Linux下私有仓库harbor的搭建部署之https的方式访问Web Ui(二)(docker版本:18.06.1-ce)

最新推荐文章于 2024-04-25 14:52:41 发布
最新推荐文章于 2024-04-25 14:52:41 发布
阅读量336 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42303254/article/details/88737607
版权

续我的上篇博文:https://mp.csdn.net/postedit/88723940

 

 

部署 SSL 认证(使用https的方式访问Web Ui)

 

配置服务端(server1):

 

1、概念理解

 

1、签名证书与自签名证书

  • 签名证书:由权威颁发机构颁发给服务器或者个人用于证明自己身份的东西
  • 自签名证书:由服务器自己颁发给自己,用于证明自己身份的东西,非权威颁发机构发布

2、openssl
openssl 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用

3、KEY与CSR的区别

  • Key通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER。证书自身拥有一个密钥对(即一个公钥和一个私钥),由公钥(Public Key)与私钥(Private Key)是通过一种算法得到,公钥是密钥对中公开的部分,私钥则是非公开的部分。一般公钥和密钥的关系为:1,公钥和私钥成对出现、2,公开的密钥叫公钥,只有自己知道的叫私钥、3,用公钥加密的数据只有对应的私钥可以解密、4,用私钥加密的数据只有对应的公钥可以解密、5,如果可以用公钥解密,则必然是对应的私钥加的密、6,如果可以用私钥解密,则必然是对应的公钥加的密。
  • CSR文件必须在申请和购买SSL证书之前创建。也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书 申请 者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书

 

2 、下载并安装docker-compose (上篇博文已经做过)

 

3、下载并安装harbor(这里下载在线安装包)——上篇博文已经做过

 

4、修改 Harbor 的配置文件 hardor.cfg——>上篇博文已经修改过hostname。

 

[root@server1 harbor]# pwd
/root/harbor
[root@server1 harbor]# vim harbor.cfg
9 ui_url_protocol = https   #修改成https

#查看认证文件的路径
24 ssl_cert = /data/cert/server.crt
25 ssl_cert_key = /data/cert/server.key

 

5、创建根证书

 

<1> 创建证书存放目录

[root@server1 harbor]# mkdir /data/cert   #harbor.cfg文件中指定的目录
[root@server1 harbor]# cd /data/cert

 

<2>创建根证书私钥(不使用第三方权威机构的CA来认证,自己充当CA的角色)

[root@server1 cert]# openssl genrsa -out ca.key 2048   #生成根证书私钥(无加密),必须在cert目录中操作
Generating RSA private key, 2048 bit long modulus
.......................................+++
..............+++
e is 65537 (0x10001)
[root@server1 cert]# ls
ca.key

 

<3>生成自签名证书(使用已有私钥ca.key自行签发根证书)

[root@server1 cert]# openssl req -x509 -new -nodes -key ca.key -days 10000 -out ca.crt -subj "/CN=Harbor-ca"   #必须在cert目录中操作
[root@server1 cert]# ls
ca.crt  ca.key

 

6、创建服务器端证书并签发服务器证书

 

<1>创建服务器端证书

[root@server1 cert]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout server.key -out server.csr   #一路回车。必须在cert目录中操作

#注意如果是域名,比如chen.org,那么需要写入chen.org
Common Name (eg, your name or your server's hostname) []:chen.org

 

 

<2>签发服务器证书

[root@server1 cert]# echo subjectAltName = IP:172.25.83.1 > extfile.cnf  #必须在cert目录中操作。如果是域名,比如chen.org,那么这步是不需要的。
[root@server1 cert]# ls
ca.crt  ca.key  extfile.cnf  server.csr  server.key
[root@server1 cert]# openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 -extfile extfile.cnf -out server.crt   #必须在cert目录中操作。如果是域名,比如chen.org,那么这步中把参数-extfile extfile.cnf去掉即可
Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd
Getting CA Private Key
[root@server1 cert]# ls
ca.crt  ca.key  ca.srl  extfile.cnf  server.crt  server.csr  server.key

#参数解释
x509:签发X.509格式证书命令。
-req:表示证书输入请求。
-in filename:表示输入文件,这里为server.csr
-out filename:表示输出文件,这里为server.crt
-days:表示有效天数
-extensions 表示按OpenSSL配置文件v3_req项添加扩展。
-CA certname:表示CA证书,这里为ca.crt
-CAkey keyname:表示CA证书密钥,这里为ca.key
-CAcreateserial:表示创建CA证书序列号
-extfile filename:指定文件

