Linux企业运维——DockerHarbor仓库

Posted 是大姚呀

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux企业运维——DockerHarbor仓库相关的知识,希望对你有一定的参考价值。

Linux企业运维——Docker(四)Harbor仓库

1、Harbor简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器。
Harbor使用的是官方的docker registry(v2命名是distribution)服务去完成。harbor在docker distribution的基础上增加了一些安全、访问控制、管理的功能以满足企业对于镜像仓库的需求。
Harbor作为一个企业级私有Registry服务器,提供了更好的性能和安全,提升用户使用Registry构建和运行环境传输镜像的效率。
Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中,确保数据和知识产权在公司内部网络中管控。

2、Harbor仓库的安装与部署

2.1、安装docker-conpose

(1)得到docker-compose文件

(2)将docker-compose二进制文件放入/usr/local/bin目录下并赋予权限

2.2、解压Harbor安装包并配置

(1)将Harbor安装包发送给server1

(2)解压

(3)编辑配置文件

(4)拷贝证书目录到/data目录下

(5)安装baobor

(6)查看harbor目录,存在docker-compose.yml,此时可以启动docker-compose(必须在harbor目录下执行)

2.3、测试

  • server1:

(1)设置域名解析

(2)用浏览器访问


因为是自签证书,所以浏览器不信任,继续访问

输入用户名密码

(3)登录并上传镜像
(harbor默认仓库是library)

在web页面可以看到我们上传的镜像

  • server2:

(1)配置server2的docker仓库源和域名解析


(2)重新加载docker配置

(3)从仓库拉取镜像

拉取成功

在web页面可以看到我们前面操作的日志记录

3、Harbor仓库的使用

3.1、创建私有仓库

只有指定用户才可以访问私密用户
(1)新建项目


(2)创建用户

(3)将创建的用户添加到仓库成员中

3.2、私有仓库上传和拉取镜像

(1)server1向创建好的westos私有仓库上传镜像

(2)server2从私有仓库拉取镜像

(3)查看日志

4、harbor安全验证

4.1、重新部署harbor

(1)先关闭当前容器

(2)重新安装harbor

  • –with-notary: 镜像信任,Notary是Docker镜像的签名工具,用来保证镜像在pull,push和传输过程中的一致性和完整性,避免中间人攻击,避免非法的镜像更新和运行。
    镜像信任功能能够保证镜像的安全,只有打了信任标签的镜像才能被拉取
  • –with-clair: 镜像安全扫描,Harbor与Clair集成,添加漏洞扫描功能。 默认在运行harbor时漏洞扫描是没有开启的,需要重新开启并添加参数
  • –with-chartmuseum: 支持chart仓库服务

4.2、镜像安全扫描

现在我们可以对仓库的镜像进行安全扫描



可以在仓库配置管理中设置自动对镜像进行安全扫描

4.3、内容信任

(1)启用内容信任功能

(2)上传镜像

上传失败,因为我们需要根部署证书

(3)部署证书

(4)再次进行镜像上传,可以看到签名成功并上传

在web页面可以看到显示已签名

(5)用server2拉取私有仓库中未签名的镜像,被拒绝

用server2拉取公共仓库的已签名的镜像,成功拉取

(6)用server1向私有仓库中重新上传该镜像,并签名

(7)此时server2可以拉取该镜像了

(8)关闭内容信任功能

以上是关于Linux企业运维——DockerHarbor仓库的主要内容,如果未能解决你的问题,请参考以下文章

DockerHarbor部署漏洞扫描内容信任

Linux企业运维——持续集成与持续交付

Linux企业运维——持续集成与持续交付(上)

Linux企业运维——持续集成与持续交付(上)

linux运维架构之路-企业级镜像仓库Harbor

Docker搭建Harbor公开仓库