企业内网如何搭建安全的Harbor服务？（超详细）

Posted 2022-04-03 键客李大白

hallo！我是李大白，一名容器运维工程师，今天分享下企业内网环境下如何搭建安全的Harbor服务器。

更多Harbor的知识，可看我博客主页。

                                              

1 部署环境

• 操作系统：CentOS-7.8
• Harbor版本：2.3.5
• 主机配置：2C、4G内存
• 主机IP：192.168.2.81
• 安装软件：docker-ce-19.03.8、docker-compose-2.2.3、cfssl、cfssl-json

2 Harbor的5种安装方式

• 在线安装：适合初学者快速搭建一个Harbor仓库，简单快速，安装过程需要从官方拉取镜像，资源包带online。
• ​离线安装​：适合公司内网环境，离线安装包装载了安装过程需要的镜像（自动导入），资源包带​​offline​。
• 源码安装：适合开发者对Harbor进行开发和测试，通过编译源码到本地进行安装，安装条件较苛刻，需要了解Harbor底层原理和实现方式的，可选择源码安装的方式；
• Heml Chart：通过Heml安装Harbor到 kubernetes集群；

每种安装方式都可以实现Habor的高可用（高可用方案官方建议使用kubernetes的安装方式，其他方式官方并不维护），防止单点故障，楼主本篇分享的是【​离线安装​】的部署方式

3  相关软件包下载

因为是企业内网环境，相关的安装包需要用自己的电脑下载相关软件，然后上传到部署的主机上。

3.1、dockeran安装包下载

   19.03.8版本，封装了相关的依赖包。

链接：https://pan.baidu.com/s/1NbM6mlnkkch9bUa67ONICw

提取码：vgb5

3.2、docker-compose下载

  docker-compose的​版本要在1.18.0以上​，否则安装会报错，本处下载2.2.3版本。

wget https://github.com/docker/compose/releases/download/v2.2.3/docker-compose-linux-x86_64

3.3、Harbor离线安装包（官网下载）

官方下载地址： https://github.com/goharbor/harbor/releases 

      选择带有​​offline​的安装包进行下载。​

4 安装docker-ce和docker-compose

4.1、使用离线安装包安装docker并启动docker服务

# tar zxvf docker-ce-rpm.tar.gz 
# cd docker-ce-rpm/
# yum install  -y  ./*.rpm  
# systemctl enable  --now docker
# systemctl status  docker

4.2 安装docker-compose

# mv docker-compose-linux-x86_64   /usr/local/bin/docker-compose
# ls  -l /usr/local/bin/docker-compose
-rw-r--r-- 1 root root 24707072 1月   7 16:08 /usr/local/bin/docker-compose
# chmod +x /usr/local/bin/docker-compose
# docker-compose --version
Docker Compose version v2.2.3

5 配置内核参数

5.1 临时加载内核模板

# modprobe br_netfilter

5.2 配置内核参数并生效

# cat > /etc/sysctl.conf << EOF
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF 
# sysctl -p

​net.ipv4.ip_forward=1​  ：开启路由转发，不配置该参数，当主机重启后，服务状态正常，却无法访问到服务器。

  

6 配置安全访问证书

默认情况下，Harbor 不附带证书。可以在没有安全性的情况下部署 Harbor，以便您可以通过 HTTP 连接到它。在生产环境中，始终使用 HTTPS。如果启用 Content Trust with Notary 以正确签署所有图像，则必须使用HTTPS。

要配置 HTTPS，就必须要创建 SSL 证书。可以使用受信任的第三方 CA 签署的证书，也可以使用自签名证书。本篇文章介绍如何使用cfssl创建 CA，以及如何使用 CA 签署服务器证书和客户端证书。

