简单详细的harbor搭建

前期准备

1. 离线包下载： https://github.com/goharbor/harbor/releases/tag/v1.8.5

• 选择 572MB的tgz
• 听说1.7.6好像有漏洞，保险起见我选择1.8.5

2. 注意最低安装需求
   

安装步骤

1. 安装docker，先配置下源，再安装特定版本docker(参考文档有要求)
   

• 配置阿里源：

  wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo -O /etc/yum.repos.d/docker-ce.repo
  

• 安装docker 18：

  yum -y install docker-ce-18.06.1.ce-3.el7
  

2. 安装dockercompose,参考文档：https://github.com/docker/compose/releases/tag/1.25.4

• 依次执行以下命令：

  	curl -L https://github.com/docker/compose/releases/download/1.25.4/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
  	chmod +x /usr/local/bin/docker-compose
  

3. 解压harbor软件包，并配置cfg文件

   	tar xf harbor-offline-installer-v1.8.5.tgz -C /opt/
   

   下图红框处修改：
   hostname：可以改成IP，域名【本文使用IP】
   本文中所有的yourdomain.com都需要改成你服务器的IP
   port避免和nginx冲突，改成非80即可,本文改为1080
   其余密码按需更改
   

4. 执行harbor下安装命令

   	./install.sh
   

5. 安装nginx

   	yum -y install nginx
   

6. 编辑nginx配置文件：vim /etc/nginx/conf.d/yourdomain.com.conf，文件内容如下：

	server {
	        listen          80;
	        server_name     yourdomain.com;
	        client_max_body_size    1000m;
	        location / {
	                proxy_pass http://127.0.0.1:1080;
	        }
	}

配置HTTPS（重点）

• 生成证书颁发机构证书

1. 生成CA证书私钥

	openssl genrsa -out ca.key 4096

2. 生成CA证书

	openssl req -x509 -new -nodes -sha512 -days 3650 \
 			-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
 			-key ca.key \
 			-out ca.crt

• 生成服务器证书

1. 生成私钥

	openssl genrsa -out yourdomain.com.key 4096

2. 生成证书签名请求（CSR）

	openssl req -x509 -new -nodes -sha512 -days 3650 \
 	-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
 	-key ca.key \
 	-out ca.crt

3. 生成一个x509 v3扩展文件

	cat > v3.ext <<-EOF
   authorityKeyIdentifier=keyid,issuer
   basicConstraints=CA:FALSE
   keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
   extendedKeyUsage = serverAuth
   subjectAltName = IP:yourdomain.com
   EOF

4. 使用该v3.ext文件为您的Harbor主机生成证书

	openssl x509 -req -sha512 -days 3650 \
   	-extfile v3.ext \
   	-CA ca.crt -CAkey ca.key -CAcreateserial \
   	-in yourdomain.com.csr \
   	-out yourdomain.com.crt

• 提供证书给Harbor和Docker

1. 创建文件夹

	mkdir -p /data/cert/

2. 复制证书秘钥到cert文件夹中

	cp yourdomain.com.crt /data/cert/
   	cp yourdomain.com.key /data/cert/

3. 转换yourdomain.com.crt为yourdomain.com.cert，供Docker使用

   	openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert

4. 创建存放秘钥和CA文件的文件夹

	mkdir -p /etc/docker/certs.d/yourdomain.com/

5. 将服务器证书，密钥和CA文件复制到Harbor主机上的Docker证书文件夹

	cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
	cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
	cp ca.crt /etc/docker/certs.d/yourdomain.com/

6. 重启docker

	systemctl restart docker

7. 修改harbor.yml文件中的秘钥选项，把默认的注释掉，修改为自己配置的/data/cert/

	#  certificate: /your/certificate/path
	#  private_key: /your/private/key/path
  	certificate: /data/cert/49.235.207.16.crt
  	private_key: /data/cert/49.235.207.16.key

8. 执行prepare以启用https

	./prepare

9. 通过docker-compose启动harbor

	docker-compose up -d

10. 重启nginx并开机启动

	systemctl restart nginx
	systemctl enable nginx

验证harbor

1. 服务器中验证

	docker login yourdomain.com

• 根据提示输入harbor.yml中配置的密码即可

2. 浏览器中验证：输入 “yourdomain.com”，不安全添加例外即可。

可能存在的问题：

1. 其他主机无法docker login yourdomain.com
   将yourdomain.com中的ca.cert导入到其他主机，重启后再login
   mkdir -p /etc/docker/certs.d/yourdomain.com
   cp ca.crt /etc/docker/certs.d/yourdomain.com
   systemctl restart docker