 

7、设置 docker 证书

 

<1>创建目录

# 如果如下目录不存在,请创建。

mkdir -p /etc/docker/certs.d/172.25.83.1

#如果是域名,比如chen.org,请创建下面的目录

# mkdir -p /etc/docker/certs.d/chen.org

# 如果端口为443,则不需要指定。如果为自定义端口,请指定端口

# /etc/docker/certs.d/yourdomain.com:port

 

[root@server1 cert]# mkdir -p /etc/docker/certs.d/172.25.83.1

 

<2>将 ca 根证书和服务器证书依次复制到上述创建的目录中

cp ca.crt /etc/docker/certs.d/172.25.83.1      #如果是域名,比如chen.org。cp ca.crt /etc/docker/certs.d/chen.org
cp server.crt /etc/docker/certs.d/172.25.83.1   #如果是域名,比如chen.org。cp server.crt /etc/docker/certs.d/chen.org

 

[root@server1 cert]# pwd
/data/cert
[root@server1 cert]# cp ca.crt /etc/docker/certs.d/172.25.83.1/
[root@server1 cert]# cp server.crt /etc/docker/certs.d/172.25.83.1/

 

8、确保80端口和443端口没有容器或服务在占用(因为启动harbor时所产生的服务要占用80端口和443端口)——上篇博文已经做过

 

 

9、重启 docker 和 启动 Harbor

 

[root@server1 cert]# systemctl restart docker
[root@server1 cert]# cd /root/harbor/
[root@server1 harbor]# ./install.sh

 

10、web界面查看

启动完成后,我们访问刚设置的 hostname 即可 https://172.25.83.1/,默认是443端口,如果端口占用,我们可以去修改docker-compose.yml文件中,对应服务的端口映射

点击Advanced

点击Add Exception

点击Confirm Security Exception

我们可以点击,右上角的English,将字体调整为中文

默认用户名和密码是:admin/Harbor12345

其中my_harbor是上篇博文添加的私有项目

 

11、修改文件/usr/lib/systemd/system/docker.service,并重启docker服务(将之前增加的--insecure-registry=172.25.83.1删除)

 

[root@server1 harbor]# vim /usr/lib/systemd/system/docker.service
12 ExecStart=/usr/bin/dockerd 
[root@server1 harbor]# systemctl daemon-reload 
[root@server1 harbor]# systemctl restart docker

 

12、后台登录——>上篇博文登录过,所以/root/.docker/config.json文件中有记录,所以这里不用再次登录。

 

 

 

13、上传镜像172.25.83.1/my_harbor/rhel7:nginx3

 

[root@server1 ~]# docker tag rhel7:nginx3 172.25.83.1/my_harbor/rhel7:nginx3
[root@server1 .docker]# docker push 172.25.83.1/my_harbor/rhel7:nginx3
The push refers to repository [172.25.83.1/my_harbor/rhel7]
a58cd834c342: Pushed   #显示Pushed表示上传成功
18af9eb19b5f: Pushed 
nginx3: digest: sha256:cd2d6a5c6e56c4d021dc9343118ca8aa7f80c2bbfdc0bddc0cb414ef529e8918 size: 739

 

push镜像成功之后,然后在web界面上查看镜像是否存在

可以看到之前上传的镜像,表示配置成功。

 

web界面看到的内容,也就是之前上传的镜像(172.25.83.1/my_harbor/rhel7:nginx3)。该内容和/data/registry(/data目录在harbor.cfg文件中指定过)的内容是同步的。也就是说,如果将/data/registry目录下的内容删除,web界面也就看不到相应的内容了,同时pull会失败。

 

注:其他服务器如果需要访问 Harbor 仓库,把 /etc/docker/certs.d/192.168.80.42 文件夹复制到该主机的相同位置即可

 

客户端测试(物理机):

 

在下载之前,

我们需要先获取harbor仓库类的镜像:

以及获取某个镜像的标签列表:

 

 

<1>修改文件/usr/lib/systemd/system/docker.service,并重启docker服务(将之前增加的--insecure-registry=172.25.83.1删除)

[root@foundation83 ~]# vim /usr/lib/systemd/system/docker.service
12 ExecStart=/usr/bin/dockerd 
[root@foundation83 ~]# systemctl daemon-reload 
[root@foundation83 ~]# systemctl restart docker