有条件的企业也可使用购买的证书使用。

6.1 cfssl工具概述

CFSSL是CloudFlare公司提供的PKI/TLS工具，使用Go语言开发。开源并支持Windows、Linux、macos系统。

（1）cfssl有以下几个工具集：

• multirootca：管理多个签名密钥的情形；使用多个签名密钥的证书颁发机构服务器
• mkbundle：构建证书池；
• ​cfssljson​：将从cfssl和multirootca等获得的json格式的输出转化为证书格式的文件（证书，密钥，CSR和bundle）进行存储；
• ​cfssl-certinfo​：可显示CSR或证书文件的详细信息；可用于证书校验。

（2）证书文件说明

• ​ca-config.json： 配置文件​
• ​ca-csr.json：证书请求文件​
• ​han-ca.csr：证书签名请求文件​
• ​han-ca.pem：公钥​
• ​han-key.pem：私钥​

（3）cfssl命令常用参数说明

6.2 下载cfssl证书制作工具

  官方下载地址：​​https://github.com/cloudflare/cfssl/releases​​

# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssl_1.6.0_linux_amd64 \\
 -O   /usr/local/bin/cfssl
# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssljson_1.6.0_linux_amd64 \\
 -O  /usr/local/bin/cfssljson
# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssl-certinfo_1.6.0_linux_amd64   \\
 -O  /usr/local/bin/cfssl-certinfo

​注：​

  将下载好的cfssl、cfssljson、cfssl-certinfo工具移动并改名到/usr/local/bin/下，并给可执行权限。

6.3 生成并修改CA默认配置文件

  CA为证书机构，然后该机构可给客户端颁发证书。

# cfssl print-defaults  config > ca-config.json 
# vim ca-config.json 

    "signing": 
        "default": 
            "expiry": "87600h"
        ,
        "profiles": 
            "harbor": 
                "expiry": "87600h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            
        
    

expiry：证书过期时间（单位：h）；

profiles.harbor：为服务使用该配置文件颁发证书的配置模块；

signing：签署，表示该证书可用于签名其它证书；生成的 ca.pem 证书中 CA=TRUE；

key encipherment：密钥加密；

profiles：指定了不同角色的配置信息；可以定义多个 profiles，分别指定不同的过期时间、使用场景等参数；后续在签名证书时使用某个 profile。

server auth：服务器身份验证；表示 client 可以用该 CA 对 server 提供的证书进行验证；

client auth：客户端身份验证；表示 server 可以用该 CA 对 client 提供的证书进行验证；

6.4 生成并修改默认csr请求文件

# cfssl  print-defaults csr  > ca-csr.json
# vim ca-csr.json 

    "CN": "harbor",
    "hosts": [
        "127.0.0.1",
        "192.168.2.81"
    ],
    "key": 
        "algo": "rsa",
        "size": 2048
    ,
    "names": [
        
            "C": "CN",
            "ST": "BeiJing",
            "L": "BeiJing"
        
    ]

hosts：包含的授权范围，不在此范围的的节点或者服务使用此证书就会报证书不匹配错误，证书如果不包含可能会出现无法连接的情况，此处需要改为本机的IP地址；

Key: 指定使用的加密算法，一般使用rsa非对称加密算法（algo:rsa；size:2048）

CN：Common Name，kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name)；浏览器使用该字段验证网站是否合法；CN是域名，也就是你现在使用什么域名就写什么域名

O：Organization，kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)；

6.5 初始化CA

#  cfssl  gencert  -initca  ca-csr.json  |  cfssljson  -bare   ca 
# ls
anaconda-ks.cfg  ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

会生成ca-key.pem、ca.pem两个文件，ca-key.pem、ca.pem这两个是CA相关的证书，通过这个CA来签署服务端证书。

6.6 生成服务器证书

（1）创建并修改服务端证书请求文件

# cfssl  print-defaults csr >  harbor-csr.json 
# vim harbor-csr.json

    "CN": "harbor",
    "hosts": [],
    "key": 
        "algo": "rsa",
        "size": 2048
    ,
    "names": [
        
            "C": "CN",
            "ST": "BeiJing",
            "L": "BeiJing"
        
    ]

<