Harbor镜像仓库使用SSL双向认证设置

已于 2024-08-13 08:23:02 修改
阅读量394 收藏 8
点赞数 5
文章标签: 容器
于 2024-08-09 14:16:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38303225/article/details/141060933
版权

Harbor镜像仓库使用SSL双向认证设置

环境信息

名称版本信息
操作系统Kylin V10
Harbor2.7.0
Nginx1.21.5
Docker20.10.8
Continerd1.6.14

备注:文档中 reg.mydomain.com 替换为实际使用的域名或IP

1. 证书

1.1 证书生成

(1)使用 https://github.com/hurricane1988/cert-generator.git 进行证书生成

(2)或使用 openssl 命令生成

# 1 生成CA证书

# 生成CA私钥
openssl genrsa -out ca.key 2048
# 生成CA证书
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=Personal/OU=Personal/CN=Registry CA"



# 2 创建v3.ext文件

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=reg.mydomain.com
EOF



# 3 生成服务端证书

# 生成服务端私钥
openssl genrsa -out server.key 2048
# 生成服务端CSR(证书签名请求)
openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=Personal/OU=Personal/CN=reg.mydomain.com"
# 使用CA证书签名生成服务端证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -extfile v3.ext




# 4 生成客户端证书

# 生成客户端私钥
openssl genrsa -out client.key 2048
# 生成客户端CSR
openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=Personal/OU=Personal/CN=Registry client"
# 使用CA证书签名生成客户端证书
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365
# 生成cert格式客户端证书
openssl x509 -inform PEM -in client.crt -out client.cert

1.2 证书上传

根证书(ca.crt)和服务端证书(server.cert、server.key)上传至Nginx服务器和Harbor服务器使用

根证书(ca.crt)和客户端证书(client.cert、client.key)上传至容器环境服务器使用

2. Harbor镜像仓库设置

双向认证方案:使用 Nginx 代理 Harbor镜像仓库,Nginx开启双向认证

2.1 Nginx配置

2.1.1 安装Nginx

参照官网:https://nginx.org/

2.1.2 Nginx配置

增加代理Harbor配置,Harbor地址为 127.0.0.1:8443 (Nginx和Harbor部署在一台服务器)

vim /etc/nginx/conf.d/harbor.conf

  upstream harbor {
    server 127.0.0.1:8443;
  }

  server {
    listen 443 ssl;
    server_name reg.mydomain.com;
    server_tokens off;
    # SSL
    ssl_certificate /data/ca/server.crt;
    ssl_certificate_key /data/ca/server.key;

    ssl_client_certificate /data/ca/ca.crt;
    ssl_verify_client on;

    # Recommendations from https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html
    ssl_protocols TLSv1.2;
    ssl_ciphers '!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:';
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;

    # disable any limits to avoid HTTP 413 for large image uploads
    client_max_body_size 0;

    # required to avoid HTTP 411: see Issue #1486 (https://github.com/docker/docker/issues/1486)
    chunked_transfer_encoding on;

    # Add extra headers
    add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";
    add_header X-Frame-Options DENY;
    add_header Content-Security-Policy "frame-ancestors 'none'";

    location / {
      proxy_pass https://harbor/;
      proxy_set_header Host $http_host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      #proxy_set_header X-Forwarded-Proto $x_forwarded_proto;

      proxy_cookie_path / "/; HttpOnly; Secure";

      proxy_buffering off;
      proxy_request_buffering off;
    }
  }

Nginx配置生效

nginx -t
nginx -s reload

2.2 Harbor配置

2.2.1 安装Harbor

参照官网 https://goharbor.io

2.2.2 Harbor配置

编辑 Harbor 配置文件 vim harbor/harbor.yml,关闭http连接,配置https连接中证书信息,修改https端口号为8443,和nginx代理地址端口保持一致,使Harbor配置生效重启服务

3. 容器环境拉取和推送镜像证书认证设置

3.1 Docker配置

存放证书

/etc/docker/certs.d/reg.mydomain.com/ca.crt
/etc/docker/certs.d/reg.mydomain.com/client.cert
/etc/docker/certs.d/reg.mydomain.com/client.key

