Harbor部署基于HTTPS协议访问的私有仓库

已于 2025-01-02 13:43:51 修改
阅读量1.9k 收藏 20
点赞数 14
分类专栏: Harbor 文章标签: https 运维 linux 服务器
于 2024-02-02 17:51:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_76445126/article/details/135997176
版权
本文主要记录在自己的测试环境上搭建基于https协议访问的harbor仓库,文章结尾附带本人自己编写的shell脚本,该脚本可用于在linux服务器上一键部署harbor仓库,可选择基于IP访问或者基于域名访问两种部署方式,有兴趣的可以自取。

在部署前真的很想吐槽一下harbor,本人才疏学浅,harbor装了不下20遍,百度上能看到的harbor报错我基本上都碰到过一遍了,哎,要么就是装好了,登录harbor网页端的时候提示核心服务不可用登录不进去,要么就是在推送镜像前docker login一直报错,建议安装基于https协议使用域名访问的harbor仓库,测试环境搭建的话可以使用自签名证书,至于http部署的服务总是有一大堆问题搞不明白

部署大致分为两个部分:
第一步:部署docker服务,部署docker-compose(部署这两个服务的过程这里不做赘述,我最下面的脚本可以自动部署,实在不懂的留言私信我都行),生成服务器自签名证书;
第二步:配置启动服务,启动harbor。

第一步:生成证书

cd /root && openssl rand -writerand .rnd     #需要使用IP地址访问时执行,生成随机数种子文件
mkdir -p /data/ssl && cd /data/ssl          #这个目录随便建立,就是临时存一下生成的证书
openssl genrsa -out ca.key 4096     #生成一个4096位的RSA私钥作为自签CA的密钥
openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=Zhuhai/L=Zhuhai/O=example/OU=Personal/CN=$hostname" -key ca.key -out ca.crt     #使用上面的私钥创建一个新的自签名CA证书,$hostname改成自己的地址,你要用IP访问就改成IP,用域名访问就改成域名

openssl genrsa -out $hostname.key 4096     #为Harbor生成另一个4096位的RSA私钥,$hostname改成自己的地址,你要用IP访问就改成IP,用域名访问就改成域名
openssl req -sha512 -new -subj "/C=CN/ST=Zhuhai/L=Zhuhai/O=example/OU=Personal/CN=$hostname" -key $hostname.key -out $hostname.csr     #创建一个证书签名请求,用于harbor的ssl证书,$hostname改成自己的地址,你要用IP访问就改成IP,用域名访问就改成域名
openssl x509 -req -sha512 -days 3650 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in $hostname.csr -out $hostname.crt     #这个命令使用上面创建的CA和v3.ext文件中的扩展来签署harbor的ssl证书,$hostname改成自己的地址,你要用IP访问就改成IP,用域名访问就改成域名
openssl x509 -inform PEM -in $hostname.crt -out $hostname.cert #$hostname改成自己的地址,你要用IP访问就改成IP,用域名访问就改成域名(下面都要注意改)
mkdir -p /etc/docker/certs.d/$hostname/
cp /data/ssl/$hostname.cert /etc/docker/certs.d/$hostname/
cp /data/ssl/$hostname.key /etc/docker/certs.d/$hostname/
cp /data/ssl/ca.crt /etc/docker/certs.d/$hostname/
systemctl restart docker

第二步:安装harbor服务

1.去官网下载harbor安装包,下载地址:Releases · goharbor/harbor · GitHub

然后你把安装包放到服务器的目录下解压

2.解压完后会在当前目录下出现一个名为harbor的目录,cd进入到该目录下复制一份配置文件:

cp harbor.yml.tmpl harbor.yml

3.进入harbor.yml配置文件修改,harbor服务初始化安装默认使用harbor.yml这个配置文件

vim harbor.yml

hostname: harbor.od.com     #这里的harbor.od.com改成自己的,用IP访问的改成IP,用域名访问的该域名
http:
 port: 80
https:
  port: 443
  certificate: /data/cert/harbor.od.com.crt   #这里的harbor.od.com改成自己的,用IP访问的改成IP,用域名访问的该域名
  private_key: /data/cert/harbor.od.com.key   #这里的harbor.od.com改成自己的,用IP访问的改成IP,用域名访问的该域名

