Harbor2.1.2最新版本+自动生成SSL证+简单扫描

最新推荐文章于 2024-08-16 14:03:35 发布
最新推荐文章于 2024-08-16 14:03:35 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42562106/article/details/109608968
版权

包下载.

https://github.com/goharbor/harbor/releases

docker-compose工具下载安装

https://github.com/docker/compose/releases/
chmod +x /usr/local/bin/docker-compose

修改yml文件

hostname: 192.168.8.181
#https:
#  # https port for harbor, default is 443
#  port: 443
#  # The path of cert and key files for nginx
#  certificate: /your/certificate/path
#  private_key: /your/private/key/path

完整配置

[root@abc138cc harbor]# egrep -v "#|^$" harbor.yml
hostname: 192.168.8.181
http:
  port: 80
harbor_admin_password: Harbor12345
database:
  password: root123
  max_idle_conns: 50
  max_open_conns: 1000
data_volume: /data
clair:
  updaters_interval: 12
trivy:
  ignore_unfixed: false
  skip_update: false
  insecure: false
jobservice:
  max_job_workers: 10
notification:
  webhook_job_max_retry: 10
chart:
  absolute_url: disabled
log:
  level: info
  local:
    rotate_count: 50
    rotate_size: 200M
    location: /var/log/harbor
_version: 2.0.0
proxy:
  http_proxy:
  https_proxy:
  no_proxy:
  components:
    - core
    - jobservice
    - clair
    - trivy

启动

#加载harbor配置
./prepare
#安装harbor
./install.sh
docker-compose up -d 启动
docker-compose stop 停止
docker-compose restart 重新启动
客户端需要配置
[root@docker178 ~]# cat /etc/docker/daemon.json 
{
  "registry-mirrors": ["https://0k0953tv.mirror.aliyuncs.com"], #加速器
  "insecure-registries": ["192.168.8.181:80"]  #私有仓储地址
}
客户端登录Harbor仓库
[root@JBJB harbor]# docker login 192.168.8.181:80
Username: jbjb
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
开启clair自动扫描
重新加载配置
[root@abc138cc harbor]# ./prepare --with-clair
重启生效
[root@abc138cc harbor]# docker-compose down  && docker-compose up -d

在这里插入图片描述

1.手动生成ssl证书 443
1 生成CA证书私钥
openssl genrsa -out ca.key 4096

2.生成CA证书
openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
 -key ca.key \
 -out ca.crt
 
3. 生成服务器证书,证书通常包含一个.crt文件和一个.key文件,例如yourdomain.com.crt和yourdomain.com.key
4. 生成私钥
openssl genrsa -out yourdomain.com.key 4096
5.生成证书签名请求(CSR)
openssl req -sha512 -new \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
    -key yourdomain.com.key \
    -out yourdomain.com.csr
    
6. 生成一个x509 v3扩展文件
 cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=yourdomain.com
DNS.2=yourdomain
DNS.3=hostname
EOF

7.使用该v3.ext文件为您的Harbor主机生成证书
openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in yourdomain.com.csr \
    -out yourdomain.com.crt
    
7. 将服务器证书和密钥复制到Harbor主机上的certficates文件夹中
cp yourdomain.com.crt /data/cert/
cp yourdomain.com.key /data/cert/

8. 转换yourdomain.com.crt为yourdomain.com.cert,供Docker使用
openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert
9. 将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。您必须首先创建适当的文件夹
cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
cp ca.crt /etc/docker/certs.d/yourdomain.com/
 如果将默认nginx端口443映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port
 
10. 重新启动Docker Engine
 systemctl restart docker
 开启ssl证书个人觉得harbor还不够成熟,就证书就要生成半天,希望官网尽早解决这个问题
 官网参考连接
 https://goharbor.io/docs/2.1.0/install-config/configure-https/#generate-a-certificate-authority-certificate
上面手动生成我也觉得非常麻烦推荐官网的自动生成证书镜像(goharbor/prepare:v2.1.2)
2使用harbor官网提供的镜像自动生成ssl证书
官网连接
https://goharbor.io/docs/2.1.0/install-config/configure-internal-tls/


docker run --rm -v /etc/cert:/hostfs goharbor/prepare:v2.1.2  gencert -p /path/to/internal/tls/cert

在这里插入图片描述

只需要harbor_internal_ca.crt harbor_internal_ca.key 即可

在这里插入图片描述在这里插入图片描述
重新加载配置

./prepare

重启生效

docker-compose down  && docker-compose up -d

在这里插入图片描述
客户端配置

#cat /etc/docker/daemon.json
{
  "registry-mirrors": ["https://0k0953tv.mirror.aliyuncs.com"],
  "insecure-registries": ["192.168.8.181"]
}

