• 配置对Harbor的HTTPS访问


    https://goharbor.io/docs/1.10/install-config/configure-https/

    默认情况下,Harbor不提供证书。可以在没有安全性的情况下部署Harbor,这样您就可以通过HTTP连接到它。但是,只有在没有连接到外部internet的空间隙测试或开发环境中才可以使用HTTP。在没有空间隙的环境中使用HTTP会暴露给中间人攻击。在生产环境中,始终使用HTTPS。如果启用带公证人的内容信任对所有images进行正确签名,则必须使用HTTPS。


    要配置HTTPS,必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA,以及如何使用CA签署服务器证书和客户端证书。您可以使用其他CA提供程序,例如:Let’s Encrypt。


    下面的过程假设您的Harbor注册表的主机名是yourdomain.com,并且它的DNS记录指向运行Harbor的主机。

    1、生成证书颁发机构的证书

    在生产环境中,应该从CA获取证书。在测试或开发环境中,可以生成自己的CA。若要生成CA证书,请运行以下命令。

    1、生成CA证书私钥。

    openssl genrsa -out ca.key 4096
    

    2、生成CA证书。 

    调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为common name(CN)属性。

    公用名(Common Name)一般来讲就是填写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。
     
    例1:打算为“chinassl.net”申请SSL证 书,那这个公用名(Common Name)就要填写“chinassl.net”,而不能填写 “www.chinassl.net”,因为在申请SSL证书时发证机构认为“www.yourdomain.com”和 “yourdomain.com”是不同的两个域名; 
     
    例2:如将要为bill.chinassl.net申请SSL证书,那么这里公用名(Common Name)就 要填写“bill.chinassl.net”而不能填写“chinassl.net”或“www.chinassl.net”
    
    openssl req -x509 -new -nodes -sha512 -days 3650 
     -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" 
     -key ca.key 
     -out ca.crt
    

    3、生成服务器证书

    证书通常包含.crt文件和.key文件,例如yourdomain.com.crt和yourdomain.com.key。

    1、生成私钥。

    openssl genrsa -out yourdomain.com.key 4096
    

     2、生成证书签名请求(CSR)。

    调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为common name(CN)属性,并在key和CSR文件名中使用它。

    openssl req -sha512 -new 
        -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" 
        -key yourdomain.com.key 
        -out yourdomain.com.csr
    

     3、生成x509 v3扩展文件。

    无论您是使用FQDN还是使用IP地址连接到您的Harbor主机,都必须创建此文件,以便您可以为Harbor主机生成符合使用者替代名称(SAN)和x509 v3扩展要求的证书。替换DNS条目以反映您的域。

    cat > v3.ext <<-EOF
    authorityKeyIdentifier=keyid,issuer
    basicConstraints=CA:FALSE
    keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth
    subjectAltName = @alt_names
    
    [alt_names]
    DNS.1=yourdomain.com
    DNS.2=yourdomain
    DNS.3=hostname
    EOF
    

     4、

    使用v3.ext文件为您的港口主机生成证书。

    将CRS和CRT文件名中的yourdomain.com替换为Harbor主机名。

    openssl x509 -req -sha512 -days 3650 
        -extfile v3.ext 
        -CA ca.crt -CAkey ca.key -CAcreateserial 
        -in yourdomain.com.csr 
        -out yourdomain.com.crt
    

    4、向Harbor和Docker提供证书

    生成ca.crt、yourdomain.com.crt和yourdomain.com.key文件后,必须将它们提供给Harbor和Docker,并重新配置Harbor以使用它们。

    1、将服务器证书和密钥复制到Harbor主机上的certcificates文件夹中。

    cp yourdomain.com.crt /data/cert/
    cp yourdomain.com.key /data/cert/
    

     2、将yourdomain.com.crt转换为yourdomain.com.cert,供Docker使用。

    Docker守护进程将.crt文件解释为CA证书,.cert文件解释为客户端证书。

    openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert
    

     3、将服务器证书、密钥和CA文件复制到港口主机上的Docker certificates文件夹中。必须先创建适当的文件夹。

    cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
    cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
    cp ca.crt /etc/docker/certs.d/yourdomain.com/
    

     如果将默认nginx端口443映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port。

    4、重新启动Docker引擎。

    systemctl restart docker
    

    您可能还需要在操作系统级别信任证书。有关详细信息,请参阅harbor安装疑难解答


    下面的示例演示了使用自定义证书的配置。

    /etc/docker/certs.d/
        └── yourdomain.com:port
           ├── yourdomain.com.cert  <-- Server certificate signed by CA
           ├── yourdomain.com.key   <-- Server key signed by CA
           └── ca.crt               <-- Certificate authority that signed the registry certificate
    

    5、部署或重新配置harbor

    如果尚未部署Harbor,请参阅配置Harbor YML文件,以获取有关如何通过在Harbor.YML中指定主机名和https属性来配置Harbor以使用证书的信息。


    如果您已经使用HTTP部署了Harbor并希望将其重新配置为使用HTTPS,请执行以下步骤。

    1、运行prepare脚本以启用HTTPS。

    Harbor使用nginx实例作为所有服务的反向代理。使用prepare脚本将nginx配置为使用HTTPS。prepare位于Harbor安装包中,与install.sh脚本处于同一级别。

    ./prepare
    

    2、如果Harbor正在运行,请停止并删除现有实例。

    images数据保留在文件系统中,因此不会丢失任何数据。

    docker-compose down -v
    

    3、Restart Harbor:

    docker-compose up -d
    

    6、验证HTTPS连接

    在为Harbor设置HTTPS之后,您可以通过执行以下步骤来验证HTTPS连接。

    1、打开浏览器并输入https://yourdomain.com。它应该显示港口界面。

    某些浏览器可能会显示一条警告,指出证书颁发机构(CA)未知。使用非来自可信第三方CA的自签名CA时会发生这种情况。您可以将CA导入浏览器以删除警告。

    2、在运行Docker守护进程的计算机上,检查/etc/Docker/daemon.json文件,确保没有为https://yourdomain.com设置-unsecure-registry选项。

    3、从Docker客户端登录到Harbor。

    docker login yourdomain.com
    

     如果您已经将nginx 443端口映射到另一个端口,请在login命令中添加该端口。

    docker login yourdomain.com:port
    

    下一步怎么办


    如果验证成功,请参阅“港口管理”以获取有关使用“港口”的信息。

    如果安装失败,请参阅海港安装疑难解答

  • 相关阅读:
    pickle模块使用
    Graphviz安装教程
    Redis常用命令
    MongoDB和Redis的区别
    UVA-1572
    poj2352
    poj1195
    Codeforces Round #430 (Div. 2)
    Codeforces Round #431 (Div. 2) B. Tell Your World
    poj3278 【BFS】
  • 原文地址:https://www.cnblogs.com/linuxws/p/12810887.html
Copyright © 2020-2023  润新知