我上周在头条号写过一篇原创文章《Docker-Harbor & Docker-kitematic 史上最详细双系统配置手册》,这篇算是它的姊妹篇吧。这篇文章也将用到我在头条写的另一篇原创文章的《为网站加把免费的安全锁——SSL证书的申请和使用》内容,如果有同学没有看过,希望先好好复习一下这两篇文章。
网上能找到的大部分用Https方式访问Harbor的文章,都是比较老的了,而且用了大幅篇幅来讲如何自签证书,并不是自签证书这个方式有什么不对,在测试时完全可以这么干,但在生成环境还是推荐用真实的SSL证书,而且自签证书的很大一个问题是需要每一个客户端都导入自签证书,否则每次访问都会出现不受信任的提示,现在云服务器这么普及,我觉得完全没必要浪费精力再去搞自签证书,如果不想花钱就参考我上面的——《为网站加把免费的安全锁——SSL证书的申请和使用》,拿到有效期为3个月的真实SSL证书。
以下环境假设各位已取得SSL证书的三个主要文件
一、准备Harbor站点证书
cat ca_bundle.crt >> certificate.crt
特别强调的是两个证书连接处要换行
这里引申说一下,其实如果网站仅引用certificate.crt证书文件,在用浏览器访问的时候也不会报什么错误,虽然网上也有同学指出会报证书不完整的错误,这个我确实没有遇到。但如果在本例中用docker访问会报x509: certificate signed by unknown authority错误,
所以ca_bundle.crt证书是不可缺少的。那么最后,我们自建的Harbor站点只有两个证书文件:certificate.crt 和 private.key。
二、开启Harbor站点的Https访问
我们需要修改harbor.yml 为如下,不用关闭80端口,官方已经解释了,如果使用Https访问站点,80端口会自动跳转到443端口
# http related confighttp: # port for http, default is 80. If https enabled, this port will redirect to https port port: 80# https related confighttps:# # https port for harbor, default is 443 port: 443# # The path of cert and key files for nginx certificate: certificate.crt private_key: private.key
这里碰到了一个有意思的事情,为了让大家少走弯路,在这里写出来,之前我文章中的Harbor版本是1.9.1,这个版本按上面方式修改harbor.yml文件后,重新启动docker-compose会报错
有人问了这个问题,具体可以参考
解决方式也挺有意思,见如下回复
就是删除 Port:443 和下面 certificate: 和 private_key: 这三行之前的空格。这个错误只有在你打开Https选项才会出现。还有请记得,如果之前为了在Harbor服务器端测试或其他目的,打开了本地docker访问Http的限制,增加了/etc/docker/daemon.json文件的话,记得在开通Https方式后删除这个文件即可。
目前的Harbor-1.9.2版本已经放出来了,修复上面这个问题,如果大家觉得上面比较麻烦的话,请升级到1.9.2版本吧。
用如下命令修改增加harbor.yml配置
docker-compose down -vvi harbor.yml./preparedocker-compose up -d
三、测试
我在有Docker环境的一台Win服务器上,进行了连接测试
用浏览器登陆https://Harbor_domain,证书正常
至此,这个引申篇——《用Https方式访问Harbor-1.9版本》就结束了,欢迎大家多多交流评论,多多转发。