Harbor自己的仓库用着舒服

已于 2022-08-17 20:52:39 修改
阅读量118 收藏
点赞数
分类专栏: 运维 文章标签: harbor docker docker-compose 私有仓库
于 2021-11-27 16:03:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wei_zhen_dong/article/details/121578764
版权

Harbor自己的仓库用着舒服

安装前置

docker

docker-compose

下载

https://github.com/goharbor/harbor/releases

wget https://storage.googleapis.com/harbor-releases/release-1.5.0/harbor-offline-installer-v1.5.1.tgz

配置

cp harbor.yml.tmpl harbor.yml && vim harbor.yml

image-20211217203440390

检查

./prepare

启动

./install.sh

登录仓库

vim /etc/docker/daemon.json

,“insecure-registries”: [“192.168.120.204:1234”]

systemctl daemon-reload
systemctl restart docker
docker-compose down && docker-compose up -d

docker login -u admin -p admin 192.168.120.204:1234

https

https://github.com/xiaoluhong/server-chart/blob/v2.2.2/create_self-signed-cert.sh

#!/bin/bash -e

help ()
{
    echo  ' ================================================================ '
    echo  ' --ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;'
    echo  ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;'
    echo  ' --ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(SSL_TRUSTED_DOMAIN),多个扩展域名用逗号隔开;'
    echo  ' --ssl-size: ssl加密位数,默认2048;'
    echo  ' --ssl-date: ssl有效期,默认10年;'
    echo  ' --ca-date: ca有效期,默认10年;'
    echo  ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'
    echo  ' 使用示例:'
    echo  ' ./create_self-signed-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '
    echo  ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650'
    echo  ' ================================================================'
}

case "$1" in
    -h|--help) help; exit;;
esac

if [[ $1 == '' ]];then
    help;
    exit;
fi

CMDOPTS="$*"
for OPTS in $CMDOPTS;
do
    key=$(echo ${OPTS} | awk -F"=" '{print $1}' )
    value=$(echo ${OPTS} | awk -F"=" '{print $2}' )
    case "$key" in
        --ssl-domain) SSL_DOMAIN=$value ;;
        --ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;
        --ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;
        --ssl-size) SSL_SIZE=$value ;;
        --ssl-date) SSL_DATE=$value ;;
        --ca-date) CA_DATE=$value ;;
        --ssl-cn) CN=$value ;;
    esac
done

# CA相关配置
CA_DATE=${CA_DATE:-3650}
CA_KEY=${CA_KEY:-cakey.pem}
CA_CERT=${CA_CERT:-cacerts.pem}
CA_DOMAIN=cattle-ca

# ssl相关配置
SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}
SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}
SSL_DATE=${SSL_DATE:-3650}
SSL_SIZE=${SSL_SIZE:-2048}

## 国家代码(2个字母的代号),默认CN;
CN=${CN:-CN}

SSL_KEY=$SSL_DOMAIN.key
SSL_CSR=$SSL_DOMAIN.csr
SSL_CERT=$SSL_DOMAIN.crt

echo -e "\033[32m ---------------------------- \033[0m"
echo -e "\033[32m       | 生成 SSL Cert |       \033[0m"
echo -e "\033[32m ---------------------------- \033[0m"

if [[ -e ./${CA_KEY} ]]; then
    echo -e "\033[32m ====> 1. 发现已存在CA私钥,备份"${CA_KEY}"为"${CA_KEY}"-bak,然后重新创建 \033[0m"
    mv ${CA_KEY} "${CA_KEY}"-bak
    openssl genrsa -out ${CA_KEY} ${SSL_SIZE}
else
    echo -e "\033[32m ====> 1. 生成新的CA私钥 ${CA_KEY} \033[0m"
    openssl genrsa -out ${CA_KEY} ${SSL_SIZE}
fi

if [[ -e ./${CA_CERT} ]]; then
    echo -e "\033[32m ====> 2. 发现已存在CA证书,先备份"${CA_CERT}"为"${CA_CERT}"-bak,然后重新创建 \033[0m"
    mv ${CA_CERT} "${CA_CERT}"-bak
    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
else
    echo -e "\033[32m ====> 2. 生成新的CA证书 ${CA_CERT} \033[0m"
    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
fi

