使用HTTPS访问配置Harbor

由于Harbor不附带任何证书,它默认使用HTTP来提供注册表请求。但是,强烈建议为任何生产环境启用安全性。Harbour有一个Nginx实例作为所有服务的反向代理,您可以使用准备脚本来配置Nginx来启用https。

获得证书

假设您的注册表的主机名是reg.yourdomain.com,并且其DNS记录指向您正在运行Harbor的主机。您首先应该从CA获得证书。证书通常包含.crt文件和.key文件,例如yourdomain.com.crt和yourdomain.com.key。

在测试或开发环境中,您可以选择使用自签名证书而不是CA中的证书。以下命令生成您自己的证书:

  1. 创建您自己的CA证书:
 openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt
  1. 生成证书签名请求:

如果您使用FQDN(如reg.yourdomain.com)连接注册表主机,则必须使用reg.yourdomain.com作为CN(通用名称)。否则,如果您使用IP地址来连接您的注册表主机,CN可以是任何类似您的名字等等:

openssl req -newkey rsa:4096 -nodes -sha256 -keyout yourdomain.com.key -out yourdomain.com.csr
  1. 生成注册表主机的证书:

如果您使用的是像reg.yourdomain.com这样的FQDN 来连接您的注册表主机,请运行以下命令以生成注册表主机的证书:

  openssl x509 -req -days 365 -in yourdomain.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out yourdomain.com.crt

如果你使用IP,比如192.168.1.101来连接你的注册表主机,你可以运行下面的命令:

 echo subjectAltName = IP:192.168.1.101 > extfile.cnf

 openssl x509 -req -days 365 -in yourdomain.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out yourdomain.com
.crt

配置和安装

获取yourdomain.com.crt和yourdomain.com.key文件后,可以将它们放入如下目录中/root/cert/

  cp yourdomain.com.crt /root/cert/
  cp yourdomain.com.key /root/cert/ 

接下来,编辑文件make / harbor.cfg,更新主机名和协议,并更新属性ssl_certssl_cert_key

  #set hostname
  hostname = reg.yourdomain.com
  #set ui_url_protocol
  ui_url_protocol = https
  ......
  #The path of cert and key files for nginx, they are applied only the protocol is set to https 
  ssl_cert = /root/cert/yourdomain.com.crt
  ssl_cert_key = /root/cert/yourdomain.com.key

为Harbour生成配置文件:

  ./prepare

如果Harbor已经运行,请停止并删除现有的实例。您的图像数据保留在文件系统中

  docker-compose down  

最后重启Harbour:

  docker-compose up -d

为Harbour设置HTTPS后,您可以通过以下步骤验证它:

  1. 打开浏览器并输入地址:https://reg.yourdomain.com。它应该显示Harbor的用户界面。

  2. 在具有Docker守护进程的机器上,确保选项“-insecure-registry”不存在,并且您必须将上述步骤中生成的ca.crt复制到/etc/docker/certs.d/reg.yourdomain.com(或您的注册表主机IP),如果该目录不存在,请创建它。如果您将nginx端口443映射到另一个端口,则应改为创建/etc/docker/certs.d/reg.yourdomain.com:port(或您的注册表主机IP:端口)目录。然后运行任何docker命令来验证设置,例如

  docker login reg.yourdomain.com

如果您已将nginx 443端口映射到另一个端口,则需要添加要登录的端口,如下所示:

  docker login reg.yourdomain.com:port

故障排除

  1. 您可能会从证书颁发者处获得中间证书。在这种情况下,您应该将中间证书与您自己的证书合并以创建证书包。您可以通过以下命令来实现此目的:

    cat intermediate-certificate.pem >> yourdomain.com.crt 
    
  2. 在运行docker守护程序的某些系统上,您可能需要在操作系统级别信任该证书。
    在Ubuntu上,这可以通过以下命令完成:

    cp youdomain.com.crt /usr/local/share/ca-certificates/reg.yourdomain.com.crt
    更新CA证书

    在Red Hat(CentOS等)上,命令是:

    cp yourdomain.com.crt /etc/pki/ca-trust/source/anchors/reg.yourdomain.com.crt
    更新CA信任

你可能感兴趣的:(Docker)