 

<2>获取证书

 

[root@foundation83 ~]# mkdir /etc/docker/certs.d/172.25.83.1 -p   #目录的名字必须是这个
[root@server1 172.25.83.1]# scp ca.crt server.crt root@172.25.83.83:/etc/docker/certs.d/172.25.83.1/   #将server1上的ca.crt文件和server.crt文件复制到物理机的/etc/docker/certs.d/172.25.83.1目录下

 

<3>登录172.25.83.1——>上篇博文登录过,所以/root/.docker/config.json文件中有记录,所以这里不用再次登录。

 

 

<4>下载镜像172.25.83.1/my_harbor/rhel7:nginx3

[root@foundation83 ~]# docker pull 172.25.83.1/my_harbor/rhel7:nginx3
nginx3: Pulling from my_harbor/rhel7
48f5bbc9baf5: Already exists 
101320d6419d: Pull complete   #显示Pull complete表示pull成功
Digest: sha256:cd2d6a5c6e56c4d021dc9343118ca8aa7f80c2bbfdc0bddc0cb414ef529e8918
Status: Downloaded newer image for 172.25.83.1/my_harbor/rhel7:nginx3

 

##如果看不惯镜像172.25.83.1/my_harbor/rhel7:nginx3这个名字,可以改名字
[root@foundation83 ~]# docker tag 172.25.83.1/my_harbor/rhel7:nginx3 rhel7:nginx3
[root@foundation83 ~]# docker rmi 172.25.83.1/my_harbor/rhel7:nginx3

 

