使用 Harbor 提供可信镜像

最新推荐文章于 2022-08-17 09:39:16 发布
最新推荐文章于 2022-08-17 09:39:16 发布
阅读量615 收藏
点赞数
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhikun518/article/details/113878815
版权

应用上云的过程中,过了部署关和应用改造关之后,安全就是下一个大问题了。对于容器化应用来说,镜像的安全是个非常根本的问题,例如 Harbor 中集成了 Clair 组件,用于对镜像进行漏洞扫描;之前介绍的 Trivy 也能够提供对镜像各层进行扫描的能力,类似的工具还有很多。在完成镜像本身的安全保障之后,一方面要把安全构建出来的镜像能够”原汁原味“的提供给运行时进行使用,同时还要对运行时环境进行约束,只允许获取和运行可靠镜像,如此才能够保证镜像供应链的完整。

快速上手
Harbor 中提供了 Notary 服务来提供了这方面的保障,Docker 17.12 之后也提供了对应的运行时支持。

这里用 1.10.0 版本的 Harbor 为例,在安装命令中加入参数 --with-notary 就可以启用这个服务了。启动 Harbor 之后,使用 Docker 客户端的终端设置环境变量:

export DOCKER_CONTENT_TRUST=1

启用 Docker 的内容信任模式。

这里多出了一个初始化过程,在我们照章输入密码之后,发现出了错,这是因为我们没有设置 Notary 服务地址,加入环境变量来解决:

export DOCKER_CONTENT_TRUST_SERVER=https://hub.docker.com:4443

做完上面这些,在推送镜像的时候,可能出现下面的错误

ERRO[0000] could not reach https://127.0.0.1:4443: Get https://127.0.0.1:4443/v2/: x509: certificate signed by unknown authority

这样来解决

 
 

mkdir -p ~/.docker/tls/hub.docker.com:4443/

 