在这里插入图片描述
尝试登陆
在这里插入图片描述
一个demon镜像测试

[root@gitlab179 ~]# docker tag minio/minio:edge 192.168.8.181/kjbs/test:ea
[root@gitlab179 ~]# docker push 192.168.8.181/kjbs/test:ea
The push refers to repository [192.168.8.181/kjbs/test]
1dd1982f46a2: Pushed 
4b5aaffec37c: Pushed 
c0b95ab58f73: Pushed 
636749e96b85: Pushed 
6c81fc6c8bcb: Pushed 
00af10937683: Pushed 
3aa55ff7bca1: Pushed 
ea: digest: sha256:41cbbed28e254e654d4f831b1536a475d5f8321ac2b16b3d84eb1690077d2dfa size: 1786

在这里插入图片描述
由于是自己生成的证书被警告正常的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

live环境需要到相关证书机构购买,自己的生成的不能使用

野猪佩挤
关注
专栏目录
Docker+Harbor+Jenkins+Gitlab自动化CICD构建
shiter编写程序的艺术
11-08 1031
文章大纲1. 实现CICD的架构简介2.Gitlab部署和实践3. Docker部署4. Harbor私有仓库部署5.Jenkins pipeline项目持续集成实践6.整体架构参考文献 1. 实现CICD的架构简介 本实践介绍了利用Jenkins 和docker技术,如何实现CI/CD的各环节的步骤,包括代码检出,构建镜像,应用部署。 Gitlab:源代码版本管理工具 Docker:可以节省服务器费用,快速部署,快速扩展。 Harbor:一个用于存储和分发Docker镜像的企业级Registry服务器
Linux下使用opensslharbor制作证书
weixin_45432833的博客
10-18 874
使用opensslharbor制作证书
三、harbor部署之SSL
diqi0762的博客
02-27 184
1 签名证书与自签名证书   签名证书:由权威颁发机构颁发给服务器或者个人用于明自己身份的东西。   自签名证书:由服务器自己颁发给自己,用于明自己身份的东西,非权威颁发机构发布。 2 openssl简介   openssl是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 3 KEY与...
Harbor镜像仓库使用SSL双向认设置
carefree的博客
08-09 449
Harbor镜像仓库使用SSL双向认设置
Harbor 启用镜像扫描功能方法
随笔记录-分享&记忆
10-31 2595
Harbor Github地址,里面也有各种安装说明 A demo environment with the latest Harbor stable build installed. For additional information please refer to this page. 账号信息:admin/Harbor12345 Harbor 启用镜像扫描功能方法:在安装时增加 --w...
基于SSLHarbor镜像仓库的搭建
weixin_43394724的博客
05-30 963
软件环境 项目 描述 备注 操作系统 CentOS 7.6 1908 2C 4G Docker 20.10.6 Docker-compose 1.29.2 Harbor 2.2.2 参考官方Harbor Installation Prerequisites 基础环境搭建 安装操作系统 OS 安装完成后做如下配置: 禁用SELinux 不重启系统 [root@localhost ~]# setenforce 0   #重启电脑后失效 修改文件,需要重启系统 [root
harbor配置私有证书使用docker连接
AAAblues的博客
05-08 724
生成CA证书私钥。 openssl genrsa -out ca.key 4096 生成CA证书。 调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性。 openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \ -key ca.key \ -
Docker+Jenkins+GitLab+Maven+Harbor+SpringBoot自动化构建
06-10
1. Docker+Jenkins+GitLab+Maven+Harbor+SpringBoot自动化构建+Jenkins自动化部署配置 2.无须运维部署 ,而是相关的开发人员,测试人员登录jenkins传入需要部署的tag即可,整个部署过程无须运维参与,解放运维劳动力
Gitllab+Jenkins+Docker+Harbor 自动化部署流程
01-11
Gitllab+Jenkins+Docker+Harbor 自动化部署流程 一、 版本控制系统 Gitllab Gitllab 是一个基于 web 的 Git 仓库管理系统,提供了一个强大且灵活的平台来管理 Git 项目。 Gitllab 允许用户创建、管理和共享 Git ...
最新版 harbor-offline-installer-v2.1.2.tgz
12-18
最新版 harbor-offline-installer-v2.1.2.tgz最新版 harbor-offline-installer-v2.1.2.tgz
Harbor+docker+容器+仓库
01-12
VMWare Harbor 方式搭建
Harbor安全:cfssl工具为Harbor颁发https证书
因上努力,果上随缘。但行好事,莫问前程。
08-18 608
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。...
Harbor 添加ssl证书
weixin_43423965的博客
03-31 3721
docker 从docker 仓库中推送或获取镜像都是默认走https协议的。需要配置ssl证书,否则将无法方面,为了解决这以问题,我们有2个方案: > 修改docker配置文件,关闭证书 "insecure-registries"。关闭证书校验 > 配置ssl证书,配置harbor走https协议
云原生必备工具!手把手教你搭建Harbor私有仓库(下)
程序员溪昂
12-28 384
上文中搭建的Harbor为了能够快速在本地搭建起来,因此去掉了443端口。本文中将继续介绍,如何开启ssl以及从其他节点拉取私有镜像仓库中的镜像。
版本升级_Harbor跨版本升级实战
weixin_35673021的博客
12-27 689
【v1.7.5->v2.1.1】众所周知,Harbor新版本加入了很多喜人的新特性,尤其在2.1版本后,无缝集成P2P分发,本文将介绍从v1.7.5升级到v2.1.1版本。扒了一堆资料跨版本升级无法一键平滑从v1.7.5升级到v2.1.1版本,升级过程:v1.7.5->v1.8.6->v1.9.0->v1.10.5->v2.1.1。需要的docker镜像(...