echo -e "\033[32m ====> 3. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"
cat > ${SSL_CONFIG} <<EOM
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOM

if [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; then
    cat >> ${SSL_CONFIG} <<EOM
subjectAltName = @alt_names
[alt_names]
EOM
    IFS=","
    dns=(${SSL_TRUSTED_DOMAIN})
    dns+=(${SSL_DOMAIN})
    for i in "${!dns[@]}"; do
      echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}
    done

    if [[ -n ${SSL_TRUSTED_IP} ]]; then
        ip=(${SSL_TRUSTED_IP})
        for i in "${!ip[@]}"; do
          echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}
        done
    fi
fi

echo -e "\033[32m ====> 4. 生成服务SSL KEY ${SSL_KEY} \033[0m"
openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}

echo -e "\033[32m ====> 5. 生成服务SSL CSR ${SSL_CSR} \033[0m"
openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}

echo -e "\033[32m ====> 6. 生成服务SSL CERT ${SSL_CERT} \033[0m"
openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \
    -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \
    -days ${SSL_DATE} -extensions v3_req \
    -extfile ${SSL_CONFIG}

echo -e "\033[32m ====> 7. 证书制作完成 \033[0m"
echo
echo -e "\033[32m ====> 8. 以YAML格式输出结果 \033[0m"
echo "----------------------------------------------------------"
echo "ca_key: |"
cat $CA_KEY | sed 's/^/  /'
echo
echo "ca_cert: |"
cat $CA_CERT | sed 's/^/  /'
echo
echo "ssl_key: |"
cat $SSL_KEY | sed 's/^/  /'
echo
echo "ssl_csr: |"
cat $SSL_CSR | sed 's/^/  /'
echo
echo "ssl_cert: |"
cat $SSL_CERT | sed 's/^/  /'
echo

echo -e "\033[32m ====> 9. 附加CA证书到Cert文件 \033[0m"
cat ${CA_CERT} >> ${SSL_CERT}
echo "ssl_cert: |"
cat $SSL_CERT | sed 's/^/  /'
echo

echo -e "\033[32m ====> 10. 重命名服务证书 \033[0m"
echo "cp ${SSL_DOMAIN}.key tls.key"
cp ${SSL_DOMAIN}.key tls.key
echo "cp ${SSL_DOMAIN}.crt tls.crt"
cp ${SSL_DOMAIN}.crt tls.crt

./ --ssl-trusted-ip=47.192.168.47

镜像删除

1.x

Harbor的UI界面上先删除镜像,

#!/bin/bash -v
data=`date -d "1 week ago" +%Y%m%d`
curl -k -u "admin:Harber12345" -X DELETE -H "Content-Type: application/json" -X DELETE "https://192.168.249.204:4433/api/repositories/7897/55/tags/1.0.0-${data}"

但这个操作并没有删除磁盘上存放的镜像文件,只是镜像文件manifest的映射关系,还需要通过GC来删除。

先停止Harbor:

docker-compose stop

通过带有–dry-run选项,可以查看到将要删除的镜像文件:

docker run -it --name gc --rm --volumes-from registry vmware/registry:2.6.2-photon garbage-collect --dry-run /etc/registry/config.yml

不带–dry-run选项,直接执行删除:

docker run -it --name gc --rm --volumes-from registry vmware/registry:2.6.2-photon garbage-collect /etc/registry/config.yml

再启动Harbor:

docker-compose start

检查大小

du -sh /data/registry/docker/registry/v2/blobs&repositories

脚本

#!/bin/bash -v
cd /root/local/harbor
echo "$(date -d today +"%Y.%m.%d")-->clearn start $(du -sh /data/registry/docker/registry/v2/blobs)" >> /root/harbor-gc-clear.log
docker-compose stop
docker run -it --name gc --rm --volumes-from registry vmware/registry:2.6.2-photon garbage-collect /etc/registry/config.yml
docker-compose start
echo "$(date -d today +"%Y.%m.%d")-->clearn end $(du -sh /data/registry/docker/registry/v2/blobs)" >> /root/harbor-gc-clear.log

