centos7安装harbor详细教程

注:先决条件必须安装docker与docker-compose并且启动docker

检查是否安装docker-compose

docker-compose -v
docker-compose version 1.25.0, build 0a186604

如果没有安装则安装docker-compose

采用离线安装docker-compose方式

下载 docker-compose-Linux-x86_64重命名为docker-compose

然后将docker-compose文件上传到服务器的/usr/local/bin/目录下

然后输入命令:

# 添加可执行权限
sudo chmod +x /usr/local/bin/docker-compose
# 查看docker-compose版本
docker-compose -v
docker-compose version 1.25.0, build 0a186604

centos7中docker-compose的三种安装方式

进行harbor镜像安装

上传barbor到服务器指定目录下然后进入目录执行命令

#解压镜像包压缩包
tar xf harbor-offline-installer-v2.0.1.tgz
#进入目录
cd harbor
***开始修改harbor安装的配置文件
#复制基础配置文件
cp harbor.yml.tmpl  harbor.yml
创建用于存放harbor的持久化数据目录
mkdir -p /data/harbor

harbor.yml配置文件主要修改参数如下：

hostname: 192.168.0.8          //需要写IP地址或者域名
#http配置
http:
# port for http, default is 80. If https enabled, this port will redirect to https port
port: 1010                       #https配置(如不需要 需要注释掉Https配置)# https related config
#https:(注释掉)
# https port for harbor, default is 443#port: 443(注释掉)
# The path of cert and key files for nginx#certificate: /your/certificate/path(注释掉)#private_key: /your/private/key/path(注释掉)harbor_admin_password: Harbor12345         //admin密码#数据库配置
database:
# The password for the root user of Harbor DB. Change this before any production use.
password: root123
# The maximum number of connections in the idle connection pool. If it <=0, no idle connections are retained.
max_idle_conns: 50
# The maximum number of open connections to the database. If it <= 0, then there is no limit on the number of open connections.
# Note: the default number of connections is 100 for postgres.
max_open_conns: 100#持久化数据目录data_volume: /opt/application/harbor……

然后进行安装并启动harbor

./install.sh

安装完成查看docker容器

访问harbor WEB界面

http://ip:port admin Harbor12345

harbor的使用

1、登录harbor

# docker login 192.168.1.101
Username: admin
Password:
Error response from daemon: Get https://192.18.0.8/v2/: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

报错原因：Docker自从1.3.X之后docker registry交互默认使用的是HTTPS，但是我们搭建私有镜像默认使用的是HTTP服务，所以与私有镜像交时出现以上错误。

报错解决：

修改Docker的配置文件/etc/docker/daemon.json ：

# vim /etc/docker/daemon.json
{
"registry-mirrors": ["https://k728i8z5.mirror.aliyuncs.com"],
#如更改过harbor.yml的http端口需要加上端口号
"insecure-registries":["192.168.1.101:1010"]
}
然后重新启动Docker：
# systemctl restart docker

Harbor如何停止与启动

# cd soft/harbor       //切换到harbor安装包目录
# docker-compose stop   //停止Harbor
# docker-compose start  //启动Harbor

harbor https证书生成与配置

知识解读

https方式部署

默认情况下，Harbor不附带证书。可以在没有安全性的情况下部署Harbor，以便您可以通过HTTP连接到它。但是，只有在没有外部网络连接的测试或开发环境中，才可以使用HTTP。在外网暴露环境中使用HTTP会使您遭受中间人攻击。在生产环境中，请始终使用HTTPS。如果启用Content Trust with Notary来正确签名所有镜像，则必须使用HTTPS。

要配置HTTPS，必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书，也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA，以及如何使用CA签署服务器证书和客户端证书。您可以使用其他CA提供程序，例如Let’s Encrypt。

以下过程假定您的Harbor注册表的主机名是yourdomain.com，并且其DNS记录指向您在其上运行Harbor的主机。

以上是官方说明，这里以harbor.baser.cloud域名为例进行演示，也可以直接使用IP地址代替域名配置https，但在生成证书时有两处配置稍有不同。

官方文档：https://goharbor.io/docs/2.0.0/install-config/configure-https/

生成证书颁发机构证书

在生产环境中，您应该从CA获得证书。在测试或开发环境中，您可以生成自己的CA。要生成CA证书，请运行以下命令。

1、生成CA证书私钥。

#创建目录保存证书(可选)
mkdir -p /root/harbor/ssl
cd /root/harbor/ssl
openssl genrsa -out ca.key 4096

2、生成CA证书。

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机，则必须将其指定为通用名称(CN)属性。

openssl req -x509 -new -nodes -sha512 -days 3650 \-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.baser.cloud" \-key ca.key \-out ca.crt

