运维实操——docker容器(四)搭建远程容器仓库harbor、漏洞扫描和内容信任

最新推荐文章于 2024-03-29 10:45:11 发布
最新推荐文章于 2024-03-29 10:45:11 发布
阅读量398 收藏 1
点赞数
分类专栏: # docker 文章标签: docker harbor 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40764171/article/details/118996177
版权

搭建远程容器仓库harbor、漏洞扫描和内容信任

1、harbor简介

(1)虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。
(2)Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。
(3)它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制, AD/LDAP 集成,日志审核等功能。
harbor的主要功能:基于角色的访问控制、基于镜像的复制策略、图形化用户界面、支持 AD/LDAP、镜像删除和垃圾回收、审计管理、RESTful API、部署简单。

harbor的整体架构如下
在这里插入图片描述

2、harbor的安装

提供在线和离线两种安装工具,本文使用离线安装,需要先安装好docker,并能上网。还需要准备有docker-compose-Linux-x86_64-1.27.0和harbor-offline-installer-v1.10.1.tgz。
docker-compose用来管理多个容器,形成一个完整独立的服务。
首先安装docker-compose:

[root@server1 ~]# ll
total 671560
-rwxr-xr-x 1 root root   1378816 Jul 21 21:18 busybox.tar
-rwxr-xr-x 1 root root  12215880 Jul 21 21:16 docker-compose-Linux-x86_64-1.27.0
-rwxr-xr-x 1 root root 674078519 Jul 21 21:17 harbor-offline-installer-v1.10.1.tgz
[root@server1 ~]# mv docker-compose-Linux-x86_64-1.27.0 /usr/local/bin/ %因为docker-compose安装包是二进制文件,所以放到/usr/local/bin
[root@server1 ~]# cd /usr/local/bin/
[root@server1 bin]# ls
docker-compose-Linux-x86_64-1.27.0
[root@server1 bin]# mv docker-compose-Linux-x86_64-1.27.0 docker-compose 	%改名
[root@server1 bin]# ls
docker-compose
[root@server1 bin]# chmod +x docker-compose 								%赋予执行权限
[root@server1 bin]# docker-compose -v										%查看版本号
docker-compose version 1.27.0, build 980ec85b

在这里插入图片描述
安装harbor:

[root@server1 ~]# tar zxf harbor-offline-installer-v1.10.1.tgz -C /usr/local/	%解压tar包
[root@server1 ~]# cd /usr/local/harbor/
[root@server1 harbor]# ls
common.sh  harbor.v1.10.1.tar.gz  harbor.yml  install.sh  LICENSE  prepare
[root@server1 harbor]# vim harbor.yml 				%修改配置文件
hostname: reg.westos.org
certificate: /data/certs/westos.org.crt			%证书和密钥路径要对
private_key: /data/certs/westos.org.key
harbor_admin_password: westos
[root@server1 harbor]# mv /root/certs/ /data/		%把之前的证书放到data路径下
[root@server1 harbor]# cd /data/
[root@server1 data]# ls
certs
[root@server1 data]# cd /usr/local/harbor/
[root@server1 harbor]# ./install.sh				%执行安装脚本(时间较长耐心等待)

在这里插入图片描述

安装成功
在这里插入图片描述

开启docker-compose
在这里插入图片描述

查看开启状态
在这里插入图片描述

可以查看日志
在这里插入图片描述
然后在真机/etc/hosts加上该主机域名解析,reg.westos.org
在浏览器输入reg.westos.org访问出现如下界面,
因为我们是自签名证书,没有经过可信第三方,所以会显示不安全的连接,我们手动信任即可,点击advanced
在这里插入图片描述

confirm
在这里插入图片描述

访问到了,输入账户admin和设定的密码westos
在这里插入图片描述
成功进入harbor,可以设置中文
在这里插入图片描述

[root@server1 reg.westos.org]# docker login reg.westos.org		%登陆reg.westos.org
Username: admin
Password: westos
Login Succeeded
[root@server1 harbor]# docker tag nginx:latest reg.westos.org/library/nginx:latest		%修改标签到reg.westos.org下
[root@server1 harbor]# docker push reg.westos.org/library/nginx:latest	%%上传镜像
		%注意本机也要加入域名解析reg.westos.org,否则无法识别。