2.x

image-20211217202855228

举例

◎*:匹配除分隔符“/”外的所有字符。

◎**:匹配所有字符,包括分隔符“/”。

◎?:匹配除分隔符“/”外的所有单个字符。

◎{alt1,…}:如果能够匹配以逗号分隔的任意匹配模式(alt1等),则该规则匹配。

相应的例子如下:

◎“library/hello-world”:只匹配“library/hello-world”。

◎“library/*”:匹配“library/hello-world”,但不匹配 “library/my/hello-world”。

◎“library/**”:既匹配“library/hello-world”,也匹配“library/my/hello-world”。

◎“{library,goharbor}/*”:匹配“library/hello-world”和“goharbor/core”,但不匹配“google/hello-world”。

◎“1.?”:匹配“1.0”,但不匹配“1.01”。

注意

只匹配当前仓库内的镜像

例:镜像名为192.168.16.15:4433/test/dcs-test-exe 使用dcs*即可

更多内容:https://gitee.com/lofxve/note

魏振东
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
harbor仓库搭建安装包
03-15
harbor-offline-installer-v1.10.2.tgz
使用docker-composeOrHelm离线部署harbor仓库
weixin_44284982的博客
08-15 125
先决条件安装docker-composeuname−s−------------------------------------------------docker-compose部署--------------------------------------------------------------在git上下载离线安装包解压离线安装包:如果安装成功,您可以打开浏览器以访问位于 的 Harbor 界面,更改为您在 中配置的主机名。
SSL证书生成工具
Steven_sf的博客
08-01 2256
1.下载脚本文件 下载链接:https://download.csdn.net/download/Steven_sf/12678429 2.执行脚本命令: ./secret.sh --ssl-domain=steven.com.cn --ssl-trusted-domain=steven2.com.cn --ssl-trusted-ip=1.1.1.1 --ssl-size=2048 --ssl-date=3650 参数说明: –ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为local
K8S实战Day5-Harbor仓库搭建与双组复制高可用
weixin_47315354的博客
12-28 611
K8S实战Day5-Harbor仓库搭建前言Harbor简介Harbor安装1.镜像包下载2.配置文件2.部署nginx总结 前言 docker hub涉及网络及安全的问题,实际使用不方便,我们更需要使用Harbor搭建一个私有仓库。 但由于自己使用云主机,只能配置外网访问Harbor,所以不属于Harbor的典型使用场景 Harbor简介 优点: 本身自代 docker 私有仓库 支持基于角色的权限管理 支持 LDAP Harbor的Git地址 Harbor安装 1.镜像包下载 Harbor支持2种安装.
10分钟搞定 harbor
nickDaDa的博客
02-18 8779
1、安装dockerdocker-compose 注:高版本(14以上)docker执行login命令,默认使用https,且harbor必须使用域名,只是用ip访问是不行的。 Centos下:(docker安装部分参考自:http://www.runoob.com/docker/centos-docker-install.html) yum install -y yum-utils d...
Linux下私有仓库harbor的延伸(域名访问)(三)
qq_42303254的博客
03-22 1351
前两篇博文配置的harbor私有仓库是针对IP172.25.83.1的。如果我们想让配置harbor私有仓库是针对特定域名(比如chen.org),那么又该怎么做呢? 答案: 对于"Linux下私有仓库harbor的搭建部署之http的方式访问Web Ui(一)(docker版本:18.06.1-ce)"这篇博文来讲: 只要将配置过程中的172.25.83.1该为域名chen.org即...
k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)
wangxi83的博客
04-24 4522
