摘要:默認(rèn)請(qǐng)求注冊(cè)服務(wù)器�����,并不分發(fā)任何證書�。使得其配置相對(duì)簡單����。然而,強(qiáng)烈建議在生產(chǎn)環(huán)境中增強(qiáng)安全性���。獲取證書假定你的倉庫的是���,并且其記錄指向主機(jī)正在運(yùn)行的。你的鏡像數(shù)據(jù)將保留在文件系統(tǒng)中���。應(yīng)該會(huì)顯示的界面�。然后���,運(yùn)行如下命令驗(yàn)證是否安裝成功����。
Harbor 默認(rèn) HTTP 請(qǐng)求注冊(cè)服務(wù)器���,并不分發(fā)任何證書��。使得其配置相對(duì)簡單�。然而,強(qiáng)烈建議在生產(chǎn)環(huán)境中增強(qiáng)安全性��。Harbor 有一個(gè) Nginx 實(shí)例為所有服務(wù)提供反向代理�,你可以在 Nginx 配置中啟用 HTTPS 。
獲取證書
假定你的倉庫的 hostname 是 reg.yourdomain.com�����,并且其 DNS 記錄指向主機(jī)正在運(yùn)行的 Harbor�����。首先���,你需要獲取一個(gè) CA 證書。證書通常包含一個(gè) .crt 文件和 .key 文件����,例如, yourdomain.com.crt 和 yourdomain.com.key���。
在測試或開發(fā)環(huán)境中�,你可能會(huì)選擇使用自簽名證書,而不是購買 CA 證書���。下面的命令會(huì)生成自簽名證書:
1) 生成自簽名 CA 證書:
openssl req
-newkey rsa:4096 -nodes -sha256 -keyout ca.key
-x509 -days 365 -out ca.crt
2) 生成證書簽名請(qǐng)求:
如果使用 FQDN (完全限定域名) 如 reg.yourdomain.com 作為你的注冊(cè)服務(wù)器連接����,那你必須使用 reg.yourdomain.com 作為 CN (Common Name)����。另外,如果使用 IP 地址作為你的注冊(cè)服務(wù)器連接�,CN 可以是你的名字等等:
openssl req
-newkey rsa:4096 -nodes -sha256 -keyout yourdomain.com.key
-out yourdomain.com.csr
3) 生成注冊(cè)服務(wù)器證書:
假定你使用類似 reg.yourdomain.com 這樣的 FQND 作為注冊(cè)服務(wù)器連接,運(yùn)行下面的命令為你的注冊(cè)服務(wù)器生成證書:
openssl x509 -req -days 365 -in yourdomain.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out yourdomain.com.crt
假定你使用 IP ����, 如 192.168.1.101 作為注冊(cè)服務(wù)器連接,你可以運(yùn)行以下命令:
echo subjectAltName = IP:192.168.1.101 > extfile.cnf
openssl x509 -req -days 365 -in yourdomain.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out yourdomain.com
.crt
配置和安裝
在取得 yourdomain.com.crt 和 yourdomain.com.key 文件后���,你可以將它們放置在如 /root/cert/ 目錄下:
cp yourdomain.com.crt /root/cert/
cp yourdomain.com.key /root/cert/
接下來��,編輯 harbor/make/harbor.cfg, 更新 hostname ��, protocol��, ssl_cert 和 ssl_cert_key 屬性:
#set hostname
hostname = reg.yourdomain.com
#set ui_url_protocol
ui_url_protocol = https
......
#The path of cert and key files for nginx, they are applied only the protocol is set to https
ssl_cert = /root/cert/yourdomain.com.crt
ssl_cert_key = /root/cert/yourdomain.com.key
為 Harbor 生成配置文件:
# 工作目錄 harbor/make
./prepare
如果 Harbor 已經(jīng)在運(yùn)行�,則停止并刪除實(shí)例。你的鏡像數(shù)據(jù)將保留在文件系統(tǒng)中�����。
# 工作目錄 harbor/make
# 在運(yùn)行 compose 前�, 需將 docker-compose.tpl 文件重命名為 docker-compose.yaml
mv docker-compose.tpl docker-compose.yaml
docker-compose down
最后,重啟 Harbor:
docker-compose up -d
在為 Harbor 配置 HTTPS 完成后�����,你可以通過以下步驟對(duì)它進(jìn)行驗(yàn)證:
打開瀏覽器���,并輸入地址:https://reg.yourdomain.com��。應(yīng)該會(huì)顯示 Harbor 的界面����。
在裝有 Docker daemon 的機(jī)器上���,確保 Docker engine 配置文件中沒有配置 "-insecure-registry",并且��,你必須將已生成的 ca.crt 文件放入 /etc/docker/certs.d/yourdomain.com(或 / etc/docker/certs.d/your registry host IP) 目錄下,如果這個(gè)目錄不存在�,則創(chuàng)建它。
如果你將 nginx 的 443 端口映射到其他端口上了�,你需要?jiǎng)?chuàng)建目錄的為 /etc/docker/certs.d/yourdomain.com:port(/etc/docker/certs.d/your registry host IP:port)。然后�����,運(yùn)行如下命令驗(yàn)證是否安裝成功�����。
docker login reg.yourdomain.com
如果你將 nginx 443 端口映射到其他端口上�����,則需要在登錄時(shí)添加端口號(hào)��,如:
docker login reg.yourdomain.com:port
疑難解答
1. 你可能是通過證書發(fā)行商獲取中間證書����。在這種情況下,你應(yīng)該合并中間證書與自簽證書���,通過如下命令即可實(shí)現(xiàn):
cat intermediate-certificate.pem >> yourdomain.com.crt
2. 在一些運(yùn)行著 docker daemon 的系統(tǒng)中�,你可能需要操作系統(tǒng)級(jí)別的信任證書。
在 Ubuntu 上, 可以通過以下命令來完成:
cp youdomain.com.crt /usr/local/share/ca-certificates/reg.yourdomain.com.crt
update-ca-certificates
在 Red Hat (CentOS etc) 上, 命令如下:
cp yourdomain.com.crt /etc/pki/ca-trust/source/anchors/reg.yourdomain.com.crt
update-ca-trust
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/26818.html
