2. 程式人生 > >自建帶有認證功能的Docker Harbor

自建帶有認證功能的Docker Harbor

阿新 發佈:2018-08-25
域名 mas tab com 求和 port 簡單的 help github

What is Harbor?

Harbor is an open source cloud native registry that stores, signs, and scans container images for vulnerabilities.

Harbor solves common challenges by delivering trust, compliance, performance, and interoperability. It fills a gap for organizations and applications that cannot use a public or cloud-based registry, or want a consistent experience across clouds.

Harbor 的安裝配置

系統安裝運行需求和建議:

1. 一臺獨立的linux host centos 7.4,docker 17.03.0-ce+以上版本,docker-compose 1.10.0+ .

2. 下載Harbor離線安裝包進行安裝

3. 自定義Harbor服務器的域名:reg.yujianbo.vip

安裝步驟:

1. 安裝docker

yum remove -y docker docker-common docker-selinux docker-engine
yum install -y yum-utils device-mapper-persistent-data lvm2

 
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum makecache fast
yum list docker-ce.x86_64  --showduplicates | sort -r
#列出可以安裝的docker版本
yum -y install docker-ce-17.06.2.ce
#安裝指定版本的dockermkdir -p /lib/systemd/system/docker.service.d

cat > /lib/systemd/system/docker.service.d/docker.conf << 
 
EOF
[Service]
ExecStart=
ExecStart=/usr/bin/dockerd --default-ulimit nofile=65536
EOF

#--default-ulimit有bug,暫時無法放到/etc/docker/daemon.json裏

mkdir -p /etc/docker/
mkdir -p  /srv/docker/
cat > /etc/docker/daemon.json << EOF
{
    "dns": [
        "114.114.114.114",
        "8.8.8.8"
    ],
    "data-root": "/srv/docker/",
    "hosts": [
        "unix:///var/run/docker.sock"
    ],
    "registry-mirrors": [
        "https://0sr73mco.mirror.aliyuncs.com"
    ],
    "insecure-registries": [
        "reg.yujianbo.vip"
    ]
}
EOF

# "hosts": ["unix:///var/run/docker.sock","tcp://127.0.0.1:2375"],
#"registry-mirrors": ["https://registry.docker-cn.com"],中國docker hub專用地址,docker官方提供

systemctl daemon-reload
systemctl start docker
systemctl enable docker
docker info
docker version

2.安裝docker-compose

yum -y install python-pip
pip install --upgrade pip
pip install docker-compose
docker-compose version

3.下載Harbor離線安裝包進行安裝

mkdir -p /srv/harbor/
wget https://storage.googleapis.com/harbor-releases/harbor-offline-installer-v1.5.2.tgz
#去https://github.com/goharbor/harbor/releases查找stable版本,當前最新stable版本是v1.5.2
tar zxf harbor-offline-installer-v1.5.2.tgz
cd harbor
sed -i "s#hostname = reg.mydomain.com#hostname = reg.yujianbo.vip#g" harbor.cfg
#修改harbor的hostname為咱們自定義的reg.yujianbo.vip
sh install.sh
#開始自動安裝Harbor,直到成功

安裝完成後可以通過http://reg.yujianbo.vip訪問Harbor,默認賬號密碼:admin/Harbor12345

你沒有公網域名解析的話可以在/etc/hosts中指定reg.yujianbo.vip和ip地址的對應關系

4.使用Harbor push images

docker login reg.yujianbo.vip
#輸入賬號密碼
docker pull nginx
#從docker hub拉取最新的nginx鏡像
docker tag nginx reg.yujianbo.vip/library/nginx
docker push reg.yujianbo.vip/library/nginx
#將nginx鏡像push到我們的harbor的默認的library項目中去
#登陸http://reg.yujianbo.vip就可以在項目library中看到我們剛剛push上去的鏡像了

5.配置Harbor使用微軟的活動目錄active directory進行登陸認證

技術分享圖片

#ldap://10.1.1.227是微軟的DC服務器的地址

#cn=test,ou=AAA,dc=local,dc=com test是普通的用戶,AAA是自定義建立的OU,dc=local,dc=com是域控制器的域名

#

#LDAP基礎DN,指定只有在ou=AAA,dc=local,dc=com裏面創建的用戶才能登陸Harbor

#LDAP用戶UID的屬性:sAMAccountName

下圖是微軟的活動目錄active directory的用戶管理頁面,其本質上也是一個LDAP服務器,

我個人比較傾向於將所有支持LDAP的服務都統一使用微軟的活動目錄active directory進行認證,方便企業管理

這樣每個員工之開通一個賬號就可以登陸公司的所有系統了,比如gitlab,禪道,路由器,防火墻,SVN,

技術分享圖片

6.使用阿裏雲的OSS代替默認的本地文件存儲

cat /srv/harbor/common/templates/registry/config.yml
...
storage:
  oss:
    accesskeyid: 填寫你的具有阿裏雲oss權限賬戶的RAM的AccessKey ID
    accesskeysecret: 填寫你的具有阿裏雲oss權限賬戶的RAM的AccessKey ID
    region: oss-cn-beijing
    endpoint: yujianbo-harbor.oss-cn-beijing.aliyuncs.com
    bucket: yujianbo-harbor
    secure: false
...

