Linux企业运维——DockerHarbor仓库

Posted 2021-08-31 是大姚呀

Linux企业运维——Docker（四）Harbor仓库

文章目录

• • Linux企业运维——Docker（四）Harbor仓库
  • 1、Harbor简介
  • 2、Harbor仓库的安装与部署
  • • 2.1、安装docker-conpose
    • 2.2、解压Harbor安装包并配置
    • 2.3、测试
  • 3、Harbor仓库的使用
  • • 3.1、创建私有仓库
    • 3.2、私有仓库上传和拉取镜像
  • 4、harbor安全验证
  • • 4.1、重新部署harbor
    • 4.2、镜像安全扫描
    • 4.3、内容信任

1、Harbor简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器。
Harbor使用的是官方的docker registry(v2命名是distribution)服务去完成。harbor在docker distribution的基础上增加了一些安全、访问控制、管理的功能以满足企业对于镜像仓库的需求。
Harbor作为一个企业级私有Registry服务器，提供了更好的性能和安全，提升用户使用Registry构建和运行环境传输镜像的效率。
Harbor支持安装在多个Registry节点的镜像资源复制，镜像全部保存在私有Registry中，确保数据和知识产权在公司内部网络中管控。

2、Harbor仓库的安装与部署

2.1、安装docker-conpose

（1）得到docker-compose文件

（2）将docker-compose二进制文件放入/usr/local/bin目录下并赋予权限

2.2、解压Harbor安装包并配置

（1）将Harbor安装包发送给server1

（2）解压

（3）编辑配置文件

（4）拷贝证书目录到/data目录下

（5）安装baobor

（6）查看harbor目录，存在docker-compose.yml，此时可以启动docker-compose（必须在harbor目录下执行）

2.3、测试

• server1：

（1）设置域名解析

（2）用浏览器访问


因为是自签证书，所以浏览器不信任，继续访问

输入用户名密码

（3）登录并上传镜像
（harbor默认仓库是library）

在web页面可以看到我们上传的镜像

• server2：

（1）配置server2的docker仓库源和域名解析


（2）重新加载docker配置

（3）从仓库拉取镜像

拉取成功

在web页面可以看到我们前面操作的日志记录

3、Harbor仓库的使用

3.1、创建私有仓库

只有指定用户才可以访问私密用户
（1）新建项目


（2）创建用户

（3）将创建的用户添加到仓库成员中

3.2、私有仓库上传和拉取镜像

（1）server1向创建好的westos私有仓库上传镜像

（2）server2从私有仓库拉取镜像

（3）查看日志

4、harbor安全验证

4.1、重新部署harbor

（1）先关闭当前容器

（2）重新安装harbor

• –with-notary： 镜像信任，Notary是Docker镜像的签名工具，用来保证镜像在pull，push和传输过程中的一致性和完整性，避免中间人攻击，避免非法的镜像更新和运行。
  镜像信任功能能够保证镜像的安全，只有打了信任标签的镜像才能被拉取
• –with-clair： 镜像安全扫描，Harbor与Clair集成，添加漏洞扫描功能。 默认在运行harbor时漏洞扫描是没有开启的，需要重新开启并添加参数
• –with-chartmuseum： 支持chart仓库服务

4.2、镜像安全扫描

现在我们可以对仓库的镜像进行安全扫描



可以在仓库配置管理中设置自动对镜像进行安全扫描

4.3、内容信任

（1）启用内容信任功能

(2)上传镜像

上传失败，因为我们需要根部署证书

（3）部署证书

（4）再次进行镜像上传，可以看到签名成功并上传

在web页面可以看到显示已签名

（5）用server2拉取私有仓库中未签名的镜像，被拒绝

用server2拉取公共仓库的已签名的镜像，成功拉取

（6）用server1向私有仓库中重新上传该镜像，并签名

（7）此时server2可以拉取该镜像了

（8）关闭内容信任功能