Linux企业运维——Docker(四)Harbor仓库
文章目录
一、Harbor简介
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器。
Harbor使用的是官方的docker registry(v2命名是distribution)服务去完成。harbor在docker distribution的基础上增加了一些安全、访问控制、管理的功能以满足企业对于镜像仓库的需求。
Harbor作为一个企业级私有Registry服务器,提供了更好的性能和安全,提升用户使用Registry构建和运行环境传输镜像的效率。
Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中,确保数据和知识产权在公司内部网络中管控。
二、Harbor仓库的安装与部署
2.1、安装docker-conpose
(1)得到docker-compose文件
(2)将docker-compose二进制文件放入/usr/local/bin目录下并赋予权限
2.2、解压Harbor安装包并配置
(1)将Harbor安装包发送给server1
(2)解压
(3)编辑配置文件
(4)拷贝证书目录到/data目录下
(5)安装harbor
(6)查看harbor目录,存在docker-compose.yml,此时可以启动docker-compose(必须在harbor目录下执行)
2.3、测试
- 真实主机:
(1)设置域名解析
(2)用浏览器访问
因为是自签证书,所以浏览器不信任,继续访问
输入用户名密码
(3)server1登录并上传镜像
(harbor默认仓库是library)
在web页面可以看到我们上传的镜像
- server2:
(1)配置server2的docker仓库源和域名解析
(2)重新加载docker配置
(3)从仓库拉取镜像
拉取成功
在web页面可以看到我们前面操作的日志记录
三、Harbor仓库的使用
3.1、创建私有仓库
只有指定用户才可以访问私密用户
(1)新建项目
(2)创建用户
(3)将创建的用户添加到仓库成员中
3.2、私有仓库上传和拉取镜像
(1)server1向创建好的westos私有仓库上传镜像
(2)server2从私有仓库拉取镜像
(3)查看日志
四、harbor安全验证
4.1、重新部署harbor
(1)先关闭当前容器
(2)重新安装harbor
- –with-notary: 镜像信任,Notary是Docker镜像的签名工具,用来保证镜像在pull,push和传输过程中的一致性和完整性,避免中间人攻击,避免非法的镜像更新和运行。
镜像信任功能能够保证镜像的安全,只有打了信任标签的镜像才能被拉取- –with-clair: 镜像安全扫描,Harbor与Clair集成,添加漏洞扫描功能。 默认在运行harbor时漏洞扫描是没有开启的,需要重新开启并添加参数
- –with-chartmuseum: 支持chart仓库服务
4.2、镜像安全扫描
现在我们可以对仓库的镜像进行安全扫描
可以在仓库配置管理中设置自动对镜像进行安全扫描
4.3、内容信任
(1)启用内容信任功能
(2)上传镜像
上传失败,因为我们需要根部署证书
(3)部署证书
(4)再次进行镜像上传,可以看到签名成功并上传
在web页面可以看到显示已签名
(5)用server2拉取私有仓库中未签名的镜像,被拒绝
用server2拉取公共仓库的已签名的镜像,成功拉取
(6)用server1向私有仓库中重新上传该镜像,并签名
(7)此时server2可以拉取该镜像了
(8)关闭内容信任功能
304
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
