docker-compose 部署harbor(http\https)

网友投稿 447 2022-10-23

docker-compose 部署harbor(http\https)

harbor安装

官方安装文档:

-fsSL | bash -s docker --mirror Aliyun

#配置镜像加速

mkdir -p /etc/docker

tee /etc/docker/daemon.json <<-'EOF'

{

"registry-mirrors": ["enable --now docker

安装docker-compose

version=1.26.2

curl -L -s`-`uname -m` -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

harbor分为在线安装和离线安装,这里使用离线安装方式。

离线包下载:

/root/

version=v2.0.1

mkdir -p /data/packages && cd /data/packages

wget -zxf harbor-offline-installer-${version}.tgz

harbor]# cp harbor.yml.tmpl harbor.yml

[root@harbor harbor]# more harbor.yml

hostname: 192.168.93.9

# # port for harbor, default is 443

#  port: 443

#  # The path of cert and key files for nginx

#  certificate: /data/cert/registry.harbor.com.crt

#  private_key: /data/cert/registry.harbor.com.key

安装Harbor:

./install.sh

配置harbor开机随系统启动,服务器重启后默认harbor无法正常启动,可以使用systemd管理harbor启停:

cat > /usr/lib/systemd/system/harbor.service << 'EOF'

[Unit]

Description=Harbor

After=docker.service systemd-networkd.service systemd-resolved.service

Requires=docker.service

Documentation=-f ${harbor_install_path}/harbor/docker-compose.yml up

ExecStop=/usr/local/bin/docker-compose -f ${harbor_install_path}/harbor/docker-compose.yml down

[Install]

WantedBy=multi-user.target

EOF

配置开机启动

systemctl enable --now harbor

Trust with Notary来正确签名所有镜像,则必须使用HTTPS。

要配置HTTPS,必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA,以及如何使用CA签署服务器证书和客户端证书。您可以使用其他CA提供程序,例如Let’s Encrypt。

以下过程假定您的Harbor注册表的主机名是yourdomain.com,并且其DNS记录指向您在其上运行Harbor的主机。

以上是官方说明,这里以registry.harbor.com域名为例进行演示,也可以直接使用IP地址代替域名配置-p /root/harbor/ssl

cd /root/harbor/ssl

openssl genrsa -out ca.key 4096

2、生成CA证书。

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性。

openssl req -x509 -new -nodes -sha512 -days 3650 \

-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=registry.harbor.com" \

-key ca.key \

-out ca.crt

生成服务器证书

证书通常包含一个.crt文件和一个.key文件,例如yourdomain.com.crt和yourdomain.com.key。

1、生成私钥。

openssl genrsa -out registry.harbor.com.key 4096

2、生成证书签名请求(CSR)。

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性,并在密钥和CSR文件名中使用它。

openssl req -sha512 -new \

-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=registry.harbor.com" \

-key registry.harbor.com.key \

-out registry.harbor.com.csr

3、生成一个x509 v3扩展文件。

无论您使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为您的Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映您的域。

cat > v3.ext <<-EOF

authorityKeyIdentifier=keyid,issuer

basicConstraints=CA:FALSE

keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment

extendedKeyUsage = serverAuth

subjectAltName = @alt_names

[alt_names]

DNS.1=registry.harbor.com

DNS.2=registry.harbor

DNS.3=harbor

EOF

如果使用ip,需要使用如下方式进行创建:

cat > v3.ext <<-EOF

authorityKeyIdentifier=keyid,issuer

basicConstraints=CA:FALSE

keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment

extendedKeyUsage = serverAuth

subjectAltName = IP:192.168.93.9

EOF

4、使用该v3.ext文件为您的Harbor主机生成证书。

将yourdomain.comCRS和CRT文件名中的替换为Harbor主机名。

openssl x509 -req -sha512 -days 3650 \

-extfile v3.ext \

-CA ca.crt -CAkey ca.key -CAcreateserial \

-in registry.harbor.com.csr \

-out registry.harbor.com.crt

提供证书给Harbor和Docker

生成后ca.crt,yourdomain.com.crt和yourdomain.com.key文件,必须将它们提供给harbor和docker,和重新配置harbor使用它们。

