Docker容器的使用场景越来越广泛了,Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目,它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。
Harbor的部署一般分为两种离线和在线,我们使用在线的方法部署一下:
我部署的环境:CentOS 7.X、Docker 1.13.1、Docker-compose1.22.0、Harbo/1.5.2。
1、docker-compose安装
yum install epel-release -y
yum install python-pip -y
pip install --upgrade pip
pip install -U -i https://pypi.tuna.tsinghua.edu.cn/simple docker-compose
docker-compose version
2、下载Harbor
wget https://github.com/vmware/harbor/releases/download/v1.5.2/harbor-online-installer-v1.5.2.tgz
解压 tar xvf harbor-online-installer-v1.5.2.tgz
3、生成证书
默认docker中都使用https安全的方式进行拉取和提交镜像的,最好在部署的时候一劳永逸直接部署https方式访问。默认证书的配置文件为/data/cert,需要手动创建该目录。
cd /data/cert/
创建 CA 根证书
openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt -subj "/C=CN/L=bj/O=ccie/CN=harbor-registry"
生成一个证书签名, 设置访问域名为 reg.ccie.xyz
openssl req -newkey rsa:4096 -nodes -sha256 -keyout reg.ccie.xyz.key -out server.csr -subj "/C=CN/L=bj/O=ccie/CN=reg.ccie.xyz"
生成主机的证书
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out reg.ccie.xyz.crt
4、Harbor配置文件更改
解压后生成harbor文件夹,该文件夹有harbor.cfg配置文件,更改一下内容:
hostname= reg.ccie.xyz
ui_url_protocol = https
ssl_cert = /data/cert/reg.ccie.xyz.crt
ssl_cert_key = /data/cert/reg.ccie.xyz.key
5、Harbor安装
进入harbor目录,执行install.sh脚本
./install --with-clair
ps:--with-clair是漏铜扫描器
提示以上图片信息将安装完毕。
查看安装了那些镜像
6、进行页面访问
绑定设置好的主机名,进行访问,默认的用户名密码都在harbor.cfg配置文件中。
https://reg.ccie.xyz
Harbor图1
我已经上传了一个测试镜像,并扫描没有漏洞。
閱讀更多 運維小筆記 的文章
