注:先决条件 必须安装docker与docker-compose并且启动docker
检查是否安装docker-compose
docker-compose -v
docker-compose version 1.25.0, build 0a186604
如果没有安装则安装docker-compose
采用离线安装docker-compose方式
下载 docker-compose-Linux-x86_64重命名为docker-compose
然后将docker-compose文件上传到服务器的/usr/local/bin/目录下
然后输入命令:
# 添加可执行权限
sudo chmod +x /usr/local/bin/docker-compose
# 查看docker-compose版本
docker-compose -v
docker-compose version 1.25.0, build 0a186604
进行harbor镜像安装
上传barbor到服务器指定目录下 然后进入目录执行命令
#解压镜像包压缩包
tar xf harbor-offline-installer-v2.0.1.tgz
#进入目录
cd harbor
***开始修改harbor安装的配置文件
#复制基础配置文件
cp harbor.yml.tmpl harbor.yml
创建用于存放harbor的持久化数据目录
mkdir -p /data/harbor
harbor.yml配置文件主要修改参数如下:
hostname: 192.168.0.8 //需要写IP地址或者域名
#http配置
http:
# port for http, default is 80. If https enabled, this port will redirect to https port
port: 1010
#https配置(如不需要 需要注释掉Https配置)
# https related config
#https:(注释掉)
# https port for harbor, default is 443
#port: 443(注释掉)
# The path of cert and key files for nginx
#certificate: /your/certificate/path(注释掉)
#private_key: /your/private/key/path(注释掉)
harbor_admin_password: Harbor12345 //admin密码
#数据库配置
database:
# The password for the root user of Harbor DB. Change this before any production use.
password: root123
# The maximum number of connections in the idle connection pool. If it <=0, no idle connections are retained.
max_idle_conns: 50
# The maximum number of open connections to the database. If it <= 0, then there is no limit on the number of open connections.
# Note: the default number of connections is 100 for postgres.
max_open_conns: 100
#持久化数据目录
data_volume: /opt/application/harbor
……
然后进行安装并启动harbor
./install.sh
安装完成查看docker容器
访问harbor WEB界面
http://ip:port admin Harbor12345
harbor的使用
1、登录harbor
# docker login 192.168.1.101
Username: admin
Password:
Error response from daemon: Get https://192.18.0.8/v2/: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)
报错原因:Docker自从1.3.X之后docker registry交互默认使用的是HTTPS,但是我们搭建私有镜像默认使用的是HTTP服务,所以与私有镜像交时出现以上错误。
报错解决:
修改Docker的配置文件/etc/docker/daemon.json :
# vim /etc/docker/daemon.json
{
"registry-mirrors": ["https://k728i8z5.mirror.aliyuncs.com"],
#如更改过harbor.yml的http端口需要加上端口号
"insecure-registries":["192.168.1.101:1010"]
}
然后重新启动Docker:
# systemctl restart docker
Harbor如何停止与启动
# cd soft/harbor //切换到harbor安装包目录
# docker-compose stop //停止Harbor
# docker-compose start //启动Harbor
harbor https证书生成与配置
知识解读
https方式部署
默认情况下,Harbor不附带证书。可以在没有安全性的情况下部署Harbor,以便您可以通过HTTP连接到它。但是,只有在没有外部网络连接的测试或开发环境中,才可以使用HTTP。在外网暴露环境中使用HTTP会使您遭受中间人攻击。在生产环境中,请始终使用HTTPS。如果启用Content Trust with Notary来正确签名所有镜像,则必须使用HTTPS。
要配置HTTPS,必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA,以及如何使用CA签署服务器证书和客户端证书。您可以使用其他CA提供程序,例如Let’s Encrypt。
以下过程假定您的Harbor注册表的主机名是yourdomain.com
,并且其DNS记录指向您在其上运行Harbor的主机。
以上是官方说明,这里以harbor.baser.cloud
域名为例进行演示,也可以直接使用IP地址代替域名配置https,但在生成证书时有两处配置稍有不同。
官方文档:https://goharbor.io/docs/2.0.0/install-config/configure-https/
生成证书颁发机构证书
在生产环境中,您应该从CA获得证书。在测试或开发环境中,您可以生成自己的CA。要生成CA证书,请运行以下命令。
1、生成CA证书私钥。
#创建目录保存证书(可选)
mkdir -p /root/harbor/ssl
cd /root/harbor/ssl
openssl genrsa -out ca.key 4096
2、生成CA证书。
调整-subj
选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN
)属性。
openssl req -x509 -new -nodes -sha512 -days 3650 \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.baser.cloud" \
-key ca.key \
-out ca.crt
如果使用IP地址,需要在执行以上命令前执行以下操作:
cd /root
openssl rand -writerand .rnd
cd -
生成服务器证书
证书通常包含一个.crt
文件和一个.key
文件,例如yourdomain.com.crt
和yourdomain.com.key
。
1、生成私钥。
openssl genrsa -out harbor.baser.cloud.key 4096
2、生成证书签名请求(CSR)。
调整-subj
选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN
)属性,并在密钥和CSR文件名中使用它。
openssl req -sha512 -new \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.baser.cloud" \
-key harbor.baser.cloud.key \
-out harbor.baser.cloud.csr
3、生成一个x509 v3扩展文件。
无论您使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为您的Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS
条目以反映您的域。
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=harbor.baser.cloud