4.最后执行当前目录下的install.sh脚本即可。注意,这里要注意先别着急执行这个安装脚本,因为我那台服务器的IP是172段的,可能harbor在启动的时候创建了容器的网段也是172段的,导致我执行安装脚本后服务器网络地址冲突所有的服务器终端都断开连接了,这里只是分享一下我确实有遇到过这个问题,我认为遇到这个问题的概率还是很小的,万幸是公司物理机上创建的一个测试虚拟机环境,去机房找到连上服务器,到harbor的安装目录下执行docker-compose down把harbor服务都停了即可,后续即使在重新启动也不会有终端断开连接的问题了,但是我们在生产环境中肯定是不能出现服务器无法连接的,所以经过我简单测试,最终发现是在安装时执行了prepare这个脚本后在安装目录下生成了docker-compose.yml文件,基于这个yml文件启动容器创建容器的网络时就跟本机网段冲突了,所以还是在测试环境没问题了在往生产上装。
 

./install.sh

安装完成后上浏览器访问:https://ip或域名;直接访问即可,网页的

账号为:admin
密码为: Harbor12345
 

自动化安装harbor脚本
 

#!/bin/bash

# 提示用户输入参数
echo "请选择访问方式(输入1或2):(1):IP (2):域名"
read access_type
echo "请输入访问地址(IP地址或域名): "
read hostname
echo "请输入admin账户默认密码: "
read adminpassword
echo "请输入服务器的IP地址: "
read server_ip

echo "$server_ip $hostname" | sudo tee -a /etc/hosts > /dev/null

if ! command -v docker &> /dev/null
then
    echo "Docker 未安装,正在安装..."
    
    # 移除旧版本的 Docker
    sudo yum remove -y docker \
                     docker-client \
                     docker-client-latest \
                     docker-common \
                     docker-latest \
                     docker-latest-logrotate \
                     docker-logrotate \
                     docker-engine

    # 设置 Docker 仓库
    sudo yum install -y yum-utils

    sudo yum-config-manager \
        --add-repo \
        https://download.docker.com/linux/centos/docker-ce.repo
    
    # 安装 Docker CE
    sudo yum install -y docker-ce docker-ce-cli containerd.io unzip
    
    # 启动 Docker
    sudo systemctl start docker
else
    echo "Docker 已安装"
fi

# 检查 Docker Compose 是否已安装
if ! command -v docker-compose &> /dev/null
then
    echo "Docker Compose 未安装,正在安装..."
    # 安装 Docker Compose
    #sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
    sudo curl -L "http://media.zcloud.ac.cn/group1/HD/docker-compose" -o /usr/local/bin/docker-compose
    sudo chmod +x /usr/local/bin/docker-compose
else
    echo "Docker Compose 已安装"
fi

[ -d /data/ssl ] || mkdir -p /data/ssl
[ -d /data/cert ] || mkdir -p /data/cert
cd /data/ssl

if [ "$access_type" == "1" ]; then
    # IP方式访问,生成v3.ext配置文件,使用用户输入的IP地址
    cat > v3.ext <<-EDF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:$hostname
EDF
else
    # 域名方式访问,生成v3.ext配置文件,使用用户输入的域名
    cat > v3.ext <<-EDF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=$hostname
DNS.2=$hostname
DNS.3=$hostname
EDF
fi


cd /root && openssl rand -writerand .rnd     #需要使用IP地址访问时执行,生成随机数种子文件
mkdir -p /data/ssl && cd /data/ssl
openssl genrsa -out ca.key 4096     #生成一个4096位的RSA私钥作为自签CA的密钥
openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=Zhuhai/L=Zhuhai/O=example/OU=Personal/CN=$hostname" -key ca.key -out ca.crt     #使用上面的私钥创建一个新的自签名CA证书

openssl genrsa -out $hostname.key 4096     #为Harbor生成另一个4096位的RSA私钥
openssl req -sha512 -new -subj "/C=CN/ST=Zhuhai/L=Zhuhai/O=example/OU=Personal/CN=$hostname" -key $hostname.key -out $hostname.csr     #创建一个证书签名请求,用于harbor的ssl证书

