參考文檔:
https://goharbor.io/docs/1.10/install-config/configure-https/
https://goharbor.io/docs/1.10/install-config/troubleshoot-installation/#https
默認情況下,Harbor不附帶證書。可以在沒有安全性的情況下部署Harbor,以便您可以通過HTTP連接到它。但是,只有在沒有外部網絡連接的空白測試或開發環境中,才可以使用HTTP。在沒有空隙的環境中使用HTTP會使您遭受中間人攻擊。在生產環境中,請始終使用HTTPS。如果啟用Content Trust with Notary來正確簽名所有圖像,則必須使用HTTPS。
要配置HTTPS,必須創建SSL證書。您可以使用由受信任的第三方CA簽名的證書,也可以使用自簽名證書
1. 生成證書頒發機構證書
在生產環境中,您應該從CA獲得證書。在測試或開發環境中,您可以生成自己的CA。要生成CA證書,請運行以下命令。
1.1 生成CA證書私鑰。
openssl genrsa -out ca.key 4096
1.2 生成CA證書
調整-subj選項中的值以反映您的組織。如果使用FQDN連接Harbor主機,則必須將其指定為通用名稱(CN)屬性。
openssl req -x509 -new -nodes -sha512 -days 3650 \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.od.com" \
-key ca.key \
-out ca.crt
如果是ip訪問, 將 harbor.od.com 改成 ip地址
2. 生成服務器證書
證書通常包含一個.crt文件和一個.key文件
2.1 生成私鑰
openssl genrsa -out harbor.od.com.key 4096
2.2 生成證書簽名請求(CSR)
openssl req -sha512 -new \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.od.com" \
-key harbor.od.com.key \
-out harbor.od.com.csr
如果是ip訪問, 將 harbor.od.com 改成 ip地址
2.3 生成一個x509 v3擴展文件
無論您使用FQDN還是IP地址連接到Harbor主機,都必須創建此文件,以便可以為您的Harbor主機生成符合主題備用名稱(SAN)和x509 v3的證書擴展要求。替換DNS條目以反映您的域
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=harbor.od.com
DNS.2=harbor.od.com
DNS.3=harbor.od.com
EOF
- 如果是ip訪問
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:192.168.31.200
EOF
2.4 使用該v3.ext文件為您的Harbor主機生成證書
openssl x509 -req -sha512 -days 3650 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in harbor.od.com.csr \
-out harbor.od.com.crt
如果是ip訪問, 將 harbor.od.com 改成 ip地址
3. 提供證書給Harbor和Docker
生成后ca.crt,harbor.od.com.crt和harbor.od.com.key文件,必須將它們提供給Harbor和docker,重新配置它們
3.1 將服務器證書和密鑰復制到Harbor主機上的/data/cert/文件夾中
mkdir -p /data/cert/
cp harbor.od.com.crt /data/cert/
cp harbor.od.com.key /data/cert/
3.2 轉換harbor.od.com.crt為harbor.od.com.cert,供Docker使用
Docker守護程序將.crt文件解釋為CA證書,並將.cert文件解釋為客戶端證書
openssl x509 -inform PEM -in harbor.od.com.crt -out harbor.od.com.cert
3.3 將服務器證書,密鑰和CA文件復制到Harbor主機上的Docker證書文件夾中。您必須首先創建適當的文件夾
mkdir -p /etc/docker/certs.d/harbor.od.com/
cp harbor.od.com.cert /etc/docker/certs.d/harbor.od.com/
cp harbor.od.com.key /etc/docker/certs.d/harbor.od.com/
cp ca.crt /etc/docker/certs.d/harbor.od.com/
如果將默認nginx端口443 映射到其他端口,請創建文件夾/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port
3.4 重新啟動Docker Engine
systemctl restart docker
3.5 證書的目錄結構
/etc/docker/certs.d/
└── harbor.od.com
├── ca.crt
├── harbor.od.com.cert
└── harbor.od.com.key
4. 部署或重新配置Harbor
harbor.yml
hostname: harbor.od.com
http:
port: 80
https:
port: 443
certificate: /data/cert/harbor.od.com.crt
private_key: /data/cert/harbor.od.com.key
external_url: https://harbor.od.com
harbor_admin_password: Harbor12345
database:
password: root123
max_idle_conns: 50
max_open_conns: 100
data_volume: /data/harbor
clair:
updaters_interval: 12
jobservice:
max_job_workers: 10
notification:
webhook_job_max_retry: 10
chart:
absolute_url: disabled
log:
level: info
local:
rotate_count: 50
rotate_size: 200M
location: /data/harbor/logs
_version: 1.10.0
proxy:
http_proxy:
https_proxy:
no_proxy:
components:
- core
- jobservice
- clair
4.1 運行prepare腳本以啟用HTTPS
Harbor將nginx實例用作所有服務的反向代理。您可以使用prepare腳本來配置nginx為使用HTTPS
./prepare
4.2 如果Harbor正在運行,請停止並刪除現有實例
您的圖像數據保留在文件系統中,因此不會丟失任何數據
docker-compose down -v
4.3 重啟docker
docker-compose up -d
5. 驗證HTTPS連接
打開瀏覽器,然后輸入https://harbor.od.com。它應該顯示Harbor界面
注意
然后登陸推送鏡像測試, 如果服務器要推送代碼到harbor, 必須在docker的配置文件的目錄 /etc/docker/certs.d/harbor.od.com/ 配置 服務器證書(harbor.od.com.cert),密鑰(harbor.od.com.key)和CA文件(ca.crt)