Harbor与Kubernetes的部署示范

最新推荐文章于 2024-10-05 16:10:59 发布
最新推荐文章于 2024-10-05 16:10:59 发布
阅读量989 收藏 22
点赞数 22
文章标签: kubernetes 容器 云原生 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74046217/article/details/135798614
版权

Kubernetes的部署

Kubernetes部署 – Yiiong’s blog

Harbor的部署

Harbor官方文档

Harbor Github仓库

Harbor 入门指南-腾讯云开发者社区-腾讯云 (tencent.com)

配置

  • 服务器:腾讯云
  • Linux版本:Linux VM-4-12-centos 3.10.0-1160.90.1.el7.x86_64
  • Docker:Docker version 24.0.5, build ced0996
  • Docker-Comose:docker-compose version 1.24.1, build 4667896b

下载Harbor离线安装包

Harbor Github Releases

解压后的目录如下

harbor
├── common.sh         # 通用命令,使用install.sh驱动
├── harbor.v2.7.3.tar.gz  
├── harbor.yml.tmpl   # 配置模板
├── install.sh        # 安装脚本
├── LICENSE
└── prepare

OpenSSL自签证书

为了保证Harbor的安全性,我们需要为Harbor配置一个SSL证书以保证安全,防止黑客篡改

使用可信证书颁发机构(CA)签发的证书,要么1年需要换一次,要么3个月需要续签名一次。可是我们的Harbor启动后,除非有安全漏洞,否则启动后,可能几年都不会做一次变更。这个时候,怎么办呢?

我们使用OpenSSL自签名证书,不过浏览器不信任这种证书,用户在首次访问时会收到安全警告

创建目录

存放生成的证书

mkdir /root/cert
cd /root/cert/

生成CA证书

生成CA证书和密钥

openssl genrsa -out ca.key 4096

生成CA证书

openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Chongqing/L=Chongqing/O=Redrock/OU=Personal/CN=reg.yiiong.top" \
 -key ca.key \
 -out ca.crt

生成Server证书

生成 Server 证书私钥

# 生成密钥
openssl genrsa -out server.key 4096

生成Server证书签名请求(CSR)

openssl req -sha512 -new \
 -subj "/C=CN/ST=Chongqing/L=Chongqing/O=Redrock/OU=Personal/CN=reg.yiiong.top" \
 -key server.key \
 -out server.csr
  • -x509: 指定生成自签名X.509证书
  • -nodes: 指定生成的私钥不加密
  • -sha512: 指定使用SHA-512哈希算法进行签名
  • -days 3650: 指定证书的有效期为3650天(约10年)
  • -subj “/C=CN/ST=Beijing/L=Beijing/O=mintimate/OU=Personal/CN=yourdomain.com”: 指定证书的主题信息。"C"表示国家代码(Country),"ST"表示省/州(State),"L"表示城市(Locality),"O"表示组织(Organization),"OU"表示组织单位(Organizational Unit),"CN"表示通用名称(Common Name)
  • -subj “/C=CN/ST=Beijing/L=Beijing/O=mintimate/OU=Personal/CN=yourdomain.com”: 指定证书的主题信息。"C"表示国家代码(Country),"ST"表示省/州(State),"L"表示城市(Locality),"O"表示组织(Organization),"OU"表示组织单位(Organizational Unit),"CN"表示通用名称(Common Name)
  • -out yourdomain.com.crt: 指定生成的证书文件的输出路径和文件名。

生成 x509 v3 证书扩展文件

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=reg.yiiong.top
DNS.2=hostname
EOF

使用 CA 证书签发 Server 证书

openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in server.csr \
    -out server.crt

一共有如下这些

[root@VM-4-12-centos harbor]# cd /root/cert
[root@VM-4-12-centos cert]# ll
总用量 28
-rw-r--r-- 1 root root 2045 12月 30 23:32 ca.crt
-rw-r--r-- 1 root root 3247 12月 30 23:32 ca.key
-rw-r--r-- 1 root root   17 12月 30 23:39 ca.srl
-rw-r--r-- 1 root root 2094 12月 30 23:39 server.crt
-rw-r--r-- 1 root root 1712 12月 30 23:38 server.csr
-rw-r--r-- 1 root root 3243 12月 30 23:32 server.key
-rw-r--r-- 1 root root  248 12月 30 23:35 v3.ext

为 Harbor 和 Docker 配置证书

将 server 证书和密钥复制到 Harbor 主机上的 /data/cert 目录中

mkdir -p /data/cert
cp server.crt /data/cert/
cp server.key /data/cert/

转换 server.crt 为 server.cert

openssl x509 -inform PEM -in server.crt -out server.cert

将 server 证书,密钥和 CA 证书复制到 Harbor 主机上的 Docker 证书目录中

mkdir -p /etc/docker/certs.d/reg.yiiong.top:8443
cp server.key /etc/docker/certs.d/reg.yiiong.top:8443
cp server.cert /etc/docker/certs.d/reg.yiiong.top:8443
cp ca.crt /etc/docker/certs.d/reg.yiiong.top:8443