Harbor安装配置
幽灵 逐梦--专栏
07-06 2191
本节介绍如何执行 Harbor 的全新安装。 如果您是从先前版本的 Harbor 升级,则可能需要更新配置文件并迁移数据以适应更高版本的数据库架构。有关升级的信息,请参阅升级 Harbor。 在安装 Harbor 之前,您可以在 Harbor 团队维护的演示环境中测试最新版本Harbor。有关信息,请参阅使用演示服务器测试 HarborHarbor 支持与用于复制数据的第三方复制适配器、用于 authN/authZ 的 OIDC 适配器和用于容器映像漏洞扫描扫描器适配器的集成。有关支持的..
Harbor配置HTTPS访问
最新发布
qq_37193972的博客
08-16 434
无论使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映域。生成后ca.crt,yourdomain.com.crt和yourdomain.com.key文件,必须将它们提供给Harbor和docker,重新配置它们。将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。Docker守护程序将.crt文件解释为CA证书,并将.cert文件解释为客户端证书
【运维知识大神篇】运维人必学的Docker教程7(Harbor配置HTTPS证书的两种方式+Harbor两种方案实现高可用+镜像推送至Docker hub官方仓库和阿里云镜像仓库+拉取海外镜像技巧)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
01-03 2014
本篇文章继续介绍Docker内容,包含Harbor配置HTTPS证书的两种方式(阿里云官方证书与自建证书),Harbor两种方案实现高可用(共享存储目录与主从复制),镜像推送至Docker hub官方仓库和阿里云镜像仓库及拉取海外镜像技巧。
Harbor login 一直提示失败的一个原因,重启docker 证书文件清空
隔壁老瓦的专栏
01-03 3097
查看/etc/docker/certs.d目录下证书是否存在 重新生成: openssl genrsa -out ca.key 4096 openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=TW/ST=Taipei/L=Taipei/O=example/OU=Personal/CN=harbor.test.com...
如何自动为harbor申请ssl证书
05-30
要为 Harbor 自动申请 SSL 证书,可以使用 cert-manager 工具。cert-manager 是一个 Kubernetes 上的证书管理工具,可以自动为您的应用程序生成和更新 SSL 证书。 以下是为 Harbor 自动申请 SSL 证书的步骤: 1. 安装 cert-manager 工具。可以使用以下命令安装: ``` kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v1.0.4/cert-manager.yaml ``` 2. 创建一个 Issuer。Issuer 是一个 Kubernetes 资源,用于定义证书颁发机构 (CA) 的详细信息。可以使用以下 YAML 文件创建 Issuer: ```yaml apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: letsencrypt namespace: cert-manager spec: acme: email: your-email@example.com server: https://acme-v02.api.letsencrypt.org/directory privateKeySecretRef: name: letsencrypt solvers: - http01: ingress: class: nginx ``` 在此 YAML 文件中,您需要将 `your-email@example.com` 替换为您的电子邮件地址。该文件使用 Let's Encrypt 作为证书颁发机构,因此您需要使用 Let's Encrypt 帐户来签署证书申请。此文件还配置了 HTTP-01 验器,以便 cert-manager 可以验您拥有该域名。 3. 创建一个 Certificate。Certificate 是一个 Kubernetes 资源,用于定义 SSL 证书的详细信息。可以使用以下 YAML 文件创建 Certificate: ```yaml apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: harbor-cert namespace: harbor spec: secretName: harbor-tls dnsNames: - your-domain.com issuerRef: name: letsencrypt kind: Issuer ``` 在此 YAML 文件中,您需要将 `your-domain.com` 替换为您要为其颁发证书的域名。此文件还指定了要使用的 Issuer。 4. 创建一个 Ingress。Ingress 是一个 Kubernetes 资源,用于将 HTTP(S) 流量路由到您的应用程序。可以使用以下 YAML 文件创建 Ingress: ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: harbor-ingress namespace: harbor annotations: kubernetes.io/ingress.class: nginx cert-manager.io/issuer: "letsencrypt" spec: tls: - secretName: harbor-tls hosts: - your-domain.com rules: - host: your-domain.com http: paths: - path: / pathType: Prefix backend: service: name: harbor port: name: http ``` 在此 YAML 文件中,您需要将 `your-domain.com` 替换为您的域名。此文件还使用了之前创建的 Issuer 和 Certificate。 5. 部署 Harbor。可以使用 Helm 安装 Harbor,如以下命令所示: ``` helm install harbor harbor/harbor --version=1.5.2 -f harbor-values.yaml ``` 在此命令中,`harbor-values.yaml` 是一个 YAML 文件,用于配置 Harbor 的各种选项。 这样,您就可以使用 cert-manager 工具自动申请和更新 HarborSSL 证书了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值