[网络协议]harbor企业级部署

harbor企业级部署

默认情况下，harbor不提供证书。可以在没有安全性的情况下部署harbor，就可以通过HTTP方式连接到harbor。但是，只有在没有连接到外部internet的测试环境或开发环境中才可以使用HTTP。在生产环境中，始终使用HTTPS。要配置HTTPS，必须创建SSL证书。可以使用由受信任的第三方CA签名的证书，也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA，以及如何使用CA签署服务器证书和客户端证书。下面的过程假设harbor注册表的主机名是harbor.lsldhr.com，并且它的DNS记录指向运行harbor的主机。

官网文档

最好还是根据官网文档来进行配置，官网肯定是最权威的：

https://github.com/goharbor/harbor/blob/v1.9.4/docs/configure_https.md

操作步骤：

1、解压barbor

在barbor中创建一个目录用来存放证书

#执行此步骤之前需要提前把harbor包上传到服务器上
cd /data
tar -zxvf harbor-offline-installer-v1.9.4.tgz

cd /harbor
mkdir -p ssl
cd ssl

2、获取证书颁发机构

cd /data/harbor/ssl
#获取CA根证书
openssl genrsa -out ca.key 4096

openssl req -x509 -new \
-nodes -sha512 -days 3650 \
-subj "/C=TW/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.lsldhr.com" \
-key ca.key \
-out ca.crt

3、获取服务器证书

#创建自己的私钥
openssl genrsa -out harbor.lsldhr.com.key 4096

#生成证书签名请求
 openssl req -sha512 -new \
    -subj "/C=TW/ST=Taipei/L=Taipei/O=example/OU=Personal/CN=harbor.lsldhr.com" \
    -key yharbor.lsldhr.com.key \
    -out yharbor.lsldhr.com.csr

4、生成注册表主机的证书

无论你是使用 FQDN（如yourdomain.com还是 IP）来连接注册表主机，请运行以下命令以生成符合使用者备用名称 （SAN） 和 x509 v3 扩展要求的注册表主机证书：

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth 
subjectAltName = @alt_names

[alt_names]
DNS.1=yharbor.lsldhr.com
EOF

使用v3.ext文件为barbor主机生成证书：

  openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in yharbor.lsldhr.csr \
    -out yharbor.lsldhr.com.crt

5、为 Docker 配置服务器证书、密钥和 CA

生成ca.crt、harbor.lagouedu.com.crt和harbor.lagouedu.com.key文件后，必须将它们提供给Harbor和Docker，并重新配置Harbor以使用它们。

将yourdomain.com.crt转换为yourdomain.com.cert，供Docker使用。

Docker守护进程将.crt文件解释为CA证书，.cert文件解释为客户端证书。

openssl x509 -inform PEM \
-in harbor.lagouedu.com.crt \
-out harbor.lsldhr.com.cert

mkdir -p /etc/docker/certs.d/harbor.lsldhr.com/
cp harbor.lsldhr.com.cert /etc/docker/certs.d/harbor.lsldhr.com/
cp harbor.lsldhr.com.key /etc/docker/certs.d/harbor.lsldhr.com/
cp ca.crt /etc/docker/certs.d/harbor.lsldhr.com/
#重启docker服务：
systemctl daemon-reload
systemctl restart docker

6、配置端口，修改barbor.yml文件

#set hostname
hostname: harbor.lsldhr.com

http:
  port: 80

https:
  # https port for harbor, default is 443
  port: 443
  # The path of cert and key files for nginx
  certificate: /data/cert/harbor.lsldhr.com.crt
  private_key: /data/cert/yharbor.lsldhr.com.key

7、安装harbor

docker pull goharbor/prepare:v1.9.4
cd /data/harbor
./prepared
./install.sh

8、访问UI进行验证

在本地添加映射

C:\Windows\System32\drivers\etc
192.168.198.101 harbor.lagouedu.com

访问UI进行验证
https://harbor.lsldhr.com

往新搭建的harbor上上传镜像

docker-100服务器：
将harbor服务器端生成的ca.crt文件复制到/etc/pki/ca-trust/source/anchors/中。

执行命令更新ca证书授权：
update-ca-trust

重启docker服务：
systemctl restart docker

echo “192.168.198.101 harbor.lsldhr.com” >> /etc/hosts

docker login harbor.lsldhr.com
admin
Harbor12345

docker load -i nginx.1.19.3.alpine.tar
docker tag nginx:1.19.3-alpine harbor.lsldhr.com/demo/nginx:v1
docker push harbor.lsldhr.com/demo/nginx:v1