在这里插入图片描述

看网页,library中多了一个nginx镜像,上传成功
在这里插入图片描述

添加默认仓库路径

[root@server1 harbor]# cd /etc/docker/
[root@server1 docker]# ls
certs.d  key.json
[root@server1 docker]# vim daemon.json
[root@server1 docker]# systemctl reload docker.service 
[root@server1 docker]# cat daemon.json 
{
  "registry-mirrors": ["https://reg.westos.org"]
}
[root@server1 docker]# docker info		%如果出现warning,下面解决
[root@server1 docker]# cd /etc/sysctl.d/
[root@server1 sysctl.d]# ls
99-sysctl.conf
[root@server1 sysctl.d]# vim docker.conf		%内容如下

[root@server1 sysctl.d]# sysctl --system

在这里插入图片描述

server2进行同样操作并测试,将daemon.json传给server2

[root@server1 docker]# scp daemon.json server2:/etc/docker/

在这里插入图片描述

拉取ngnix
在这里插入图片描述

网页可以查看下载和上传日志
在这里插入图片描述

删除后还可以run 拉取仓库的nginx
接下来,对项目进行管理,首先web添加项目westos
在这里插入图片描述

添加用户
在这里插入图片描述

在这里插入图片描述

添加用户到项目成员
在这里插入图片描述

添加镜像到westos项目中
在这里插入图片描述

网页查看已经加入了
在这里插入图片描述

server2中测试拉取:
在这里插入图片描述

web界面查看日志
在这里插入图片描述

3、漏洞扫描

[root@server1 harbor]# docker logout reg.westos.org			%登出
[root@server1 harbor]# docker-compose down					%关闭并清理
[root@server1 harbor]# ./prepare							%清理缓存
[root@server1 harbor]# ./install.sh --with-notary --with-clair --with-chartmuseum	%安装时添加扫描,签名等功能

在这里插入图片描述

[root@server1 ~]# docker login reg.westos.org			%登陆
[root@server1 ~]# docker load  -i busybox.tar 			%加载
[root@server1 ~]# docker tag busybox:latest reg.westos.org/library/busybox:latest	%改名到reg.westos.org/library/分类中
[root@server1 ~]# docker push reg.westos.org/library/busybox		%上传

进入页面,查看显示未扫描
在这里插入图片描述

可以手动扫描
在这里插入图片描述

扫描结束,显示没有漏洞
在这里插入图片描述

或者,我们也可以使用自动扫描,并保存,之后新添加的镜像就可以自动扫描
在这里插入图片描述

4、内容信任

mkdir -p /root/.docker/tls/reg.westos.org:4443				%创建根证书目录
cp /certs/westos.org.crt  /root/.docker/tls/reg.westos.org\:4443/ca.crt		%复制证书到根证书目录

启用docker内容信任
在这里插入图片描述

并在web中开启内容信任并保存
在这里插入图片描述

之前上传的镜像是未签名,远程无法下载未签名的镜像
在这里插入图片描述

之后上传内容信任的镜像,在web界面显示已签名

docker push reg.westos.org/library/nginx:latest
...
Enter passphrase for root key with ID e42f679: 				
Enter passphrase for new repository key with ID 383f503:
%第一次要输入 root key和repository key
%之后只需要输入repository key

