hallo!我是李大白,一名容器运维工程师,今天分享下企业内网环境下如何搭建安全的Harbor服务器。
更多Harbor的知识,可看我博客主页。
1 部署环境
- 操作系统:CentOS-7.8
- Harbor版本:2.3.5
- 主机配置:2C、4G内存
- 主机IP:192.168.2.81
- 安装软件:docker-ce-19.03.8、docker-compose-2.2.3、cfssl、cfssl-json
2 Harbor的5种安装方式
- 在线安装:适合初学者快速搭建一个Harbor仓库,简单快速,安装过程需要从官方拉取镜像,资源包带online。
- 离线安装:适合公司内网环境,离线安装包装载了安装过程需要的镜像(自动导入),资源包带offline。
- 源码安装:适合开发者对Harbor进行开发和测试,通过编译源码到本地进行安装,安装条件较苛刻,需要了解Harbor底层原理和实现方式的,可选择源码安装的方式;
- Heml Chart:通过Heml安装Harbor到 kubernetes集群;
每种安装方式都可以实现Habor的高可用(高可用方案官方建议使用kubernetes的安装方式,其他方式官方并不维护),防止单点故障,楼主本篇分享的是【离线安装】的部署方式
3 相关软件包下载
因为是企业内网环境,相关的安装包需要用自己的电脑下载相关软件,然后上传到部署的主机上。
3.1、dockeran安装包下载
19.03.8版本,封装了相关的依赖包。
链接:https://pan.baidu.com/s/1NbM6mlnkkch9bUa67ONICw
提取码:vgb5
3.2、docker-compose下载
docker-compose的版本要在1.18.0以上,否则安装会报错,本处下载2.2.3版本。
wget https://github.com/docker/compose/releases/download/v2.2.3/docker-compose-linux-x86_643.3、Harbor离线安装包(官网下载)
官方下载地址: https://github.com/goharbor/harbor/releases
选择带有offline的安装包进行下载。
4 安装docker-ce和docker-compose
4.1、使用离线安装包安装docker并启动docker服务
# tar zxvf docker-ce-rpm.tar.gz
# cd docker-ce-rpm/
# yum install -y ./*.rpm
# systemctl enable --now docker
# systemctl status docker
4.2 安装docker-compose
# mv docker-compose-linux-x86_64 /usr/local/bin/docker-compose
# ls -l /usr/local/bin/docker-compose
r--r-- 1 root root 24707072 1月 7 16:08 /usr/local/bin/docker-compose
# chmod +x /usr/local/bin/docker-compose
# docker-compose --version
Docker Compose version v2.2.3
5 配置内核参数
5.1 临时加载内核模板
# modprobe br_netfilter5.2 配置内核参数并生效
# cat > /etc/sysctl.conf << EOF
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
# sysctl -pnet.ipv4.ip_forward=1 :开启路由转发,不配置该参数,当主机重启后,服务状态正常,却无法访问到服务器。
6 配置安全访问证书
默认情况下,Harbor 不附带证书。可以在没有安全性的情况下部署 Harbor,以便您可以通过 HTTP 连接到它。在生产环境中,始终使用 HTTPS。如果启用 Content Trust with Notary 以正确签署所有图像,则必须使用HTTPS。
要配置 HTTPS,就必须要创建 SSL 证书。可以使用受信任的第三方 CA 签署的证书,也可以使用自签名证书。本篇文章介绍如何使用cfssl创建 CA,以及如何使用 CA 签署服务器证书和客户端证书。
有条件的企业也可使用购买的证书使用。
6.1 cfssl工具概述
CFSSL是CloudFlare公司提供的PKI/TLS工具,使用Go语言开发。开源并支持Windows、Linux、macos系统。
(1)cfssl有以下几个工具集:
- multirootca:管理多个签名密钥的情形;使用多个签名密钥的证书颁发机构服务器
- mkbundle:构建证书池;
- cfssljson:将从cfssl和multirootca等获得的json格式的输出转化为证书格式的文件(证书,密钥,CSR和bundle)进行存储;
- cfssl-certinfo:可显示CSR或证书文件的详细信息;可用于证书校验。
(2)证书文件说明
- ca-config.json: 配置文件
- ca-csr.json:证书请求文件
- han-ca.csr:证书签名请求文件
- han-ca.pem:公钥
- han-key.pem:私钥
(3)cfssl命令常用参数说明
6.2 下载cfssl证书制作工具
官方下载地址:https://github.com/cloudflare/cfssl/releases
# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssl_1.6.0_linux_amd64 \
-O /usr/local/bin/cfssl
# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssljson_1.6.0_linux_amd64 \
-O /usr/local/bin/cfssljson
# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssl-certinfo_1.6.0_linux_amd64 \
-O /usr/local/bin/cfssl-certinfo注:
将下载好的cfssl、cfssljson、cfssl-certinfo工具移动并改名到/usr/local/bin/下,并给可执行权限。
