一、简介
Harbor是由VMware公司开源的企业级的Docker Registry管理项目,用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。
作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。
Harbor官方网站
Harbor被部署为多个Docker容器。因此,您可以将其部署在任何支持Docker的Linux发行版上。目标主机需要Docker和Docker Compose才能安装。
二、环境准备
1、硬件需求
下表列出了用于部署Harbor的最低和建议的硬件配置。
2、软件需求
下表列出了必须在目标主机上安装的软件版本。
3、网络端口
4、安装方式
从官方发布git仓库页面下载Harbor安装程序 。
下载联机安装程序或脱机安装程序。
在线安装包
离线安装包
离线安装包百度云提取码:w55i
三、安装部署
本文采用离线方式安装
1、安装docker docker-compose
wget -P /etc/yum.repos.d/ https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo yum install epel-release -y yum install docker-ce -y yum install docker-compose -y systemctl start docker &&systemctl enbale docker && systemctl status docker
查看docker版本和docker-compose版本
[root@hub2 /] Client: Debug Mode: false Server: Containers: 11 Running: 11 Paused: 0 Stopped: 0 Images: 103 Server Version: 19.03.1 [root@hub2 /] docker-compose version 1.18.0, build 8dd22a9
2、下载离线安装包并解压
wget https://github.com/goharbor/harbor/releases/download/v1.10.1/harbor-offline-installer-v1.10.1.tgz tar xvf harbor-offline-installer-v1.10.1.tgz [root@hub2 ~] harbor ├── common │ └── config │ ├── core │ │ ├── app.conf │ │ ├── certificates │ │ └── env │ ├── db │ │ └── env │ ├── jobservice │ │ ├── config.yml │ │ └── env │ ├── log │ │ ├── logrotate.conf │ │ └── rsyslog_docker.conf │ ├── nginx │ │ ├── conf.d │ │ └── nginx.conf │ ├── registry │ │ ├── config.yml │ │ └── root.crt │ └── registryctl │ ├── config.yml │ └── env ├── common.sh ├── docker-compose.yml ├── harbor.v1.10.1.tar.gz ├── harbor.yml ├── install.sh ├── LICENSE └── prepare
3、配置对Harbor的HTTPS访问
注:如果不使用https方式可以跳过此步骤,直接修改文件后部署,使用http方式在部署后需要在docker上添加为信任节点
vim /etc/docker/daemon.json { "insecure-registries" : ["192.168.21.210:5000"] }
3.1生成证书颁发机构证书
生成CA证书私钥。
openssl genrsa -out ca.key 4096
生成CA证书。
openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \ -key ca.key \ -out ca.crt
3.2生成服务器证书
证书通常包含一个.crt文件和一个.key文件,例如yourdomain.com.crt和yourdomain.com.key。
生成私钥
openssl genrsa -out yourdomain.com.key 4096
生成证书签名请求(CSR)
调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为公用名(CN)属性,并在密钥和CSR文件名中使用它。
#使用域名或者Ip地址替换命令中的"CN=yourdomain.com",域名需替换
openssl req -sha512 -new \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \ -key yourdomain.com.key \ -out yourdomain.com.csr
生成一个x509 v3扩展文件
无论您使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为您的Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映您的域。
cat > v3.ext <<-EOF authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1=yourdomain.com DNS.2=yourdomain DNS.3=hostname EOF cat > v3.ext <<-EOF authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = IP:x.x.x.x EOF
注:使用域名访问方式,直接修改官方模板中的DNS.1 DNS.2 …
使用该v3.ext文件为您的Harbor主机生成证书。
openssl x509 -req -sha512 -days 3650 \ -extfile v3.ext \ -CA ca.crt -CAkey ca.key -CAcreateserial \ -in yourdomain.com.csr \ -out yourdomain.com.crt
3.3提供证书给Harbor和Docker
mkdir -p /data/cert/ cp yourdomain.com.crt /data/cert/ cp yourdomain.com.key /data/cert/
3.4 docker客户端证书文件转换
转换yourdomain.com.crt为yourdomain.com.cert,供Docker使用。
Docker守护程序将.crt文件解释为CA证书,并将.cert文件解释为客户端证书。
openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert
3.5服务器证书拷贝
将服务器证书,密钥和CA文件复制到Harbor主机上的Docker certificate文件夹中。您必须首先创建适当的文件夹。
mkdir -p /etc/docker/certs.d/yourdomain.com/ cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/ cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/ cp ca.crt /etc/docker/certs.d/yourdomain.com/
如果将默认nginx端口443 映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port。
以下示例说明了使用自定义证书的配置。
/etc/docker/certs.d/ └── yourdomain.com:port ├── yourdomain.com.cert <-- Server certificate signed by CA ├── yourdomain.com.key <-- Server key signed by CA └── ca.crt <-- Certificate authority that signed the registry certificate
4、修改配置文件harbor.yml
配置文件说明详情见官方文档:
vim /harbor/harbor.yml hostname: ... https: port: 443 certificate: /data/cert/yourdomain.com.crt private_key: /data/cert/yourdomain.com.key ... harbor_admin_password: Harbor12345
5、部署或重新配置harbor
5.1运行prepare脚本以启用HTTPS。
Harbor将nginx实例用作所有服务的反向代理。您可以使用prepare脚本来配置nginx为使用HTTPS。
./prepare
5.2如果Harbor正在运行,请停止并删除现有实例,镜像数据保留在文件系统中,不会丢失任何数据。
docker-compose down -v
5.3重启harbor:
docker-compose up -d
注:如果是第一次安装Harbor,没有启动过,这里就需要执行安装脚本而不是执行docker-compose命令了。
./install.sh
四、验证HTTPS连接
为Harbor设置HTTPS之后,您可以通过执行以下步骤来验证HTTPS连接。
1、浏览器验证
打开浏览器,然后输入https://yourdomain.com。它应该显示Harbor界面。
某些浏览器可能会显示警告,指出证书颁发机构(CA)未知。使用不是来自受信任的第三方CA的自签名CA时,会发生这种情况。您可以将CA导入浏览器以删除警告。
在运行Docker守护程序的机器上,检查/etc/docker/daemon.json文件以确保-insecure-registry未为https://yourdomain.com设置该选项。
2、Docker客户端验证
从Docker登录Harbor。
docker login yourdomain.com
如果已将nginx443端口映射到其他端口,请在login命令中添加该端口。
docker login yourdomain.com:port
原文链接:https://blog.csdn.net/damo_zero/article/details/105975347