申請一個阿裏雲的OSS,創建一個bucket: yujianbo-harbor;在oss的信息中可以查看到endpoint地址;

region 需要你確定你是在哪個地區開通的OSS,可以在https://help.aliyun.com/document_detail/31837.html 查詢;

使用阿裏雲oss可以避免存儲的單點故障,阿裏雲oss還具有共享存儲的特點

使用其他的存儲類型可以參考: https://docs.docker.com/registry/configuration/#storage

7.Harbor服務的維護

如果只是想簡單的重啟Harbor服務,可以使用如下命令

docker-compose stop
docker-compose start

如果修改的配置文件想讓新的配置文件生效,需要如下操作

docker-compose down -v
...
vim /srv/harbor/harbor.cfg
vim /srv/harbor/common/templates/registry/config.yml
...
prepare
docker-compose up -d

#上面是修改Harbor的配置文件及使用阿裏雲oss的存儲配置文件

docker-compose ps命令可以方面的查看Harbor的各個組件是否正常的啟動起來

docker-compose ps
       Name                     Command                  State                            Ports                      
---------------------------------------------------------------------------------------------------------------------
harbor-adminserver   /harbor/start.sh                 Up (healthy)                                                   
harbor-db            /usr/local/bin/docker-entr ...   Up (healthy)   3306/tcp                                        
harbor-jobservice    /harbor/start.sh                 Up                                                             
harbor-log           /bin/sh -c /usr/local/bin/ ...   Up (healthy)   127.0.0.1:1514->10514/tcp                       
harbor-ui            /harbor/start.sh                 Up (healthy)                                                   
nginx                nginx -g daemon off;             Up (healthy)   0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp,   
                                                                     0.0.0.0:80->80/tcp                              
redis                docker-entrypoint.sh redis ...   Up             6379/tcp                                        
registry             /entrypoint.sh serve /etc/ ...   Up (healthy)   5000/tcp

8.Harbor數據持久化的路徑

數據默認存儲: /data/

日誌默認存儲:/var/log/harbor/

9.啟動Harbor的https功能

cat /srv/harbor/harbor.cfg
......
#set hostname
hostname = reg.yujianbo.vip
#set ui_url_protocol
ui_url_protocol = https
......
#The path of cert and key files for nginx, they are applied only the protocol is set to https 
ssl_cert = /root/cert/reg.yujianbo.vip.crt
ssl_cert_key = /root/cert/reg.yujianbo.vip.key
......

只需要配置三個地方:

ui_url_protocol = https

ssl_cert = /root/cert/reg.yujianbo.vip.crt

ssl_cert_key = /root/cert/reg.yujianbo.vip.key

10.Email settings

Email settings只是在使用harbor本地認證時,忘記密碼或註冊賬號時用到,使用LDAP認證就不需要配置這個選項了

Harbor官網:https://goharbor.io/

Harbor github地址:https://github.com/goharbor/harbor

Harbor安裝配置向導:https://github.com/goharbor/harbor/blob/master/docs/installation_guide.md

自建帶有認證功能的Docker Harbor

相關推薦

帶有認證功能Docker Harbor

域名 mas tab com 求和 port 簡單的 help github What is Harbor? Harbor is an open source cloud native registry that stores, signs, and scans co

docker以https方式私有鏡像倉庫harbor

tag type crypt ada alt strong centos7.4 new 目錄 基礎環境系統:centos7.4 docker安裝安裝依賴包yum install -y yum-utils device-mapper-persistent-data lvm2安

CA認證和證書

一些概念: PKI:Public Key Infrastructure 簽證機構:CA(Certificate Authority) 註冊機構:RA(Register Authority) 證書吊銷列表:CRL(Certificate Revoke L

利用Docker功能加密郵件伺服器

暑假的時候見識了Vestacp,用它可以方便快捷的搭建一個郵局。但是郵局經常崩,常收不到郵件。寒假了就折騰了一下Docker。PS(2017.2.13更新):將近一個月了,期間收了已經有上百封郵件。我用uptime robot檢測的還沒有一例宕機事故,監控頁面在這裡。dock

docker swarm體驗簡單之美

hab 3.2 ebs acs docs nal 自建 port advertise 之前用的阿裏雲容器服務,但由於acsrouting的路由錯亂問題,被逼上自建docker swarm的梁山。今天嘗試自己搭建docker swarm,竟然輕松搞定,簡單的超乎想象。 以下

docker倉庫Registry

建倉 問題解決 pin efi lan crt gis install fault 因為生產情況下官方容器還是比較慢的,所以會用到自建docker倉庫。docker官方提供完整部署倉庫的容器,你只需要提供域名證書,把文件系統掛載到容器,一個用戶密碼文件就可以使