openssl x509 -req -sha512 -days 3650 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in $hostname.csr -out $hostname.crt     #这个命令使用上面创建的CA和v3.ext文件中的扩展来签署harbor的ssl证书
openssl x509 -inform PEM -in $hostname.crt -out $hostname.cert
mkdir -p /etc/docker/certs.d/$hostname/
cp /data/ssl/$hostname.cert /etc/docker/certs.d/$hostname/
cp /data/ssl/$hostname.key /etc/docker/certs.d/$hostname/
cp /data/ssl/ca.crt /etc/docker/certs.d/$hostname/
systemctl restart docker

if [ ! -f /data/harbor.tgz ]; then
    echo "harbor.tar.gz 不存在,正在下载..."
    wget -P /data http://media.zcloud.ac.cn/group1/wa/harbor.tgz
else
    echo "harbor.tgz 已存在"
fi

# 解压Harbor安装包
tar -xf /data/harbor.tgz -C /data
cd /data/harbor

# 加载Harbor Docker镜像
docker load -i /data/harbor/harbor.v2.9.2.tar.gz

# 复制并编辑Harbor配置文件
cp harbor.yml.tmpl harbor.yml
sed -i "s/hostname: .*/hostname: $hostname/" harbor.yml
sed -i "s/harbor_admin_password: .*/harbor_admin_password: $adminpassword/" harbor.yml
sed -i "s|certificate: .*|certificate: /data/ssl/$hostname.crt|" harbor.yml
sed -i "s|private_key: .*|private_key: /data/ssl/$hostname.key|" harbor.yml
# 安装Harbor
sed -i '67s/^/#/' /data/harbor/install.sh
cp /data/harbor/docker-compose.yml /tmp
/data/harbor/prepare
\cp /tmp/docker-compose.yml /data/harbor/
/data/harbor/install.sh

注:脚本执行时要传四个参数变量,该脚本部署的harbor版本固定为harbor-offline-installer-v2.9.2.tgz,脚本harbor安装路径为/data/harbor,安装完成后执行以下命令暂停启动harbor服务:
 

