使用 Harbor 提供可信镜像

最新推荐文章于 2023-08-03 19:01:57 发布
最新推荐文章于 2023-08-03 19:01:57 发布
阅读量614 收藏
点赞数
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhikun518/article/details/113878815
版权

应用上云的过程中,过了部署关和应用改造关之后,安全就是下一个大问题了。对于容器化应用来说,镜像的安全是个非常根本的问题,例如 Harbor 中集成了 Clair 组件,用于对镜像进行漏洞扫描;之前介绍的 Trivy 也能够提供对镜像各层进行扫描的能力,类似的工具还有很多。在完成镜像本身的安全保障之后,一方面要把安全构建出来的镜像能够”原汁原味“的提供给运行时进行使用,同时还要对运行时环境进行约束,只允许获取和运行可靠镜像,如此才能够保证镜像供应链的完整。

快速上手
Harbor 中提供了 Notary 服务来提供了这方面的保障,Docker 17.12 之后也提供了对应的运行时支持。

这里用 1.10.0 版本的 Harbor 为例,在安装命令中加入参数 --with-notary 就可以启用这个服务了。启动 Harbor 之后,使用 Docker 客户端的终端设置环境变量:

export DOCKER_CONTENT_TRUST=1

启用 Docker 的内容信任模式。

这里多出了一个初始化过程,在我们照章输入密码之后,发现出了错,这是因为我们没有设置 Notary 服务地址,加入环境变量来解决:

export DOCKER_CONTENT_TRUST_SERVER=https://hub.docker.com:4443

做完上面这些,在推送镜像的时候,可能出现下面的错误

ERRO[0000] could not reach https://127.0.0.1:4443: Get https://127.0.0.1:4443/v2/: x509: certificate signed by unknown authority

这样来解决

 
 

mkdir -p ~/.docker/tls/hub.docker.com:4443/

 

