以下操作均在 Harbor镜像仓库安装(http模式)之后
参考文档:
goharbor.io/docs/1.10/i… goharbor.io/docs/1.10/i…
默认情况下,Harbor不附带证书。可以在没有安全性的情况下部署Harbor,以便您可以通过HTTP连接到它。但是,只有在没有外部网络连接的空白测试或开发环境中,才可以使用HTTP。在没有空隙的环境中使用HTTP会使您遭受中间人攻击。在生产环境中,请始终使用HTTPS。如果启用Content Trust with Notary来正确签名所有图像,则必须使用HTTPS。
要配置HTTPS,必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书
新建临时文件夹 ~/ssl 后续操作均在此文件夹
1. 生成证书颁发机构证书
在生产环境中,您应该从CA获得证书。在测试或开发环境中,您可以生成自己的CA。要生成CA证书,请运行以下命令。
1.1 生成CA证书私钥。
Copy
openssl genrsa -out ca.key 4096
1.2 生成CA证书
调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性。
Copy
openssl req -x509 -new -nodes -sha512 -days 3650 \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.od.com" \
-key ca.key \
-out ca.crt
如果是ip访问, 将 harbor.od.com 改成 ip地址
2. 生成服务器证书
证书通常包含一个.crt文件和一个.key文件
2.1 生成私钥
Copy
openssl genrsa -out harbor.od.com.key 4096
2.2 生成证书签名请求(CSR)
Copy
openssl req -sha512 -new \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.od.com" \
-key harbor.od.com.key \
-out harbor.od.com.csr
如果是ip访问, 将 harbor.od.com 改成 ip地址
2.3 生成一个x509 v3扩展文件
无论您使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为您的Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映您的域
Copy
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=harbor.od.com
DNS.2=harbor.od.com
DNS.3=harbor.od.com
EOF
- 如果是ip访问
Copy
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:192.168.31.200
EOF
2.4 使用该v3.ext文件为您的Harbor主机生成证书
Copy
openssl x509 -req -sha512 -days 3650 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in harbor.od.com.csr \
-out harbor.od.com.crt
如果是ip访问, 将 harbor.od.com 改成 ip地址
3. 提供证书给Harbor和Docker
生成后ca.crt,harbor.od.com.crt和harbor.od.com.key文件,必须将它们提供给Harbor和docker,重新配置它们
3.1 将服务器证书和密钥复制到Harbor主机上的/data/cert/文件夹中
Copy
mkdir -p /data/cert/
cp harbor.od.com.crt /data/cert/
cp harbor.od.com.key /data/cert/
3.2 转换harbor.od.com.crt为harbor.od.com.cert,供Docker使用
Docker守护程序将.crt文件解释为CA证书,并将.cert文件解释为客户端证书
Copy
openssl x509 -inform PEM -in harbor.od.com.crt -out harbor.od.com.cert
3.3 将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。您必须首先创建适当的文件夹
Copy
mkdir -p /etc/docker/certs.d/harbor.od.com/
cp harbor.od.com.cert /etc/docker/certs.d/harbor.od.com/
cp harbor.od.com.key /etc/docker/certs.d/harbor.od.com/
cp ca.crt /etc/docker/certs.d/harbor.od.com/
如果将默认nginx端口443 映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port
3.4 重新启动Docker Engine
Copy
systemctl restart docker
3.5 证书的目录结构
Copy
/etc/docker/certs.d/
└── harbor.od.com
├── ca.crt
├── harbor.od.com.cert
└── harbor.od.com.key
4. 部署或重新配置Harbor
harbor.yml
Copy
hostname: harbor.od.com
http:
port: 80
https:
port: 443
certificate: /data/cert/harbor.od.com.crt
private_key: /data/cert/harbor.od.com.key
external_url: https://harbor.od.com
harbor_admin_password: Harbor12345
database:
password: root123
max_idle_conns: 50
max_open_conns: 100
data_volume: /data/harbor
clair:
updaters_interval: 12
jobservice:
max_job_workers: 10
notification:
webhook_job_max_retry: 10
chart:
absolute_url: disabled
log:
level: info
local:
rotate_count: 50
rotate_size: 200M
location: /data/harbor/logs
_version: 1.10.0
proxy:
http_proxy:
https_proxy:
no_proxy:
components:
- core
- jobservice
- clair
4.1 运行prepare脚本以启用HTTPS
Harbor将nginx实例用作所有服务的反向代理。您可以使用prepare脚本来配置nginx为使用HTTPS
Copy
./prepare
4.2 如果Harbor正在运行,请停止并删除现有实例
您的图像数据保留在文件系统中,因此不会丢失任何数据
Copy
docker-compose down -v
4.3 重启docker
Copy
docker-compose up -d
5. 验证HTTPS连接
打开浏览器,然后输入https://harbor.od.com。它应该显示Harbor界面
6. harbor使用
k8s或docker 客户端配置
vi /etc/docker/daemon.json
{
"registry-mirrors": ["https://我的华为镜像地址.mirror.swr.myhuaweicloud.com"],
增加以下两个配置
"exec-opts": ["native.cgroupdriver=systemd"],
"insecure-registries": ["192.168.8.75"]
}
重新启动docker
systemctl restart docker && systemctl status docker -l
如未做以上配置以下配置、客户端docker login 会有失败消息提示** # x509c**,但不影响在harbor服务器内部做以下登录操作。
生产环境需要在harbor webui下新增用户,在harbor服务器内测试可用harbor.yml配置的用户登录
# 使用前先登录
$ docker login XXX.XXX.XXX.XXX
Username:
Password:
Login Succeeded
# 上传之前先打tag
docker pull k8s.gcr.io/kubernetes-dashboard
docker tag k8s.gcr.io/kubernetes-dashboard XXX.XXX.XXX.XXX/library/k8s.gcr.io/kubernetes-dashboard
# 上传镜像
docker push XXX.XXX.XXX.XXX/library/k8s.gcr.io/kubernetes-dashboard
# 下载镜像
docker pull XXX.XXX.XXX.XXX/library/k8s.gcr.io/kubernetes-dashboard