服务端可以上传镜像,也可以下载镜像(这里不再演示,同客户端的pull);客户端如果登录了,当然可以上传镜像(这里不再演示,同服务端的push),也可以下载镜像。

柒️星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux SVNServer搭建,并支持https访问
usench_10000的博客
02-15 939
1.Subversion安装过程 参考http://blog.csdn.net/zhaiqi618/article/details/5741060 安装包下载地址,SVN版本1.6.12 : http://the.earth.li/pub/subversion/summersoft.fay.ar.us/pub/subversion/latest/1.6.12/rhel5/x86_64/ ...
Linux ——repo下载与使用方法详解
口袋里的跳跳糖
10-21 1万+
在下载Android源码的时候,经常会遇到fatal: Not a git repository 错误,对于这类错误,解决方案就是直接删除相应的目录,然后重新执行repo sync即可。第条配置邮箱,邮箱是不是gu鸽的都行。必须为清单指定一个网址,该网址用于指定 Android 源代码中包含的各个代码库将位于工作目录中的什么位置。将下载的git-repo文件夹中的repo文件复制到bin下,并且修改权限chmod a+x ~/bin/repo;repo sync才是把仓库的东西下下来的指令。
Linux离线安装Harbor镜像仓库
qq_33807380的博客
04-25 1354
Harbor是一个开源的企业级Docker Registry管理项目,由VMware公司开源。它提供了比Docker官方公共镜像仓库更为丰富和安全的功能,尤其适合企业环境使用。Harbor的关键特性包括权限管理(RBAC)、LDAP集成、日志审计、管理界面、自我注册、镜像复制以及漏洞扫描等。Harbor的设计旨在支持多用户环境,允许创建不同的用户和组织,并为他们分配不同的权限,确保了资源的安全隔离和管理的灵活性。
web应用使用https进行访问
xuxiake的博客世界
05-13 2472
背景 在网络安全的大背景下,我们公司终于决定升级官网访问,采用https代替http,本文存在三种部署方案,第一种是spring boot项目使用内带tomcat, 第种是使用nginx部署的项目,第三种使用iis部署的项目。 首先是生成证书,这个可以去各个证书网站购买,本文不讲如何购买,如果我们需要测试的话我们可以在服务器上使用openssl生成一个证书,如果是Windows机器上没有openssl命令,下载安装,百度云下载链接提取码:5kjx,下载后安装自不用说,但是得记住安装路径,安装完了记得配置
自建CA证书,使用docker部署java程序支持https双向认证
qq_37392351的博客
03-10 1133
1、证书准备 1.1 自建证书 win下创建CA证书,请查阅win系统下基于springboot实现https的双向认证的相关内容噢。 Linux下创建CA证书,请查阅Linux系统下基于springboot实现https的双向认证的相关内容噢。 1.2 相关文件 2、docker部署 2.1 环境准备 服务器信息如下: 操作系统 ip 说明 Centos 7 192.168.0.202 作为服务端 浏览器采用chrome。 2.2 操作步骤 2.2.1 Dockerfile文件 1、
linuxHarbor部署及使用
06-30 2400
Harbor是用于存储和分发Docker镜像的镜像仓库服务,Harbor在安全、标识、管理等方面比Registry都要略胜一筹 一、环境介绍: centos7(vmware创建的虚拟机) docker docker-composehttps://github.com/docker/compose/releases/download/1.29.2/docker-compose-Linux-x86_64 harbor 2.0 https://github.com/goharbor/harbor...
docker-harbor2.4.2-https私有仓库-有验证和web-详细笔记和安装包
最新发布
05-29
docker-harbor2.4.2-https私有仓库-有验证和web-详细笔记和安装包
linux环境下docker安装、docker-compose安装、 harbor安装合集.txt
05-30
linux环境下docker安装、docker-compose安装、 harbor安装合集.txt
docker私有仓库-harbor 搭建
01-07
1.安装dockerdocker-compose 这是基本的要求,就不做多介绍了 2.下载harbor离线安装包 下载地址:https://github.com/goharbor/harbor/releases 如果github下载过慢,可以从下方链接下载 ...
docker私有仓库harbor搭建过程
09-29
主要介绍了docker私有仓库harbor搭建过程,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
docker进阶-搭建私有企业级镜像仓库Harbor
02-25
对于个人来说Dockerhub是个不错的选择,但是对于企业来说,相对于安全,成本和公司的架构来说搭建自己的私有镜像仓库才是正确的道路。Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些...
bitnami-docker-harbor-jobservice:用于Harbor Jobservice的Bitnami Docker映像
02-22
什么是港口工作服务? Harbor Job ServiceHarbor的主要组件之一,Harbour是一个云本地注册表,用于存储,签名和扫描内容。 它们用于图像复制。 TL; DR $ curl -LO https://raw.githubusercontent.com/bitnami/bitnami-docker-harbor-portal/master/docker-compose.yml $ curl -L https://github.com/bitnami/bitnami-docker-harbor-portal/archive/master.tar.gz | tar xz --strip=1 --wildcards ' *-master/config ' $ docker-compose up 请注意,我们正在从Harbor Portal组件存储库下载docker
Linux安装harbor
liulunan_lln的博客
08-07 273
前提条件是安装了dockerdocker-compose。
Linux搭建harbor私有仓库
Azj12345的博客
04-04 671
Harbor的所有服务组件都是在Docker部署的,所以官方安装使用Docker-compose快速部署,所以需要安装DockerDocker-compose。由于Harbor是基于Docker Registry V2版本,所以就要求Docker版本不小于1.10.0,Docker-compose版本不小于1.6.0。
Linux 离线部署 https 访问harbor
weixin_45480359的博客
02-06 1048
部署环境 centerOS 7.6。
Linux 部署 Harbor
爱辰
07-28 466
搭建企业级 Docker 镜像仓库
linux安装harbor搭建镜像私服
星火染星野的博客
04-23 993
在命令窗口 可以看到 ----Harbor has been installed and started successfully.---- 代表服务已经启动。-- 打镜像命令: docker tag 镜像名:版本 ip:端口/项目名/镜像名:版本。-- 登录命令: docker login -u 用户名 -p 密码 ip:端口。-- 推镜像命令: docker push ip:端口/项目名/镜像名:版本。命令: cp harbor.yaml.tmpl harbor.yaml。
访问https://开头的webservice接口
热门推荐
qq_29771133的博客
03-19 2万+
访问https://开头的webservice接口 随着公司业务的不断扩大,我们跟不同系统的交互就与来越多。在此呢先感谢我们公司的框架部门为我们封装了很多很简便的方法。 比如httpclient的方式:httputil.sendpost(url,map); 又比如webservice方式WebServiceUtil.getService(class,url).method(); 这些...
Harbor2.4.2私有仓库搭建全攻略:带验证与Web管理
"搭建docker-harbor2.4.2私有仓库的详细步骤,包括硬件需求、Docker的安装、harbor安装包的获取与应用、docker-compose的安装与配置,以及验证和Web管理界面的使用。" 在IT行业中, Docker Harbor 是一个企业级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值