docker-compose stop  #关闭服务
docker-compose start  #启动服务

Docker(十六):使用Docker部署Harbor私有镜像仓库
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
03-28 4万+
🟢 Docker(十六):使用Docker部署Harbor私有镜像仓库
harbor配置https访问
wenbo885的博客
11-04 2348
docker版本:23.0.1harbor版本:v2.6.4虚拟机:192.168.66.100本次笔记主要记录harbor配置SSL,docker,harbor部署不在重点讲述,不会可自行百度。SSL证书主要是通过openssl生成,也可以通过阿里云或者腾讯云购买证书等。默认情况下,Harbor不附带证书。可以在没有安全性的情况下部署Harbor,以便您可以通过HTTP连接到它。但是,只有在没有连接到外部Internet的气隙测试或开发环境中,才可以使用HTTP。
Harbor v2.13.0 详细安装步骤 安装证书启用 HTTPS
最新发布
xbd_zc的博客
05-06 1167
本文详细介绍了 Harbor v2.13.0 的 HTTPS 安装流程,包含以下关键步骤:1) 环境准备要求 4GB 内存和 100GB 磁盘;2) 通过自签名证书生成详细过程;3) harbor.yml 配置要点说明;4) 安装及验证方法。特别提供了跨平台证书信任配置方案(Windows/Ubuntu/macOS),并针对常见问题如证书错误、DNS解析、防火墙设置等给出解决方案。最后涵盖 Docker 客户端推送/拉取镜像操作及权限配置指南,形成完整的 Harbor 企业级私有仓库部署方案。
Harbor私有仓库部署与配置-https
lldhsds的专栏
06-27 1762
Harbor 是一个开源的云原生镜像仓库,用于存储和分发容器镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有 Registry 服务器Harbor 提供了更好的性能和安全。本文用https+自签名证书部署
harborhttps部署操作
liuze的博客
07-02 671
harborhttps部署操作
部署harbor并实现https(SAN签发证书)
soliso
11-09 3431
部署harbor
Harbor私有仓库搭建并配置https对接docker与kubernetes
qq_21475569的博客
03-01 2349
Harbor私有仓库搭建并配置https对接docker与kubernetes
docker部署+Harbor部署(私有镜像仓库)
qq_64352334的博客
02-10 1282
centos7部署私有镜像仓库
harbor私有仓库部署
zmq
11-13 201
harbor私有仓库快速部署
Harbor私有镜像仓库部署
03-15
修改harbor.cfg配置文件中的域名以及https协议,签发https协议所需ssl证书。 使用docker-compose命令启动harbor镜像仓库的容器 5.本地windows浏览器访问配置 白屏创建项目空间,客户端docker push和docker pull测试...
Docker--harbor私有仓库部署与管理
2402_83805984的博客
07-17 1214
帮助用户迅速搭建一个企业级的 Docker Registry 服务。Harbor以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制。
Harbor HttpsHarbor部署https并配置containerd拉取镜像
你的博客
12-08 3126
新项目,要接手另一个k8s集群,那个集群是kubernates1.24的rke2版本,里面已经不用docker容器了,使用了containerd容器来生成pod,因此需要变化我们以前的docker使用方式。containerd的镜像仓库配置地址在 /etc/rancher/rke2/registries.yaml,修改该文件,将harbor地址,证书配置进去,具体的配置参数和方法可以参考官方文档。修改harbor.yml的https配置,这里我修改了默认端口为1443,并引入服务端证书。
部署harbor服务器https/http)
qq_31055683的博客
04-16 548
1、下载官方的harbor离线包 https://github.com/goharbor/harbor/releases 2、下载后上传到服务器并解压 3、修改harbor.yml4、https需要生成签证 mkdir ssl #生成私有key openssl genrsa -out ~/harbor-install/harbor/ssl/harbor-ca.key ll ssl/ touch /root/.rnd #签证 openssl req -x509 -new -nodes -key ~/ha
Harbor 配置https
日积月累一点点
10-12 1530
停掉Harbor ··· docker-compose down -v ··· 创建私人秘钥 openssl genrsa -out ca.key 4096 openssl req -x509 -new -nodes -sha512 -days 36500 -subj "/CN=k8stest.mmcc.com" -key ca.key -out ca.crt open...
Harbor配置https访问
QianLiStudent的博客
10-27 2727
前言 Harbor内部默认是http方式进行通讯的,如果要配置https就需要用到证书。Harbor支持用三方签发证书,也支持使用自签发证书。 Linux openssl签发证书:https://blog.youkuaiyun.com/QianLiStudent/article/details/109291424 步骤 1、拿到应用证书和对应的私钥: 2、修改harbor.yml配置: tip:在修改配置之前,先确Harbor组成保容器全部停止,否则后续操作会报错; 3、执行prepare重新生成一遍配置; 4、启
harbor安装并配置https
热门推荐
IT
07-22 1万+
Harbor 是一个VMware公司开源的镜像仓库,它使用策略和基于角色的访问控制来保护工件,确保镜像被扫描并且没有漏洞,并将镜像标记为可信。Harbor 是一个 CNCF 毕业项目,它提供合规性、性能和互操作性,以帮助您跨云原生计算平台(如 Kubernetes 和 Docker)一致且安全地管理工件。Habor在Docker Registry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制 ,AD/LDAP集成以及审计日志等。
Harbor使用HTTPS访问
qq_39698849的博客
07-29 415
说明:本脚本只创建密钥,脚本是借鉴所有各个大神,自己重新书写一份,官方的已经写的狠清楚了,直接粘贴过来变一些变量就可以了,如有不对,欢迎指正。 #!/binsh # Date: 2021/6/25 # Author: # Desc: # Harbor:v2.2.1 # The created key cannot be stored in the harbor storage path, because executing ./prepare will clear the data in the pa
配置对 HarborHTTPS 访问
琦彦
11-12 7212
默认情况下,Harbor 不附带证书。可以在没有安全性的情况下部署 Harbor,以便你可以通过 HTTP 连接到它。但是,在生产环境中,建议使用 HTTPS。如果你要使用Content Trust with Notary ,则必须使用 HTTPS。要配置 HTTPS,你必须创建 SSL 证书。你可以使用由受信任的第三方 CA 签名的证书,也可以使用自签名证书。本节介绍如何使用创建 CA,以及如何使用你的 CA 签署服务器证书和客户端证书。你也可以使用其他 CA 提供程序,例如。
部署 Docker harbor (httphttps)及使用
qq1271566323的博客
10-11 1376
docker harbor (http/https)使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值