6.3 生成并修改CA默认配置文件
CA为证书机构,然后该机构可给客户端颁发证书。
# cfssl print-defaults config > ca-config.json
# vim ca-config.json
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"harbor": {
"expiry": "87600h",
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
]
}
}
}
}expiry:证书过期时间(单位:h);
profiles.harbor:为服务使用该配置文件颁发证书的配置模块;
signing:签署,表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;
key encipherment:密钥加密;
profiles:指定了不同角色的配置信息;可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile。
server auth:服务器身份验证;表示 client 可以用该 CA 对 server 提供的证书进行验证;
client auth:客户端身份验证;表示 server 可以用该 CA 对 client 提供的证书进行验证;
6.4 生成并修改默认csr请求文件
# cfssl print-defaults csr > ca-csr.json
# vim ca-csr.json
{
"CN": "harbor",
"hosts": [
"127.0.0.1",
"192.168.2.81"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing"
}
]
}hosts:包含的授权范围,不在此范围的的节点或者服务使用此证书就会报证书不匹配错误,证书如果不包含可能会出现无法连接的情况,此处需要改为本机的IP地址;
Key: 指定使用的加密算法,一般使用rsa非对称加密算法(algo:rsa;size:2048)
CN:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;CN是域名,也就是你现在使用什么域名就写什么域名
O:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);
6.5 初始化CA
# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
# ls
anaconda-ks.cfg ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem会生成ca-key.pem、ca.pem两个文件,ca-key.pem、ca.pem这两个是CA相关的证书,通过这个CA来签署服务端证书。
6.6 生成服务器证书
(1)创建并修改服务端证书请求文件
# cfssl print-defaults csr > harbor-csr.json
# vim harbor-csr.json
{
"CN": "harbor",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing"
}
]
}(2)使用请求文件根据CA配置颁发证书
# cfssl gencert -ca=ca.pem key=ca-key.pem -config=ca-config.json -profile=harbor harbor-csr.json | cfssljson -bare harbor-config:指定CA证书机构的配置文件;
-profile:指定使用CA配置文件中的哪个模块(此处harbor对应配置文件中的harbor);
harbor.pem:harbor服务的数字证书;
harbor-key.pem:harbor服务的私钥,注意保管,不可随意给别人;
7 安装Harbor
7.1、创建Harbor工作目录
# mkdir -p /app/harbor/ssl/ssl子目录用于存放Harbor相关的证书
7.2、将制作的证书放到/app/harbor/ssl/下
# mv ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem /app/harbor/ssl/
# mv harbor.csr harbor-csr.json harbor-key.pem harbor.pem /app/harbor/ssl/7.3、解压Harbor安装包
# tar -zxvf harbor-offline-installer-v2.3.5.tgz
# cd
# lsharbor.v2.3.5.tar.gz:各个功能组件的镜像包,运行install.sh脚本会自动导入该镜像;
prepare:准备脚本,将harbor.yml配置文件的内容注入到各组件的配置文件中;
LICENSE:许可文件;
common.sh安装脚本的工具脚本;
harbor.yml.tmpl:配置文件模板,需要复制为harbor.yml生成配置文件;
install.sh:安装脚本
7.4、使用模板文件创建配置文件
# cp harbor.yml.tmpl harbor.yml7.5、修改配置文件(重点)
# vim harbor.yml
hostname: 192.168.2.250 #域名或IP
http: //非安全访问
port: 80
https:
port: 443 //安全访问端口,默认443,建议修改,本处演示就不改了
certificate: /app/harbor/ssl/harbor.pem //填写制作好的证书文件
private_key: /app/harbor/ssl/harbor-key.pem //填写制作好的私钥文件
#Harbor管理员(admin)的密码,初次不可修改
harbor_admin_password: Harbor12345
database: # 数据配置部分
password: root123 #数据库密码
max_idle_conns: 100
max_open_conns: 900
data_volume: /app/harbor/data #容器存储卷数据存放位置
