harbor企业级部署
harbor企业级部署harbor企业级部署官网文档操作步骤:1、解压barbor2、获取证书颁发机构3、获取服务器证书4、生成注册表主机的证书5、为 Docker 配置服务器证书、密钥和 CA6、配置端口,修改barbor.yml文件7、安装harbor8、访问UI进行验证往新搭建的harbor上上传镜像harbor企业级部署默认情况下,harbor不提供证书。可以在没有安全性的情况下部署har
harbor企业级部署
harbor企业级部署
默认情况下,harbor不提供证书。可以在没有安全性的情况下部署harbor,就可以通过HTTP方式连接到harbor。但是,只有在没有连接到外部internet的测试环境或开发环境中才可以使用HTTP。在生产环境中,始终使用HTTPS。要配置HTTPS,必须创建SSL证书。可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA,以及如何使用CA签署服务器证书和客户端证书。下面的过程假设harbor注册表的主机名是harbor.lsldhr.com,并且它的DNS记录指向运行harbor的主机。
官网文档
最好还是根据官网文档来进行配置,官网肯定是最权威的:
https://github.com/goharbor/harbor/blob/v1.9.4/docs/configure_https.md
操作步骤:
1、解压barbor
在barbor中创建一个目录用来存放证书
#执行此步骤之前需要提前把harbor包上传到服务器上
cd /data
tar -zxvf harbor-offline-installer-v1.9.4.tgz
cd /harbor
mkdir -p ssl
cd ssl
2、获取证书颁发机构
cd /data/harbor/ssl
#获取CA根证书
openssl genrsa -out ca.key 4096
openssl req -x509 -new \
-nodes -sha512 -days 3650 \
-subj "/C=TW/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.lsldhr.com" \
-key ca.key \
-out ca.crt
3、获取服务器证书
#创建自己的私钥
openssl genrsa -out harbor.lsldhr.com.key 4096
#生成证书签名请求
openssl req -sha512 -new \
-subj "/C=TW/ST=Taipei/L=Taipei/O=example/OU=Personal/CN=harbor.lsldhr.com" \
-key yharbor.lsldhr.com.key \
-out yharbor.lsldhr.com.csr
4、生成注册表主机的证书
无论你是使用 FQDN(如yourdomain.com还是 IP)来连接注册表主机,请运行以下命令以生成符合使用者备用名称 (SAN) 和 x509 v3 扩展要求的注册表主机证书:
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=yharbor.lsldhr.com
EOF
使用v3.ext文件为barbor主机生成证书:
openssl x509 -req -sha512 -days 3650 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in yharbor.lsldhr.csr \
-out yharbor.lsldhr.com.crt
5、为 Docker 配置服务器证书、密钥和 CA
生成ca.crt、harbor.lagouedu.com.crt和harbor.lagouedu.com.key文件后,必须将它们提供给Harbor和Docker,并重新配置Harbor以使用它们。
将yourdomain.com.crt转换为yourdomain.com.cert,供Docker使用。
Docker守护进程将.crt文件解释为CA证书,.cert文件解释为客户端证书。
openssl x509 -inform PEM \
-in harbor.lagouedu.com.crt \
-out harbor.lsldhr.com.cert
mkdir -p /etc/docker/certs.d/harbor.lsldhr.com/
cp harbor.lsldhr.com.cert /etc/docker/certs.d/harbor.lsldhr.com/
cp harbor.lsldhr.com.key /etc/docker/certs.d/harbor.lsldhr.com/
cp ca.crt /etc/docker/certs.d/harbor.lsldhr.com/
#重启docker服务:
systemctl daemon-reload
systemctl restart docker
6、配置端口,修改barbor.yml文件
#set hostname
hostname: harbor.lsldhr.com
http:
port: 80
https:
# https port for harbor, default is 443
port: 443
# The path of cert and key files for nginx
certificate: /data/cert/harbor.lsldhr.com.crt
private_key: /data/cert/yharbor.lsldhr.com.key
7、安装harbor
docker pull goharbor/prepare:v1.9.4
cd /data/harbor
./prepared
./install.sh
8、访问UI进行验证
在本地添加映射
C:\Windows\System32\drivers\etc
192.168.198.101 harbor.lagouedu.com
访问UI进行验证
https://harbor.lsldhr.com
往新搭建的harbor上上传镜像
docker-100服务器:
将harbor服务器端生成的ca.crt文件复制到/etc/pki/ca-trust/source/anchors/中。
执行命令更新ca证书授权:
update-ca-trust
重启docker服务:
systemctl restart docker
echo “192.168.198.101 harbor.lsldhr.com” >> /etc/hosts
docker login harbor.lsldhr.com
admin
Harbor12345
docker load -i nginx.1.19.3.alpine.tar
docker tag nginx:1.19.3-alpine harbor.lsldhr.com/demo/nginx:v1
docker push harbor.lsldhr.com/demo/nginx:v1
权威|前沿|技术|干货|国内首个API全生命周期开发者社区
更多推荐
1
0- 0
已为社区贡献1条内容
所有评论(0)