1、将服务器证书和密钥复制到Harbor主机上的certficates文件夹中。

mkdir -p /data/cert

cp registry.harbor.com.crt /data/cert/

cp registry.harbor.com.key /data/cert/

2、转换yourdomain.com.crt为yourdomain.com.cert,供Docker使用。

Docker守护程序将.crt文件解释为CA证书,并将.cert文件解释为客户端证书。

openssl x509 -inform PEM -in registry.harbor.com.crt -out registry.harbor.com.cert

3、将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。您必须首先创建适当的文件夹。

mkdir -p /etc/docker/certs.d/registry.harbor.com/

cp registry.harbor.com.cert /etc/docker/certs.d/registry.harbor.com/

cp registry.harbor.com.key /etc/docker/certs.d/registry.harbor.com/

cp ca.crt /etc/docker/certs.d/registry.harbor.com/

如果将默认nginx端口443映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port。(省略)

4、重新启动Docker Engine。

systemctl restart docker

您可能还需要在操作系统级别信任证书。有关更多信息,请参见对Harbour安装进行故障排除。

以下示例说明了使用自定义证书的配置。

/etc/docker/certs.d/

└── yourdomain.com:port

├── yourdomain.com.cert  <-- Server certificate signed by CA

├── yourdomain.com.key   <-- Server key signed by CA

└── ca.crt               <-- Certificate authority that signed the registry certificate

[root@harbor ~]# yum install -y tree

[root@harbor ~]# tree /etc/docker/certs.d/

/etc/docker/certs.d/

└── registry.harbor.com

├── ca.crt

├── registry.harbor.com.cert

└── registry.harbor.com.key

部署或重新配置harbor

如果尚未部署Harbor,请参阅配置Harbor YML文件,以获取有关如何通过在中指定hostname和~]# cd /root/harbor

[root@harbor harbor]# cp harbor.yml.tmpl harbor.yml

#只需修改hostname及harbor]# more harbor.yml

# Configuration file of Harbor

# The IP address or hostname to access admin UI and registry service.

# DO NOT use localhost or 127.0.0.1, because Harbor needs to be accessed by external clients.

hostname: registry.harbor.com

# related config

port for default is 80. If enabled, this port will redirect to port

port: 80

# related config

port for harbor, default is 443

port: 443

# The path of cert and key files for nginx

certificate: /data/cert/registry.harbor.com.crt

private_key: /data/cert/registry.harbor.com.key

...

执行harbor部署

./install.sh

已经使用down -v

3、重启harbor:

docker-compose up -d

验证HTTPS连接

为Harbor设置HTTPS之后,您可以通过执行以下步骤来验证HTTPS连接。

1、打开浏览器,然后输入registry.harbor.com

2、在运行Docker守护程序的机器上,检查/etc/docker/daemon.json文件以确保-insecure-registry未指定~]# echo "192.168.93.9 registry.harbor.com" >> /etc/hosts

[root@harbor ~]# docker login registry.harbor.com

Username: admin

Password:

WARNING! Your password will be stored unencrypted in /root/.docker/config.json.

Configure a credential helper to remove this warning. See

Succeeded

如果已将nginx443端口映射到其他端口,请在login命令中添加该端口。

docker login yourdomain.com:port

注意:从其他节点docker客户端登录harbor,必须分发ca.crt到对应客户端

对应节点执行以下操作:

[root@test ~]# mkdir -p /etc/docker/certs.d/registry.harbor.com/

[root@test ~]# scp 192.168.93.9:/root/harbor/ssl/ca.crt ca.crt /etc/docker/certs.d/registry.harbor.com/

推送镜像测试

[root@test ~]# docker login registry.harbor.com

[root@test ~]# docker tag nginx:alpine registry.harbor.com/library/nginx:alpine

[root@test ~]# docker push registry.harbor.com/library/nginx:alpine

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

标签:文件
上一篇:什么是接口?为什么要做接口测试
下一篇:maven项目test执行main找不到资源文件的问题及解决
相关文章

 发表评论

暂时没有评论,来抢沙发吧~