Https、OpenSSLCA證書及簽發證書、nginx單向認證、雙向認證及使用Java訪問

1.5 image echo create etc 保存 config openss ima 0.環境 安裝了nginx,安裝了openssl 1.配置和腳本 先創建一個demo目錄(位置自己選擇,我選擇建在nginx的目錄下): mkdir /etc/nginx/

雲計算之路-阿裏雲上-容器難容:容器服務故障以及 docker swarm 集群故障

故障 基本 pos 應用 雲上 灰色 很大的 lead leader 3月21日,由於使用阿裏雲服務器自建 docker swarm 集群的不穩定,我們將自建 docker swarm 集群上的所有應用切換阿裏雲容器服務 swarm 版(非swarm mode)。 3月2

django定義使用者認證後進不了帶有@login_required的頁面

介紹下我的配置 setting中: AUTHENTICATION_BACKENDS = (xx.yy.zz) #這是自定義backend的路徑,其中zz是類名 view中: auth.login(request, user, backend='zzz') 按理說log

定義的帶有刪除功能EditText

解決某種情況下對輸入的資訊進行刪除。可刪除的輸入框DeteleEditext。 <com.example.cmy.commonedittext.EditTextWithDelete andro

Laravel 5.3 使用內的 Auth 元件實現多使用者認證功能以及登陸才能訪問後臺的功能的一種實現方法

概述 在開發中,我們經常會遇到多種型別的使用者的認證問題,比如後臺的管理員和前臺的普通使用者。Laravel 5.3 內建的 Auth 元件已經能很好的滿足這項需求,下面大概記錄下使用方法。 另外,後臺頁面常常需要登入才能訪問,為了完成類似的功能,大家一般都

docker 證書 私有 registry 搭建

docker registry 搭建,之前寫過一篇部落格是基於非證書registry,用於快速測試環境,今天寫一個關於搭建自建證書搭建registry,以做筆記 首先建立存放證書的資料夾cert,並在資料夾下生成證書,這裡我用的域名是hub.mydocker

Docker教程:docker遠端repository和本地registry

Docker有一個類似版本管理倉庫(Repositry)的東西,有docker.io提供的官方倉庫(index.docker.io,相當於github),也可以自建(叫docker-registry,相當於自己搭建一個小型github)。 比較 Docker 和 Git

內網Docker Registry

專案現有CI、CD方案為 提交程式碼到內網gitlab 自動觸發gitlab Runner gitlab Runner 按照.gitlab-ci.yml配置進行編譯打包 gitlab Runner 按照.gitlab-ci.yml配置進行映象構建 gitla

kafka SASL認證介紹及定義SASL PLAIN認證功能

[toc] 使用者認證功能,是一個成熟元件不可或缺的功能。在0.9版本以前kafka是沒有使用者認證模組的(或者說只有SSL),好在kafka0.9版本以後逐漸釋出了多種使用者認證功能,彌補了這一缺陷(這裡僅介紹SASL)。 本篇會先介紹當前kafka的四種認證方式,然後過一遍部署SASL/PLAIN認證

對Yii2中 yiiwebUser的理解,和的appmodelsUser(基礎版),frontendmodelsUser的應用原理

end his iat getter authent property 用戶id tails uniq yii\web\User 是一個統稱,為用戶,沒有具體實例,只能管理; 此處以app\models\User為基準; app\models\User 是映射數據表us

U-Mail企業郵箱域名解析設置

後臺 mail 生效 clas img 解析錯誤 位置 固定 實現 如果域名沒有做解析,只能用於內網收發郵件。要想實現與外網郵箱的收發,需要做域名解析。是在“域名解析後臺”進行設置(域名提供商提供“域名解析後臺")。 1. 域名

Linuxyum源倉庫

配置文件 管理工具 軟件包 linux yum倉庫 本文以自建guestfish鏡像管理工具源為例: 第一步:清空本地的yum緩存,避免跟以前下載的包混淆; #yum clean all 第二步:yum下載所需要的軟件包。 註:這裏有兩種方法可以緩存rpm包:

將GitLab數據庫從阿裏雲PostgreSQL RDS遷移至的PostgreSQL服務器

bsp 控制臺 創建 升級 postgresq pre 低版本 sse esql 阿裏雲RDS目前支持的是PostgreSQL 9.4,而gitlab支持的最低版本是PostgreSQL 9.6.1,不升級PostgreSQL,gitlab就無法升級,阿裏雲RDS短期內不進

設計一個帶有getmin功能的棧,保證時間復雜度在O(1)

保存 但是 style get key urn min() 要求 return 2017-06-22 20:56:10 需要得到最小值,最簡單的思路就是遍歷一遍求出最小值。但是這樣的時間復雜度會是O(n),不滿足O(1)的要求。於是想到在建立一個棧來保存最小值。 具體操作