cp /etc/docker/certs.d/hub.docker.com/ca.crt ~/.docker/tls/hub.docker.com:4443/

Joken0704
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
harbor总结
柠是柠檬的檬的博客
08-19 1118
harbor总结
Docker ❀ 构建Docker仓库Harbor过程详解(配置文件全参解析注释)
无糖可乐没有灵魂
10-26 1383
文章目录1、安装底层版本要求2、安装Harbor(1)校验文件(2)创建私钥文件、证书请求文件、证书文件使用算法3DES生成大小为2048的秘钥文件KEY生成根证书请求文件CSR备份私钥文件生成根证书CA查看证书信息创建证书存放目录与修改权限(3)修改Harbor配置文件Harbor配置文件参数详解(重点):执行安装操作(4)使用浏览器访问站点(5)上传镜像Harbor指定镜像仓库地址配置登录验证 1、安装底层版本要求 Python 2.7或更高版本 Docker 1.10或更高版本 Docker C
harbor各组件功能介绍及龙芯适配工作
qq_25650463的博客
02-24 3283
1.harbor启动后服务名称: root@long-pc:/home/long/harbor# docker-compose ps Name Command State Ports harbor-core /harbor/entrypoint.sh Up (health: starting) harbor-db /docker-entrypoi
Harbor配置https,并安装内容信任插件(notary)
abebrcj842175的博客
08-30 1491
1.配置https https://github.com/goharbor/harbor/blob/master/docs/configure_https.md 2.harbor安装notary插件 ./install.sh --with-notary 3.复制证书到客户端 开启https后,客户端需把ca.crt 复制到 /etc/docker/certs.d/domain...
harbor仓库 镜像签名
weixin_51129538的博客
01-29 1003
关闭卸载 清理配置 部署,有扫描–with-clair ,有认证–with-chartmuseum,有helm charts 模块加入–with-notary 列出模块,发现更多镜像 web多的项目 上传新的镜像,未扫描 进行扫描 打开自动扫描,重新上传, 测试已经扫描 开启内容信任,只有有认证的可以被使用 server2主机测试获取,失败,之前的镜像都没有认证 作认证 上传需要输入密码两个一个root的和repository的 检测没有漏洞并且有认证 server2主机此
Centos7安装harbor+ssl登录测试(亲测可用)
ccren的专栏
09-18 2321
1、安装依赖 yum install ebtables ethtool iproute iptables socat util-linux wget openssl-devel -y 2、安装docker yum install docker-ce 3、安装 docker-compose yum install epel-release -y yum install python-pip...
Harbor私有镜像仓库部署包
最新发布
03-15
解压得到部署harbor私有镜像仓库所需的docker-ce、docker-compose、harbor包...使用docker-compose命令启动harbor镜像仓库的容器 5.本地windows浏览器访问配置 白屏创建项目空间,客户端docker push和docker pull测试。
如何使用Harbor私有镜像仓库.zip
05-28
本视频详细总结了如何使用Harbor私有镜像仓库,视频教程:https://www.bilibili.com/video/BV1ss4y1T7gB?p=1
harbor镜像仓库维护手册
02-11
Harbor 镜像仓库维护手册 Harbor 镜像仓库是基于 Docker 的...Harbor 镜像仓库维护手册提供Harbor 的启动、停止、日志查看、Swagger API 配置、清理等操作的详细介绍,旨在帮助用户更好地使用 Harbor 镜像仓库。
Harbor镜像仓库安装包v2.10.0版本(harbor-offline-installer-v2.10.0.tgz)
01-29
harbor镜像离线安装包最新版本下载包 用于安装harbor镜像仓库 下载后解压会得到harbor镜像仓库安装所需的所有文件 ...结合gitalbCICD自动化集成部署使用harbor镜像仓库存储生成的镜像版本,更好的维护项目镜像
bitnami-docker-harbor-notary-server:用于Harbour公证服务器的Bitnami Docker映像
04-08
什么是Harbor Notary Server? Harbor Notary Server是Harbor的可选组件,Harbour是一个云本机注册表,用于存储,签名和扫描内容。 将Notary Server和Notary Signer添加到Harbor部署将允许用户签署其docker映像。 公证服务器是一部分,该旨在通过使人们易于发布和验证内容来使互联网更加安全。 TL; DR 该容器是一部分,主要用于Kubernetes中。 您可以部署Harbor解决方案,然后使用以下命令启用此特定容器: $ curl -LO https://raw.githubusercontent.com/bitnami/bitnami-docker-harbor-portal/master/docker-compose.yml $ curl -L https://github.com/bitnami/
Harbor2.6.0 最新版私有镜像仓库
09-03
Harbor2.6.0 最新版私有镜像仓库
安装Harbor Notary时报错: Failed to Setup IP tables
锐意工作室
03-12 753
安装Harbor Notary时报错: Failed to Setup IP tables 运行命令./install.sh --with-notary安装Harbor Notary时报错: ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t...
安装Harbor Notary后登录提示密码错误
锐意工作室
03-12 5114
安装Harbor Notary后登录提示密码错误 遇到一个古怪的问题,安装Harbor Notary登录不了Harbor页面,提示密码错误。 解决方法是把Harbor和Notary重启一下: docker-compose -f ./docker-compose.yml -f ./docker-compose.notary.yml stop docker-compose -f ./docker-co...
【Docker】Harbor部署、漏洞扫描、内容信任
sl963216757的博客
06-28 1378
一、Harbor简介 虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。 Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。 它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制, AD/LDAP 集成,日志审核等功能,完全的支持中文。 二、Harbor 的主要
记一次在k8s集群搭建的Harbor私有仓库无法提供服务之镜像迁移恢复实践
WeiyiGeek 唯一极客IT知识分享
04-07 532
本章目录:记一次在k8s集群搭建的Harbor私有仓库无法提供服务之镜像迁移恢复实践描述: Harbor 是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用R...
Harbor----使用 Harbor 安装包安装部署 Harbor
mojolang
08-17 3383
Harbor----使用 Harbor 安装包安装部署 Harbor
harbor证书问题
Kevin
11-28 1839
参考 https://goharbor.io/docs/1.10/install-config/configure-https/ https://goharbor.io/docs/1.10/install-config/troubleshoot-installation/#https 生成自己的CA 默认情况下,Harbor不附带证书。可以在没有安全性的情况下部署Harbor,以便您可以通过HTTP连接到它。但是,只有在没有外部互联网连接的空白测试或开发环境中,才可以使用HTTP。在没有空隙的环境中使用
VMware Harbor学习
weixin_34290390的博客
03-20 158
同时安装Clair和Notary# ./install.sh --with-notary --with-clair 与notary或者Clair一起安装时管理Harbor的生命周期当Harbour与Notary或者Clair一起安装时,docker-compose命令需要指定一个或者两个额外的模板文件。用于管理Harbour生命周期的docker-compose命令是: # docker-co...
golang 调用harbor api删除镜像
08-17
使用Golang调用Harbor API删除镜像,可以按照以下步骤进行操作: 1. 导入相关的Golang软件包: ```go import ( "bytes" "net/http" ) ``` 2. 构建HTTP请求: ```go func createRequest(method, url string, ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值