查看 Docker 证书目录文件

[root@VM-4-12-centos reg.yiiong.top:8443]# ll
总用量 12
-rw-r--r-- 1 root root 2045 12月 30 23:42 ca.crt
-rw-r--r-- 1 root root 2094 12月 30 23:41 server.cert
-rw-r--r-- 1 root root 3243 12月 30 23:41 server.key

重启Docker

systemctl restart docker

初始化Harbor

将模板复制一份

cp harbor.yml.tmpl harbor.yml

harbor.yml中修改如下的参数
在这里插入图片描述

  • hostname:Harbor的访问地址,最好写ip
  • https/port:对外暴露8443端口,记得放行8443端口
  • https/certificate: 使用宿主机的SSL证书文件。也就是.crt的位置
  • https/certificate: 使用宿主机的SSL证书文件,是.key的位置

安装

./install.sh

访问

https访问,并且加上8443端口号

更改配置的操作

使用 prepare 脚本生成 HTTPS 配置

./prepare

删除原有 Harbor 容器

docker-compose down -v

重新启动 Harbor

docker-compose up -d

问题与解决

1.出现Error response from daemon: failed to create task for container: failed to initialize logging driver: dial tcp [::1]:1514: connect: connection refused

取消rsyslog.conf文件第19,20行注释,并将514改为1514

vim /etc/rsyslog.conf

# 取消注释并修改
$ModLoad imtcp
$InputTCPServerRun 1514

harbor

# 重启rsyslog
systemctl restart rsyslog.service

2.出现Error response from daemon: driver failed programming external connectivity on endpoint nginx (191f6b9a13a1d60e6f9656c7f8030be35bcd96395c524f8fc4af5c83e2b45f26): Error starting userland proxy: listen tcp4 0.0.0.0:8080: bind: address already in use