DNS.2=harbor.baser
DNS.3=baser
EOF
如果使用ip,需要使用如下方式进行创建:
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:192.168.1.101
EOF
4、使用该v3.ext
文件为您的Harbor主机生成证书。
将yourdomain.com
CRS和CRT文件名中的替换为Harbor主机名。
openssl x509 -req -sha512 -days 3650 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in harbor.baser.cloud.csr \
-out harbor.baser.cloud.crt
提供证书给Harbor和Docker
生成后ca.crt
,yourdomain.com.crt
和yourdomain.com.key
文件,必须将它们提供给harbor和docker,和重新配置harbor使用它们。
1、将服务器证书和密钥复制到Harbor主机上的certficates文件夹中。
mkdir -p /data/cert
cp harbor.baser.cloud.crt /data/cert/
cp harbor.baser.cloud.key /data/cert/
2、转换yourdomain.com.crt
为yourdomain.com.cert
,供Docker使用。
Docker守护程序将.crt
文件解释为CA证书,并将.cert
文件解释为客户端证书。
openssl x509 -inform PEM -in harbor.baser.cloud.crt -out harbor.baser.cloud.cert
3、将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。您必须首先创建适当的文件夹。
mkdir -p /etc/docker/certs.d/harbor.baser.cloud/
cp harbor.baser.cloud.cert /etc/docker/certs.d/harbor.baser.cloud/
cp harbor.baser.cloud.key /etc/docker/certs.d/harbor.baser.cloud/
cp ca.crt /etc/docker/certs.d/harbor.baser.cloud/
如果将默认nginx
端口443映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port
或/etc/docker/certs.d/harbor_IP:port
。(省略)
4、重新启动Docker Engine。
systemctl restart docker
您可能还需要在操作系统级别信任证书。有关更多信息,请参见对Harbour安装进行故障排除。
以下示例说明了使用自定义证书的配置。
/etc/docker/certs.d/
└── yourdomain.com:port
├── yourdomain.com.cert <-- Server certificate signed by CA
├── yourdomain.com.key <-- Server key signed by CA
└── ca.crt <-- Certificate authority that signed the registry certificate
[root@harbor ~]# yum install -y tree
[root@harbor ~]# tree /etc/docker/certs.d/
/etc/docker/certs.d/
└── harbor.baser.cloud
├── ca.crt
├── harbor.baser.cloud.cert
└── harbor.baser.cloud.key
部署或重新配置harbor
如果尚未部署Harbor,请参阅配置Harbor YML文件,以获取有关如何通过在中指定hostname
和https
属性来配置Harbor以使用证书的信息harbor.yml
。
这里是全新部署,修改harbor.yml配置文件:
[root@harbor ~]# cd /data/inPa/harbor
[root@harbor harbor]# cp harbor.yml.tmpl harbor.yml
#只需修改hostname及https下的证书路径即可,其他保持默认
[root@harbor harbor]# more harbor.yml
# Configuration file of Harbor
# The IP address or hostname to access admin UI and registry service.
# DO NOT use localhost or 127.0.0.1, because Harbor needs to be accessed by external clients.
hostname: harbor.baser.cloud
# http related config
http:
# port for http, default is 80. If https enabled, this port will redirect to https port
port: 80
# https related config
https:
# https port for harbor, default is 443
port: 443
# The path of cert and key files for nginx
certificate: /data/cert/harbor.baser.cloud.crt
private_key: /data/cert/harbor.baser.cloud.key
...
执行harbor部署
./install.sh
已经使用http方式部署harbor的情况
如果您已经使用HTTP部署了Harbor,并希望将其重新配置为使用HTTPS,请执行以下步骤。
1、运行prepare
脚本以启用HTTPS。
Harbor将nginx
实例用作所有服务的反向代理。您可以使用prepare
脚本来配置nginx
为使用HTTPS。该prepare
在港的安装包,在同级别的install.sh
脚本。
./prepare
2、如果Harbor正在运行,请停止并删除现有实例。
您的镜像数据保留在文件系统中,因此不会丢失任何数据。
docker-compose down -v
3、重启harbor:
docker-compose up -d
验证HTTPS连接
为Harbor设置HTTPS之后,您可以通过执行以下步骤来验证HTTPS连接。
1、打开浏览器,然后输入https://yourdomain.com。它应该显示Harbor界面。
某些浏览器可能会显示警告,指出证书颁发机构(CA)未知。使用不是来自受信任的第三方CA的自签名CA时,会发生这种情况。您可以将CA导入浏览器以删除警告。
注意,这里的CA证书位于harbor节点/root/harbor/ssl/ca.crt。
以chrome浏览器导入证书为例,搜索栏输入以下内容,下拉选择管理证书,选择受信任的证书颁发机构,然后导入ca.crt重启浏览器使用域名访问即可。
chrome://settings/security
如果没有配置dns,需要配置hosts解析
C:\Windows\System32\drivers\etc\
#hosts文件加入以下内容
192.168.1.101 harbor.baser.cloud
从Docker客户端登录Harbor(这里从harbor节点登录)。
[root@harbor ~]# echo "192.168.1.101 harbor.baser.cloud" >> /etc/hosts
[root@harbor ~]# docker login harbor.baser.cloud
Username: admin
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
如果已将nginx
443端口映射到其他端口,请在login
命令中添加该端口。
docker login yourdomain.com:port
注意:从其他节点docker客户端登录harbor,必须分发ca.crt到对应客户端
对应节点执行以下操作:
[root@test ~]# mkdir -p /etc/docker/certs.d/harbor.baser.cloud/
[root@test ~]# scp 192.168.1.101:/root/harbor/ssl/ca.crt ca.crt /etc/docker/certs.d/harbor.baser.cloud/
# 停止容器
docker-compose stop
# 后台启动容器
docker-compose up -d