Harbor搭建内部私有仓库registry-结合AD认证

2018-04-26  本文已影响175人  Feel_狗焕

Harbor简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。

更多信息请查看Readme文档。以上资料来自官网,网上找了下Harbor的结构图,如下:

harbor.png

1、环境:

   centos7.2(1611)
   ip:192.168.100.10
   Docker-ce Version: 18.03.0-ce
   harbor: harbor-offline-installer-v1.5.0-rc3.tgz

2、初始化环境:

## 关闭防火墙:
$systemctl stop firewalld
$systemctl disable firewalld

## 关闭selinux:
$setenforce  0

## 安装iptables
$ yum install iptables-services -y 
## 将/etc/sysconfig/iptables规则改成如下:
# Generated by iptables-save v1.4.21 on Fri Apr 13 17:36:35 2018
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Fri Apr 13 17:36:35 2018
# Generated by iptables-save v1.4.21 on Fri Apr 13 17:36:35 2018
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 1:65535 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1:65535 -j ACCEPT
COMMIT

## 启用iptables
$ systemctl start iptables && systemctl enable iptables

$ sudo yum install -y yum-utils device-mapper-persistent-data lvm2
$ yum-config-manager  --add-repo https://download.docker.com/linux/centos/docker-ce.repo
$ yum makecache fast
$ yum install docker-ce
$ systemctl start docker 
$ systemctl enable docker

$ yum -y install epel-release
$ yum install python-pip -y
$ pip install docker-compose
$ pip install --upgrade backports.ssl_match_hostname
## 或者
$ curl -L https://github.com/docker/compose/releases/download/1.13.0/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
$ chmod 755 /usr/local/bin/docker-compose

3、创建证书:

$mkdir certs && cd certs

## 创建CA根证书
$ openssl req  -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 3650 -out ca.crt 

## 生成一个证书签名, 设置访问域名为 reg.mydomain.com(域名需要在DNS做好解析)这里的域名我是举例
$ openssl req -newkey rsa:4096 -nodes -sha256 -keyout reg.mydomain.com.key -out server.csr

## 生成主机的证书
$ openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out reg.mydomain.com.crt

4、安装 Harbor

Harbor版本下载地方:
https://github.com/vmware/harbor/releases
根据自己的需要下载相应的版本,然后上传到服务器

$ tar -zvxf harbor-offline-installer-v1.5.0-rc3.tgz -C /usr/local
$ cd /usr/local/harbor
$ vim harbor.cfg
修改如下:
hostname = reg.mydomain.com  # 指定私有仓库的主机名,可以是IP地址,也可以是域名   
ui_url_protocol = https   # 用户访问私仓时使用的协议,默认时http,配置成https
harbor_admin_password:Harbor12345  # harbor的管理员账户密码
ssl_cert = /root/certs/reg.mydomain.com.crt    # 设置证书文件路径
ssl_cert_key = /root/certs/reg.mydomain.com.key  # 设置证书密钥文件路径

##  执行安装脚本
$ sudo ./install.sh 
在的当前目录执行./install.sh,Harbor服务就会根据当期目录下的docker-compose.yml
开始下载依赖的镜像,检测并按照顺序依次启动各个服务
image.png image.png

注意1:安装脚本执行完后显示正常,但是不代表容器全部处于正常状态,要是容器不处于正常状态,查看不正常容器状态的日志(docker logs 容器id)在一一分析

浏览器输入https://reg.mydomain.com,建议使用火狐浏览器,管理员账户信息为(admin/Harbor12345)登陆后可自行修改密码

image.png

注意2:这里我们虽然搭建好了harbor但是在客户端使用 docker login reg.mydomain.com的时候会报x.509证书的错误,这是因为客户端请求的时候没有使用正确的证书导致的,将上面创建的证书拷贝到相应目录下即可。

## 例如上面的域名:
$ mkdir -p /etc/docker/certs.d/reg.mydomain.com
$ cp /root/reg.mydomain.com.crt /etc/docker/certs.d/reg.mydomain.com
$ docker login reg.mydomain.com
Username: admin
Password:
Login Succeeded

注意3:要是我们不使用Harbor https模式的而是使用http模式,那么当我们使用docker login reg.mydomain.com的时候会报错这是因为docker 客户端使用的是https的请求而我们搭建的仓库使用的是http,遇到这样的问题可以这样处理

5、Harbor结合AD做认证

填上自己公司内部的AD信息即可使用AD账户创建各自的仓库,或者在初始化的配置文件(harbor.cfg)中填写好也行。

image.png

参考:

https://github.com/vmware/harbor/blob/master/docs/user_guide.md
https://vmware.github.io/harbor/cn/#gettingStarted
http://www.mamicode.com/info-detail-1855980.html

上一篇下一篇

猜你喜欢

热点阅读