1、常规操作 由于k3s证书的默认过期时间是12个月,因此到期之前或不小心到期,需要轮换 其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效 这里给一个一定可行的办法 # 在其中一个节点上执行 k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system # 在每个节点上执行 rm -rf /var/lib/rancher/k3s/server/tls/dynamic-
自签名 SSL 证书
IT老男孩
08-28 1639
HTTP over SSL要保证 Web 浏览器到服务器的安全连接,HTTPS 几乎是唯一选择。HTTPS 其实就是 HTTP over SSL,也就是让 HTTP 连接建立在 SSL 安全连接之上。SSL 使用证书来创建安全连接,有两种验证模式:仅客户端验证服务器的证书,客户端自己不提供证书;客户端和服务器都互相验证对方的证书。一般第二种方式用于网上银行等安全性要求较高的网站,普通的 Web 网...
Openssl生成自签名证书并导入浏览器脚本
zhangpfly的博客
08-03 2102
Openssl生成自签名证书并导入浏览器使用说明1. 准备工作2. 脚本导入浏览器4. 使用证书 使用说明 环境:Centos 7 运行脚本后可以生成根证书、自签名证书(可以指定域名或泛域名) 1. 准备工作 yum -y install httpd-tools.x86_64 openssl.x86_64 openssl-devel.x86_64 openssl-libs.x86_64 2. 脚本 这个脚本是从Rancher官网上找到的,基本没改多少东西 参考:https://rancher2.doc
Harbor私有镜像仓库部署
03-15
4.搭建harbor仓库 修改harbor.cfg配置文件中的域名以及https协议,签发https协议所需ssl证书。 使用docker-compose命令启动harbor镜像仓库的容器 5.本地windows浏览器访问配置 白屏创建项目空间,客户端docker push...
harbor镜像仓库维护手册
02-11
harbor镜像仓库维护手册
基于ubuntu系统搭建Harbor仓库
02-03
内容包括: 1. harbor仓库简介 2. 基于ubuntu部署Harbor仓库 3. harbor仓库的基本使用方法
harbor仓库搭建.doc
12-17
harbor容器仓库搭建,
idea连接Docker数据库
qq_45008709的博客
04-18 289
我们在docker下创建了数据库,想要更方便的查看和操作该数据库,idea和DataGrip或者其他人家都可以。在数据库连接时需要填写数据库名字,主机,端口,数据库用户名和密码。输入之后先不要点击OK和按Enter键,我们先测试下信息是填写正确,点击下方的Test Connection 测试连接按钮,如果显示成功则表示能正常连接。
docker 容器中安装cron,却无法启动定时任务
Python粘合剂
04-17 682
都会有个问题就是cron服务正常启动,但是加入到/etc/con.d下的任务,或者crontab -e 添加的定时任务都没有运行。写个sh 脚本用来添加定时任务,顺便在重启cron时添加环境变量。当我是在Dockerfile配置安装cron。cronfile中定义自己的任务。大概是因为没有添加上环境变量。或者进入容器中安装cron。需要给sh 脚本加上运行权限。
使用Docker搭建本地Nexus私有仓库
踏踏实实,贵在坚持
04-17 1044
Java应用编译构建的一种主流方式就是通过Maven, Maven可以很方便的管理Java应用的各种依赖包。但是在默认情况下,maven在进行java应用编译的时候,会从maven远程仓库下载相应的依赖包。Maven公共仓库是在国外的,网络不好的情况下,依赖包的下载会相当的耗时,这时私有库就派上了用场。
百科不全书之 docker记录
qq_45113070的博客
04-17 497
参考视频:B站【GeekHour】30分钟Docker入门教程:
通过Docker新建并使用MySQL数据库
最新发布
m0_59328104的博客
04-19 1108
通过这些步骤,您已经成功创建了一个新的数据库,向其中的表添加了一些新数据,并查看了添加的数据。您可以根据您的需要修改这些示例,并探索更多MySQL数据库操作。现在,可以使用任何支持MySQL的客户端工具(如Navicat)连接到数据库。为了让外部工具(如Navicat)能够连接到MySQL,需要修改MySQL配置,允许远程连接。输入您设置的root密码后,您将进入MySQL命令行界面。用于设置环境变量,这里设置了MySQL的root密码。的表,用于存储用户数据。:在MySQL命令行中,创建一个新的数据库。
harbor镜像仓库搭建
05-16
Harbor 是一个开源的云原生镜像仓库,支持 Docker 和 Kubernetes。搭建 Harbor 镜像仓库可以方便地管理和部署 Docker 镜像。 以下是 Harbor 镜像仓库的搭建步骤: 1. 安装 DockerDocker Compose 首先需要在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值