cp /etc/docker/certs.d/hub.docker.com/ca.crt ~/.docker/tls/hub.docker.com:4443/

Joken0704
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
harbor总结
柠是柠檬的檬的博客
08-19 1108
harbor总结
Docker ❀ 构建Docker仓库Harbor过程详解(配置文件全参解析注释)
无糖可乐没有灵魂
10-26 1375
文章目录1、安装底层版本要求2、安装Harbor(1)校验文件(2)创建私钥文件、证书请求文件、证书文件使用算法3DES生成大小为2048的秘钥文件KEY生成根证书请求文件CSR备份私钥文件生成根证书CA查看证书信息创建证书存放目录与修改权限(3)修改Harbor配置文件Harbor配置文件参数详解(重点):执行安装操作(4)使用浏览器访问站点(5)上传镜像Harbor指定镜像仓库地址配置登录验证 1、安装底层版本要求 Python 2.7或更高版本 Docker 1.10或更高版本 Docker C
Harbor配置https,并安装内容信任插件(notary)
abebrcj842175的博客
08-30 1489
1.配置https https://github.com/goharbor/harbor/blob/master/docs/configure_https.md 2.harbor安装notary插件 ./install.sh --with-notary 3.复制证书到客户端 开启https后,客户端需把ca.crt 复制到 /etc/docker/certs.d/domain...
harbor各组件功能介绍及龙芯适配工作
qq_25650463的博客
02-24 3254
1.harbor启动后服务名称: root@long-pc:/home/long/harbor# docker-compose ps Name Command State Ports harbor-core /harbor/entrypoint.sh Up (health: starting) harbor-db /docker-entrypoi
harbor仓库 镜像签名
weixin_51129538的博客
01-29 972
关闭卸载 清理配置 部署,有扫描–with-clair ,有认证–with-chartmuseum,有helm charts 模块加入–with-notary 列出模块,发现更多镜像 web多的项目 上传新的镜像,未扫描 进行扫描 打开自动扫描,重新上传, 测试已经扫描 开启内容信任,只有有认证的可以被使用 server2主机测试获取,失败,之前的镜像都没有认证 作认证 上传需要输入密码两个一个root的和repository的 检测没有漏洞并且有认证 server2主机此
Centos7安装harbor+ssl登录测试(亲测可用)
ccren的专栏
09-18 2315
1、安装依赖 yum install ebtables ethtool iproute iptables socat util-linux wget openssl-devel -y 2、安装docker yum install docker-ce 3、安装 docker-compose yum install epel-release -y yum install python-pip...
Harbor私有镜像仓库部署包
最新发布
03-15
解压得到部署harbor私有镜像仓库所需的docker-ce、docker-compose、harbor包...使用docker-compose命令启动harbor镜像仓库的容器 5.本地windows浏览器访问配置 白屏创建项目空间,客户端docker push和docker pull测试。
如何使用Harbor私有镜像仓库.zip
05-28
本视频详细总结了如何使用Harbor私有镜像仓库,视频教程:https://www.bilibili.com/video/BV1ss4y1T7gB?p=1
harbor镜像仓库维护手册
02-11
Harbor 镜像仓库维护手册 Harbor 镜像仓库是基于 Docker 的...Harbor 镜像仓库维护手册提供Harbor 的启动、停止、日志查看、Swagger API 配置、清理等操作的详细介绍,旨在帮助用户更好地使用 Harbor 镜像仓库。
Harbor镜像仓库安装包v2.10.0版本(harbor-offline-installer-v2.10.0.tgz)
01-29
harbor镜像离线安装包最新版本下载包 用于安装harbor镜像仓库 下载后解压会得到harbor镜像仓库安装所需的所有文件 ...结合gitalbCICD自动化集成部署使用harbor镜像仓库存储生成的镜像版本,更好的维护项目镜像
bitnami-docker-harbor-notary-server:用于Harbour公证服务器的Bitnami Docker映像
04-08
什么是Harbor Notary Server? Harbor Notary Server是Harbor的可选组件,Harbour是一个云本机注册表,用于存储,签名和扫描内容。 将Notary Server和Notary Signer添加到Harbor部署将允许用户签署其docker映像。 公证服务器是一部分,该旨在通过使人们易于发布和验证内容来使互联网更加安全。 TL; DR 该容器是一部分,主要用于Kubernetes中。 您可以部署Harbor解决方案,然后使用以下命令启用此特定容器: $ curl -LO https://raw.githubusercontent.com/bitnami/bitnami-docker-harbor-portal/master/docker-compose.yml $ curl -L https://github.com/bitnami/
Harbor2.6.0 最新版私有镜像仓库
09-03
Harbor2.6.0 最新版私有镜像仓库
安装Harbor Notary时报错: Failed to Setup IP tables
锐意工作室
03-12 751
安装Harbor Notary时报错: Failed to Setup IP tables 运行命令./install.sh --with-notary安装Harbor Notary时报错: ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t...
安装Harbor Notary后登录提示密码错误
锐意工作室
03-12 5109
安装Harbor Notary后登录提示密码错误 遇到一个古怪的问题,安装Harbor Notary登录不了Harbor页面,提示密码错误。 解决方法是把Harbor和Notary重启一下: docker-compose -f ./docker-compose.yml -f ./docker-compose.notary.yml stop docker-compose -f ./docker-co...
【Docker】Harbor部署、漏洞扫描、内容信任
sl963216757的博客
06-28 1362
一、Harbor简介 虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。 Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。 它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制, AD/LDAP 集成,日志审核等功能,完全的支持中文。 二、Harbor 的主要
记一次在k8s集群搭建的Harbor私有仓库无法提供服务之镜像迁移恢复实践
WeiyiGeek 唯一极客IT知识分享
04-07 528
本章目录:记一次在k8s集群搭建的Harbor私有仓库无法提供服务之镜像迁移恢复实践描述: Harbor 是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用R...
Harbor----使用 Harbor 安装包安装部署 Harbor
mojolang
08-17 3344
Harbor----使用 Harbor 安装包安装部署 Harbor
VMware Harbor学习
weixin_34290390的博客
03-20 154
同时安装Clair和Notary# ./install.sh --with-notary --with-clair 与notary或者Clair一起安装时管理Harbor的生命周期当Harbour与Notary或者Clair一起安装时,docker-compose命令需要指定一个或者两个额外的模板文件。用于管理Harbour生命周期的docker-compose命令是: # docker-co...
记一次harbor2.4.3证书更换问题处理过程与分析
qq1314233的博客
08-03 614
4.在harbor安装目录下面执行docker-compose down 停止所有容器,再执行docker-compose up -d 来重启所有容器,再查看所有容器状态。8.最后我使用./install --with-chartmuseum --with-notary --with-trivy来重启所有容器,ok,问题解决。7.这与我们前面的13个容器不一样,登录ui页面也登录不了,而且docker-compose.yml文件也变了,我仔细查看了另外4个容器的镜像
golang 调用harbor api删除镜像
08-17
使用Golang调用Harbor API删除镜像,可以按照以下步骤进行操作: 1. 导入相关的Golang软件包: ```go import ( "bytes" "net/http" ) ``` 2. 构建HTTP请求: ```go func createRequest(method, url string, payload []byte) (*http.Request, error) { req, err := http.NewRequest(method, url, bytes.NewBuffer(payload)) if err != nil { return nil, err } req.Header.Set("Content-Type", "application/json") return req, nil } ``` 3. 发送HTTP请求并获取响应: ```go func sendRequest(req *http.Request) (*http.Response, error) { client := http.DefaultClient resp, err := client.Do(req) if err != nil { return nil, err } return resp, nil } ``` 4. 构建删除镜像的URL: ```go func buildDeleteURL(baseURL, projectName, repoName, tag string) string { return fmt.Sprintf("%s/api/repositories/%s/%s/tags/%s", baseURL, projectName, repoName, tag) } ``` 5. 执行删除镜像的操作: ```go func deleteImage(baseURL, projectName, repoName, tag, username, password string) error { url := buildDeleteURL(baseURL, projectName, repoName, tag) req, err := createRequest("DELETE", url, nil) if err != nil { return err } req.SetBasicAuth(username, password) resp, err := sendRequest(req) if err != nil { return err } defer resp.Body.Close() if resp.StatusCode != http.StatusOK { return fmt.Errorf("Failed to delete image. Status code: %d", resp.StatusCode) } return nil } ``` 其中,baseURL是Harbor的URL,projectName是项目名称,repoName是镜像仓库名称,tag是镜像标签,username和password是Harbor API的登录凭证。 通过以上步骤,就可以使用Golang调用Harbor API删除镜像了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值