Harbor
Harbor
什么是Harbor
Harbor 是一个开源的企业级容器镜像注册中心,用于管理和存储 Docker 镜像以及其他容器化应用的相关资源。它允许团队或组织在内部搭建自己的容器镜像仓库,以便更好地控制镜像的分发、访问和安全性。
Harbor的安装
安装最小配置
最低建议配置:
- CPU:2 核
- 内存:4 GB
- 存储:40 GB
通过docker-compose部署Harbor
离线安装
# 下载安装包 |
修改harbor.yaml中
hostname
为harborip,https/certificate和private_key为certificate: /root/edgestack-setup/harbor/cert/cert.cert
private_key: /root/edgestack-setup/harbor/cert/key.key生成
cert.cert
和key.key
文件到/root/edgestack-setup/harbor/cert/执行
sh install.sh
**为了docker,在不验证https的情况下,可以通过修改
docker-daemon
来
// /etc/docker/docker-daemon |
生成证书颁发机构证书
在生产环境中,您应该从 CA 获取证书。在测试或开发环境中,您可以生成自己的CA。要生成 CA 证书,请运行以下命令。
生成 CA 证书私钥。
openssl genrsa -out ca.key 4096
生成 CA 证书。
调整选项中的值-subj
以反映您的组织。如果您使用 FQDN 连接 Harbor 主机,则必须将其指定为公用名 (CN
) 属性。openssl req -x509 -new -nodes -sha512 -days 3650 \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
-key ca.key \
-out ca.crt
生成服务器证书
证书通常包含一个.crt
文件和一个.key
文件,例如yourdomain.com.crt
和yourdomain.com.key
。
生成私钥。
openssl genrsa -out yourdomain.com.key 4096
生成证书签名请求 (CSR)。
调整选项中的值-subj
以反映您的组织。如果您使用 FQDN 连接 Harbor 主机,则必须将其指定为公用名 (CN
) 属性,并在密钥和 CSR 文件名中使用它。openssl req -sha512 -new \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
-key yourdomain.com.key \
-out yourdomain.com.csr生成 x509 v3 扩展文件。
无论您是使用 FQDN 还是 IP 地址连接到 Harbor 主机,都必须创建此文件,以便可以为 Harbor 主机生成符合主题备用名称 (SAN) 和 x509 v3 的证书扩展要求。替换DNS
条目以反映您的域。cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=yourdomain.com
DNS.2=yourdomain
DNS.3=hostname
EOF使用该
v3.ext
文件为您的 Harbor 主机生成证书。yourdomain.com
将CRS 和 CRT 文件名中的替换为 Harbor 主机名。openssl x509 -req -sha512 -days 3650 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in yourdomain.com.csr \
-out yourdomain.com.crt
helm安装
# 1.添加helm仓库 |