修改harbor.yml中的http/port为没有占用的端口即可,然后记得放行端口

为没有占用的端口即可,然后记得放行端口

Yiiong
关注
Kubernetes部署篇:基于麒麟V10+ARM64架构部署harbor v2.4.0镜像仓库》
东城绝神
05-29 1195
Kubernetes部署篇:基于ARM架构部署harborv2.10.1镜像仓库》
一文读懂自动化容器部署(git+jenkins+harbor+kubernetes(rancher))
qq_35530005的博客
01-25 7125
一. 什么是自动化容器部署   简单来说,就是我们只需要点一下(或者通过gitlab钩子触发),代码就会自动完成构建 -> 镜像生成 -> 容器部署。比起传统部署来可以省去很多步骤,特别适合频繁变更的敏捷开发项目(其实容器部署的项目最好都使用自动化,相当省事)。   本文主要是对各个组件的理解和使用,具体的安装步骤不展开。都是个人的简单理解,希望大家多多指正。   下图是自动化容器部署的流程图和运用的工具。 二. 什么是jenkins   Jenkins是一个开源的、提供友好操作界面的持续
k8s上部署harbor并暴露访问
03-14
使用cfssl工具配置证书并在kubernetes部署harbor并暴露访问。
Kubernetes ≥ 1.25 Containerd配置Harbor私有镜像仓库
qq_35925862的博客
01-11 7230
Kubernetes ≥ 1.25 Containerd配置Harbor私有镜像仓库 containerd 实现了 kubernetes 的 Container Runtime Interface (CRI) 接口,提供容器运行时核心功能,如镜像管理、容器管理等,相比 dockerd 更加简单、健壮和可移植。 从docker过度还是需要一点时间慢慢习惯的,今天来探讨containerd 如何从无域名与权威证书的私有仓库harbor,下载镜像!
kubernetes集群公共服务 Harbor
最新发布
Java_fenxiang的博客
10-05 1057
首先,还是需要新创建一个虚拟机,就像之前一样,然后启动虚拟机,设置主机名和网络,网关,DNS等。接下来检查防火墙,selinux是否关闭,以及是否做了时钟同步。一、 docker-ce安装1.1 获取YUM源使用阿里云开源软件镜像站。登录后复制 # wget https://mirrors.aliyun.com/dock...
kubernetes配置Harbor详细教程(测试通过)
BigData_Mining的博客
03-12 4910
前置条件 已经安装完成kubernetes集群 已经安装完成harborharbor中创建完成项目,用户,把用户添加到项目的成员当中,成员具有pull镜像的权限 登录到harbor(这个步骤暂时不知道有何用,我是没有用到) 根据配置的harbor域名,登录到harbor当中,如: docker login xf.com 输入用户名和密码,即可登录成功。登录完成之后会在config.json...
kubernetes下搭建harbor企业级docker仓库
Anteoy的博客
03-27 4222
前言harbor是由vmware开源的企业级docker repository,提供私有仓库,安全认证,权限管理,漏洞扫描及仓库复制等多种功能,因为之前搭建的harbor在线上环境存在各种各样的问题(之前搭建的方式目前发现已被官方宣布弃用https://github.com/vmware/harbor/blob/master/docs/kubernetes_deployment.md,如ui显示不正
部署harbor,安装和使用,kubeasz新加harbor
tanyyinyu的博客
02-21 557
部署harbor 就是一个容器镜像的管理仓库,安装好之后可以从web访问,上传下载镜像 当然也可以使用命令行来操控 可以进行用户管理,便于项目管理,分享镜像 安装步骤 安装docker 安装harbor 需要域名 需要SSL证书,这里自己制作,可使用域名免费申请 修改harbor的配置文件 运行安装脚本 将域名指向服务器的公网IP 浏览器登陆 push pull curl https://...
Gitllab+Jenkins+Docker+Harbor 自动化部署流程
01-11
Gitllab+Jenkins+Docker+Harbor 自动化部署流程 一、 版本控制系统 Gitllab Gitllab 是一个基于 web 的 Git 仓库管理系统,提供了一个强大且灵活的平台来管理 Git 项目。 Gitllab 允许用户创建、管理和共享 Git ...
HarborKubernetes集成:构建企业级容器镜像管理平台
# 引言 ## 1.1 背景介绍 在现代云原生应用的开发和部署中,容器技术已经成为了必不可少的一部分。容器的快速部署和隔离性使得它在...而Kubernetes作为一个领先的容器编排和管理平台,提供了自动化的容器部署和扩缩
Kubernetes部署
Ljoker123的博客
01-04 1127
目录 kubernetes设计架构 Kubernetes部署 Pod管理 准备工作 准备4台虚拟机:1台主机(带有harbor镜像仓库),1台调度器,2台节点机(因为电脑配置不够所以我主机和调度器用一台) 一台兼容的 Linux 主机。Kubernetes 项目为基于 Debian 和 Red Hat 的 Linux 发行版以及一些不提供包管理器的发行版提供通用的指令 每台机器 2 GB 或更多的 RAM (如果少于这个数字将会影响你应用的运行内存) 2 CPU 核或更多 集群中的所有机器的网络彼此
Kubernetes安装镜像仓库harbor
邢宁
03-08 1152
前言 harbor是vmware开源的企业级镜像仓库,目前是CNCF的毕业项目。它拥有完整的仓库管理、镜像管理、基于角色的权限控制、镜像安全扫描集成、镜像签名等。 1、使用helm下载harbor helm repo add harbor https://helm.goharbor.io helm fetch harbor/harbor --untar #创建harbor namespace kubectl create ns harbor 2、修改harbor配置 vim harbor/val
kubernetesHarbor部署KubeSphere使用私有仓库Harbor
weixin_36873225的博客
02-26 978
参考:https://mp.weixin.qq.com/s/Y8eCArLuiHEEZCSk-frSFw。如果使用的是自建证书,则不会校验成功,需要先挂载自建证书到ks-apiserver。部署dockerdocker-compose。这里使用的是免费证书 ,直接可以验证成功;配置域名解析,使用域名访问则是安全的。KubeSphere使用Harbor。创建工作负载-使用Harbor。虽然验证成功,但是搜索镜像报错。Docker使用Harbor。获取Harbor安装文件。修改harbor配置文件。
kubernetes集群中部署harbor私有仓库
芦苇的博客
08-17 709
内容概要一、准备一台harbor服务器(192.168.73.155)二、所有节点加上主机名映射三、安装 Harbor四、生成证书五、生成证书签名请求文件六、浏览器访问测试 首先你需要先部署好k8s的集群 k8s集群安装:使用kubeadm来部署Kubernetes单节点,比二进制部署快多了!! 一、准备一台harbor服务器(192.168.73.155) 关闭防火墙和安全功能,修改主机名 systemctl stop firewalld setenforce 0 hostnamectl set-host
kubekey 离线部署 kubesphere v3.3.0
IT
09-10 3404
说明:安装前务必确认版本兼容范围,本次采用分阶段安装方式,在未进行充分测试前不要轻易尝试一键安装registry、kubernetes、后端存储和kubesphere,否则可能遇到安装失败时无法清理干净环境,出现进退两难的情况。文件,定义要安装的集群版本和组件信息,修改组件版本时要格外小心,kubesphere官方并未给出各个组件之间版本应该如何组合。制作的离线包仅包含kubernetes集群镜像和操作系统依赖,约1.5G大小,将该离线包以及kk二进制文件复制到离线环境。说明:以下操作在离线环境执行。
120.部署harbor以及使用harbor
weixin_34378767的博客
05-31 448
2019独角兽企业重金招聘Python工程师标准>>> ...
三.k8s安装(kubeasz)
不予
04-16 505
安装k8s,kubeasz,二进制,ansible
kubernetes部署harbor
gyfghh的博客
06-10 604
【代码】kubernetes部署harbor
云原生K8S】Kubernetes对接harbor私人仓库
m0_71518373的博客
11-10 1795
K8S对接建立私人harbor仓库,避免远程镜像源拉取超时
Kubernetes 1.14 部署Harbor、Helm集成指南
"kubernetes1.14 部署文档,包括nfs持久化存储,nginx-ingress,helm,harbor本地仓库,可视化UI,prometheus监控" 在部署Kubernetes 1.14的过程中,首先需要对系统进行一系列的优化和配置。这包括修改主机名并设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值