默认情况下,harbor不提供证书。可以在没有安全性的情况下部署harbor,就可以通过HTTP方式连接到harbor。但是,只有在没有连接到外部internet的测试环境或开发环境中才可以使用HTTP。在生产环境中,始终使用HTTPS。要配置HTTPS,必须创建SSL证书。可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA,以及如何使用CA签署服务器证书和客户端证书。下面的过程假设harbor注册表的主机名是harbor.lagouedu.com,并且它的DNS记录指向运行harbor的主机。
官网文档
官网https配置帮助文档: https://github.com/goharbor/harbor/blob/v1.9.4/docs/configure_https.md
解压harbor
在harbor中创建一个目录,用于存放证书
echo "192.168.198.101 harbor.lagouedu.com" >> /etc/hosts
cat /etc/hosts
cd /data
tar zxf harbor-offline-installer-v1.9.4.tgz
cd harbor/
mkdir -p ssl
cd ssl
获得证书颁发机构
在生产环境中,应该从CA官方获取证书。在测试或开发环境中,可以生成自己的CA。若要生成CA证书,请运行以下命令。
cd /data/harbor/ssl
创建CA根证书
openssl genrsa -out ca.key 4096
openssl req -x509 -new -nodes -sha512 -days 3650 -subj
"/C=TW/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.lagouedu.com" -key ca.key -out ca.crt
获取服务器证书
证书通常包含.crt文件和.key文件,例如harbor.lagouedu.com.crt和harbor.lagouedu.com.key。
创建自己的私钥
openssl genrsa -out harbor.lagouedu.com.key 4096
生成证书签名请求
调整-subj选项中的值以反映您的组织。如果使用域名方式连接harbor主机,则必须将其指定为common name(CN)属性,并在key和CSR文件名中使用它。
openssl req -sha512 -new -subj
"/C=TW/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.lagouedu.com" -key
harbor.lagouedu.com.key -out harbor.lagouedu.com.csr
生成注册表主机的证书
无论是使用域名还是使用IP地址连接到您的Harbor主机,都必须创建此文件,以便您可以为harbor主机生成符合使用者替代名称(SAN)和x509 v3扩展要求的证书。替换DNS条目以反映harbor的域。
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=harbor.lagouedu.com
EOF
使用v3.ext文件为harbor主机生成证书。
openssl x509 -req -sha512 -days 3650 -extfile v3.ext -CA ca.crt -CAkey ca.key -
CAcreateserial -in harbor.lagouedu.com.csr -out harbor.lagouedu.com.crt
为docker配置服务器证书,密钥和CA
生成ca.crt、harbor.lagouedu.com.crt和harbor.lagouedu.com.key文件后,必须将它们提供给Harbor和Docker,并重新配置Harbor以使用它们。
将yourdomain.com.crt转换为yourdomain.com.cert,供Docker使用。
Docker守护进程将.crt文件解释为CA证书,.cert文件解释为客户端证书。
openssl x509 -inform PEM -in harbor.lagouedu.com.crt -out
harbor.lagouedu.com.cert
mkdir -p /etc/docker/certs.d/harbor.lagouedu.com/
cp harbor.lagouedu.com.cert /etc/docker/certs.d/harbor.lagouedu.com/
cp harbor.lagouedu.com.key /etc/docker/certs.d/harbor.lagouedu.com/
cp ca.crt /etc/docker/certs.d/harbor.lagouedu.com/
# 重启docker服务:
systemctl daemon-reload
systemctl restart docker
修改harbor.yml文件
注释掉http的配置信息
hostname: harbor.lagouedu.com
https:
port: 443
certificate: /data/harbor/ssl/harbor.lagouedu.com.crt
private_key: /data/harbor/ssl/harbor.lagouedu.com.key
安装harbor
docker pull goharbor/prepare:v1.9.4
cd /data/harbor
./prepared
./install.sh
访问UI
C:\Windows\System32\drivers\etc
192.168.198.101 harbor.lagouedu.com
https://harbor.lagouedu.com/
上传镜像
docker-100服务器:
将harbor服务器端生成的ca.crt文件复制到/etc/pki/ca-trust/source/anchors/中。
执行命令更新ca证书授权:update-ca-trust
重启docker服务:
systemctl restart docker
echo "192.168.198.101 harbor.lagouedu.com" >> /etc/hosts
docker login harbor.lagouedu.com
admin
Harbor12345
docker load -i nginx.1.19.3.alpine.tar
docker tag nginx:1.19.3-alpine harbor.lagouedu.com/lagouedu/nginx:v1
docker push harbor.lagouedu.com/lagouedu/nginx:v1