关闭内容信任时export DOCKER_CONTENT_TRUST=0,在web页面也取消内容信任勾选并保存

谁主沉浮lyb
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
企业运维----Docker-搭建harbor远程仓库
weixin_56892849的博客
07-21 300
准备docker-compose compose链接:https://pan.baidu.com/s/1Yfa2bY9SpjwSFPz6YZ4mUQ#list/path=%2F 提取码:y7c6 mv docker-compose /usr/local/bin/ chmod +x docker-compose 检查docker-compose是否安装成功 [root@server2 bin]# docker-compose --version docker-compose version 1.21
Harbor仓库的安装及应用(远程终端登录、镜像漏洞扫描信任认证)
weixin_45792518的博客
06-19 1138
1.Harbor简介 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,可以用来构建企业内部的Docker镜像仓库,可帮助用户迅速搭建企业级的Registry服务。 它提供了管理图形界面,基于角色的访问控制(Role Based Access Control),镜像远程复制(同步),AD/LDAP集成、以及审计日志等企业用户需求的功能。同时还原生支持中文 图形化用户界面: 用户可以通过浏览器来浏览,检索当前Docker镜像仓库,管理项目和命名空间。 基于角色的访问控制: 用户与
内容信任带入docker compose的世界
weixin_26717681的博客
08-15 355
A central question in application security is: how do we ensure that our Docker containers actually run the code that we intend to run? At SSE, we noticed that this question does not always have a sim...
harbor api v2.0
最新发布
一曲终了人未还的博客
03-29 447
harbor api v2.0
云计算课程第四次验-搭建harbor仓库
qq_53336526的博客
04-02 677
Harbor是由VMware公司开源的企业级的Docker Registry管理项目,Harbor主要提供Dcoker Registry管理UI,提供的功能包括:基于角色访问的控制权限管理(RBAC)、AD/LDAP集成、日志审核、管理界面、自我注册、镜像复制和中文支持等。Harbor的目标是帮助用户迅速搭建一个企业级的Docker registry服务。它以Docker公司开源的registry为基础,额外提供了如下功能:1)基于角色的访问控制(Role Based Access Control)
harbor api 2.0查询
qq_43753286的博客
06-24 2330
harbor找镜像创建库用api就可以很方便的找到自己想要的镜像如果想要找出集体的镜像和库名创建库获取tag
linux运维笔记:docker容器入门知识.docx
10-14
linux运维笔记:docker容器入门知识
容器运维战:Docker与Kubernetes集群.pdf
06-06
容器运维战:Docker与Kubernetes集群
容器运维Docker与Kubernetes集群.pdf
05-29
容器运维Docker与Kubernetes集群
基于容器的自动构建——Docker在美团的应用
01-30
每当开发人员提交代码到仓库后,系统会自动根据开发人员定制的构建配置,启动新的Docker容器,在其中对源代码进行构建(build),包括编译(如Java、C++和Go)、预处理(如JavaScript和CSS)、压缩(如图片)等作...
prometheus监控docker容器详细资料—超详细,超全面(带文档和相关软件包)
06-04
prometheus监控docker容器详细资料,带文档和相关软件包,超级详细
docker-images:Dreamcat4的Docker映像(受信任的版本)
05-07
Dreamcat4的Docker映像(受信任的版本)
DockerHarbor部署、漏洞扫描内容信任
sl963216757的博客
06-28 1296
一、Harbor简介 虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。 Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。 它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制, AD/LDAP 集成,日志审核等功能,完全的支持中文。 二、Harbor 的主要
docker desktop(Windows)使用docker login远程登录Harbor私有镜像仓库解决自动访问https报错问题
热门推荐
分享技术,传播知识!
11-29 1万+
docker desktop(Windows)使用docker login远程登录Harbor私有镜像仓库解决自动访问https报错问题0、环境说明1、遇到的问题2、问题解决方法-网上查阅的3、正确的解决方法4、重新执行docker login,并push本地镜像至远程harbor仓库 0、环境说明 harbor私有镜像仓库部署在华为云ECS上 本机电脑环境是windows10 + docker desktop + IDEA(spring boot + spring cloud项目) 需要把Java项目
使用docker login 远程登录harbor
m0_67401920的博客
08-27 3378
3、转换docker.harbor.com.crt为docker.harbor.com.cert,供Docker使用。mkdir -p /etc/docker/certs.d/docker.harbor.com #新建证书存放目录。4、将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。cd /etc/docker/certs.d/docker.harbor.com #将证书上传到此目录。10.0.0.3 docker.harbor.com #增加一行域名解析。...
访问harbor v2.2.2 api
eif88的博客
06-15 774
健康检查 curl -u "admin:Harbor12345" -X GET -H "Content-Type: application/json" "http://192.168.56.104/api/v2.0/health" 搜索镜像 curl -u "admin:Harbor12345" -X GET -H "Content-Type: application/json" "http://192.168.56.104/api/v2.0/search?q=hi" ...
docker安装、打包镜像、上传到docker远程仓库
托马斯的博客
12-17 3720
先决条件: 在linux下现安装好docker环境 1.在centOS下部署一个简单的flask项目文件start.py,如下: 项目目录:/home/www/test from flask import Flask app = Flask(__name__) @app.route('/') def test(): return 'This is Flask!' if __name__ == '__main__': app.run(host='0.0.0.0', port=8080)
本地docker访问远程私有harbor镜像库
黑糖的博客
07-03 485
本地docker访问远程私有harbor镜像库 创建daemon.json vi /etc/docker/daemon.json #https://registry.inspurcloud.com为远程harbor域名 { “registry-mirrors”: [“https://registry.inspurcloud.com”], “insecure-registries”: [“regis...
如何使用docker容器搭建socket服务器
05-26
使用Docker容器搭建socket服务器可以方便地进行部署和管理。下面是一个简单的步骤: 1.编写Dockerfile文件 首先需要编写一个Dockerfile文件,指定要使用的镜像、安装必要的软件和配置环境变量等,例如: ``` FROM...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值