境中,您可以生成自己的CA,要生成CA证书,请运行以下命令。为了让本机能够正常访问到harbor的web环境需要配置本地的hosts文件增加如下配置。因为我们的证书是自签的,不是第三方认证的,素以有安全性提示,点击继续就可以访问。通过域名访问harbor,域名就是我们刚才配置的。颁发自签名证书,实现https访问。
Gitllab+Jenkins+Docker+Harbor 自动化部署流程
01-11
在自动化部署流程中,Harbor 负责存储和管理 Docker 镜像,并提供了一个安全的环境来部署应用程序。 五、 自动化部署流程 自动化部署流程的主要步骤包括: 1. 代码提交:开发者将代码提交到 Gitllab 服务器上。 2...
arm64下镜像仓库harbor安装部署文件
10-30
centos arm64下,镜像仓库harbor安装部署文件,压缩包内附安装说明文档,根据说明文档进行部署即可。
Docker搭建私有仓库Harbor的步骤
01-09
 Harbor是构建企业级私有docker镜像仓库的开源解决方案,它是Docker Registry的更高级封装, 它除了提供友好的Web UI界面,角色和用户权限管理,用户操作审计等功能外,它还整合了K8s的插件(Add-ons)仓库,即Helm...
docker-harbor镜像部署到k8s集群-node部署时需harbor认证
06-29
在Deployment部分,我们定义了一个名为`webs`的Deployment,该Deployment包括两个副本(replicas),每个副本都运行一个tomcat容器,该容器从docker-harbor镜像仓库中拉取镜像。 在Service部分,我们定义了一个名为...
Docker仓库Harbor搭建并设置HTTPS
回不去的编程之路lgz
03-01 1709
这里采用离线安装的方式,安装需要有root权限。 一、下载harbor 下载地址:http://harbor.orientsoft.cn/ harbor-offline-installer-v1.5.0.tgz 09-May-2018 03:22 823M 二、解压harbor tar zxvf harbor-offline-installer-v1.5.0.tgz cd harbor...
Harbor login 一直提示失败的一个原因,重启docker 证书文件清空
隔壁老瓦的专栏
01-03 3097
查看/etc/docker/certs.d目录下证书是否存在 重新生成: openssl genrsa -out ca.key 4096 openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=TW/ST=Taipei/L=Taipei/O=example/OU=Personal/CN=harbor.test.com...
Maven配置阿里云仓库镜像(现在改成https协议了)
a2352159950的博客
08-17 2780
网上博客的阿里云仓库镜像url都是老版本的,现在阿里云使用https协议,url也发生了一些变化,这里记录一下
私有镜像仓库Harbor设置https、http访问
weixin_30787531的博客
07-12 778
Harbor自签名证书以https方式访问UI界面 说明 前文Centos7搭建Harbor私有仓库(一)中成功搭建了Harbor,但,是以http方式搭建的,这里我们修改为https方式及配置Docker以http方式访问私有仓库 生成自签名证书 这里我们使用https://github.com/Fishdrowned/ssl提供的shell脚本生成ssl证书,在命令行中输入以...
企业级-纯内网构建HarborHTTPS认证)
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
09-16 1387
集群内部构建一套Kubernetes集群,纯内网没有公网环境,无法拉取镜像,不是很方便 前期做法,本地拉去镜像,保存,上传内网,加载。这个是针对每台机器的步骤。 步骤比较繁琐,和机械化。 所以准备在内部构建harbor,走域名绑定。docker加载配置,后期可以正常使用。 1、环境 Docker version 20.10.7 docker-compose version 1.29.2 harbor-offline-installer-v2.3.1.tgz 内网安装,我选择离线版本的 Re
Docker Harbor 安装与https配置
cxzchen的博客
08-26 1012
Docker Harbor 安装与https配置 docker harbor安装https配置 文章目录Docker Harbor 安装与https配置前言一、Docker H是什么?二、使用步骤1.安装docker2.安装Docker Compose3.安装Docker Harbor3.配置https总结 前言 私有的镜像仓库搭建,docker harbor有可视化界面,对接不用重启docker 提示:以下是本篇文章正文内容,下面案例可供参考 一、Docker H是什么? Harbor是一个用于存储
部署docker harbor(http/https)的使用及错误总结
wtf1213800的博客
03-08 1627
修改为你的域名的话 除了你的虚拟机/etc/hosts里面要加一条你的域名之外 你想Windows访问的话也需要增加这个域名 不然Windows只能满世界找你的域名网页在哪,你想Windows增加域名的话就在C:\Windows\System32\drivers\etc 这个路径下的hosts文件修改 因为没权限不能直接修改 你就把这个文件拉到桌面然后修改了之后拉上去,-newkey -newkey是与-key互斥的,-newkey是指在生成证书请求或者自签名证书的时候自动生成密钥,
Harbor私有仓库部署与配置-https
lldhsds的专栏
06-27 1233
Harbor 是一个开源的云原生镜像仓库,用于存储和分发容器镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有 Registry 服务器,Harbor 提供了更好的性能和安全。本文用https+自签名证书部署
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值