重启Doceker服务

systemctl restart docker

3.2 Containerd配置

ctr存放证书(Kubernetes默认使用)

vim /etc/containerd/config.toml

      [plugins."io.containerd.grpc.v1.cri".registry.configs]
        [plugins."io.containerd.grpc.v1.cri".registry.configs."reg.mydomain.com".tls]
          ca_file = "/etc/containerd/certs.d/reg.mydomain.com/ca.crt"
          cert_file = "/etc/containerd/certs.d/reg.mydomain.com/client.cert"
          key_file = "/etc/containerd/certs.d/reg.mydomain.com/client.key"

crictl和nerdctl存放证书

/etc/containerd/certs.d/reg.mydomain.com/ca.crt
/etc/containerd/certs.d/reg.mydomain.com/client.cert
/etc/containerd/certs.d/reg.mydomain.com/client.key

重启Containerd服务

systemctl restart containerd
Carefree_666
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Harbor镜像仓库安装包v2.10.0版本(harbor-offline-installer-v2.10.0.tgz)
01-29
harbor镜像离线安装包最新版本下载包 用于安装harbor镜像仓库 下载后解压会得到harbor镜像仓库安装所需的所有文件 ...结合gitalbCICD自动化集成部署使用harbor镜像仓库存储生成的镜像版本,更好的维护项目镜像
harbor镜像仓库维护手册
02-11
Harbor 镜像仓库维护手册 Harbor 镜像仓库是基于 Docker 的...Harbor 镜像仓库维护手册提供了 Harbor 的启动、停止、日志查看、Swagger API 配置、清理等操作的详细介绍,旨在帮助用户更好地使用 Harbor 镜像仓库
Harbor私有镜像仓库部署包
03-15
4.搭建harbor仓库 修改harbor.cfg配置文件中的域名以及https协议,签发https协议所需ssl证书。 使用docker-compose命令启动harbor镜像仓库容器 5.本地windows浏览器访问配置 白屏创建项目空间,客户端docker push...
搭建Harbor镜像仓库:从安装到上传镜像
01-05
搭建Harbor镜像仓库:从安装到上传镜像 Harbor是一个开源的容器镜像仓库系统,由VMware开发。它提供了一个安全、可靠、可扩展的镜像仓库解决方案,支持 Docker 镜像的存储和管理。本文将指导您从安装 Harbor 到上传...
如何使用Harbor私有镜像仓库.zip
05-28
本视频详细总结了如何使用Harbor私有镜像仓库,视频教程:https://www.bilibili.com/video/BV1ss4y1T7gB?p=1
ConfigMap-secrets-静态pod
weixin_46466657的博客
07-14 5313
ConfigMap资源,简称CM资源,它生成的键值对数据,存储在ETCD数据库中应用场景:主要是对应用程序的配置pod通过env变量引入ConfigMap,或者通过数据卷挂载volume的方式引入ConfigMap资源官方解释:configMap 卷提供了向 Pod 注入配置数据的方法。ConfigMap 对象中存储的数据可以被 configMap 类型的卷引用,然后被 Pod 中运行的容器化应用使用。引用 configMap 对象时,你可以在卷中通过它的名称来引用。
城市生命线智慧管廊解决方案.pptx
08-13
城市生命线智慧管廊解决方案.pptx
智慧园区综合管理平台系统解决方案-2.pptx
08-13
智慧园区综合管理平台系统解决方案-2.pptx
财务收支管理系统-出纳账.xlsm
08-13
工资表,财务报表,对账表,付款申请,财务报告,费用支出表,财务收支 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
Python3.0-3.3安装包合集
08-13
Python3.0-3.3安装包合集
机器人学中的状态估计+视觉slam14讲+自动驾驶与机器人中的slam技术
08-13
机器人学中的状态估计+视觉slam14讲+自动驾驶与机器人中的slam技术
软件设计师2022年上半年上午试卷+答案.docx
08-13
软件设计师2022年上半年上午试卷+答案.docx
HW智慧数据中心解决方案.pptx
08-13
HW智慧数据中心解决方案.pptx
Python3.6.4-3.6.8
08-13
Python3.6.4-3.6.8
(STEP)直流电机换相器组装设备_机械3D图可修改打包下载.zip
08-13
(STEP)直流电机换相器组装设备_机械3D图可修改打包下载.zip
财务收支管理系统-功能查询.xlsx
08-13
工资表,财务报表,对账表,付款申请,财务报告,费用支出表,财务收支 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
最新发布
08-13
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您的求职意
基于C#实现的简易信用卡管理系统+源代码+文档说明+界面演示(高分期末大作业)
08-13
<项目介绍> 基于C#实现的简易信用卡管理系统+源代码+文档说明+界面演示(高分期末大作业) - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
阳光酒店管理系统(javaapplet+SQL)130425.rar
08-13
阳光酒店管理系统(javaapplet+SQL)130425
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Carefree_666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值