如果使用IP地址，需要在执行以上命令前执行以下操作：

cd /root
openssl rand -writerand .rnd
cd -

生成服务器证书

证书通常包含一个.crt文件和一个.key文件，例如yourdomain.com.crt和yourdomain.com.key。

1、生成私钥。

openssl genrsa -out harbor.baser.cloud.key 4096

2、生成证书签名请求(CSR)。

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机，则必须将其指定为通用名称(CN)属性，并在密钥和CSR文件名中使用它。

openssl req -sha512 -new \-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.baser.cloud" \-key harbor.baser.cloud.key \-out harbor.baser.cloud.csr

3、生成一个x509 v3扩展文件。

无论您使用FQDN还是IP地址连接到Harbor主机，都必须创建此文件，以便可以为您的Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映您的域。

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names[alt_names]
DNS.1=harbor.baser.cloud
DNS.2=harbor.baser
DNS.3=baser
EOF

如果使用ip，需要使用如下方式进行创建：

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:192.168.1.101
EOF

4、使用该v3.ext文件为您的Harbor主机生成证书。

将yourdomain.comCRS和CRT文件名中的替换为Harbor主机名。

openssl x509 -req -sha512 -days 3650 \-extfile v3.ext \-CA ca.crt -CAkey ca.key -CAcreateserial \-in harbor.baser.cloud.csr \-out harbor.baser.cloud.crt

提供证书给Harbor和Docker

生成后ca.crt，yourdomain.com.crt和yourdomain.com.key文件，必须将它们提供给harbor和docker，和重新配置harbor使用它们。

1、将服务器证书和密钥复制到Harbor主机上的certficates文件夹中。

mkdir -p /data/cert
cp harbor.baser.cloud.crt /data/cert/
cp harbor.baser.cloud.key /data/cert/

2、转换yourdomain.com.crt为yourdomain.com.cert，供Docker使用。
Docker守护程序将.crt文件解释为CA证书，并将.cert文件解释为客户端证书。

openssl x509 -inform PEM -in harbor.baser.cloud.crt -out harbor.baser.cloud.cert

3、将服务器证书，密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。您必须首先创建适当的文件夹。

mkdir -p /etc/docker/certs.d/harbor.baser.cloud/
cp harbor.baser.cloud.cert /etc/docker/certs.d/harbor.baser.cloud/
cp harbor.baser.cloud.key /etc/docker/certs.d/harbor.baser.cloud/
cp ca.crt /etc/docker/certs.d/harbor.baser.cloud/

如果将默认nginx端口443映射到其他端口，请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port。(省略)

4、重新启动Docker Engine。

systemctl restart docker

您可能还需要在操作系统级别信任证书。有关更多信息，请参见对Harbour安装进行故障排除。

以下示例说明了使用自定义证书的配置。

/etc/docker/certs.d/└── yourdomain.com:port├── yourdomain.com.cert  <-- Server certificate signed by CA├── yourdomain.com.key   <-- Server key signed by CA└── ca.crt               <-- Certificate authority that signed the registry certificate[root@harbor ~]# yum install -y tree
[root@harbor ~]# tree /etc/docker/certs.d/
/etc/docker/certs.d/
└── harbor.baser.cloud├── ca.crt├── harbor.baser.cloud.cert└── harbor.baser.cloud.key

部署或重新配置harbor

如果尚未部署Harbor，请参阅配置Harbor YML文件，以获取有关如何通过在中指定hostname和https属性来配置Harbor以使用证书的信息harbor.yml。

这里是全新部署，修改harbor.yml配置文件：

[root@harbor ~]# cd /data/inPa/harbor
[root@harbor harbor]# cp harbor.yml.tmpl harbor.yml#只需修改hostname及https下的证书路径即可，其他保持默认
[root@harbor harbor]# more harbor.yml
# Configuration file of Harbor# The IP address or hostname to access admin UI and registry service.
# DO NOT use localhost or 127.0.0.1, because Harbor needs to be accessed by external clients.
hostname: harbor.baser.cloud# http related config
http:# port for http, default is 80. If https enabled, this port will redirect to https portport: 80# https related config
https:# https port for harbor, default is 443port: 443# The path of cert and key files for nginxcertificate: /data/cert/harbor.baser.cloud.crtprivate_key: /data/cert/harbor.baser.cloud.key
...

执行harbor部署

./install.sh

已经使用http方式部署harbor的情况

如果您已经使用HTTP部署了Harbor，并希望将其重新配置为使用HTTPS，请执行以下步骤。

1、运行prepare脚本以启用HTTPS。
Harbor将nginx实例用作所有服务的反向代理。您可以使用prepare脚本来配置nginx为使用HTTPS。该prepare在港的安装包，在同级别的install.sh脚本。

./prepare

2、如果Harbor正在运行，请停止并删除现有实例。
您的镜像数据保留在文件系统中，因此不会丢失任何数据。

docker-compose down -v

3、重启harbor：

docker-compose up -d

验证HTTPS连接

为Harbor设置HTTPS之后，您可以通过执行以下步骤来验证HTTPS连接。

1、打开浏览器，然后输入https://yourdomain.com。它应该显示Harbor界面。

某些浏览器可能会显示警告，指出证书颁发机构(CA)未知。使用不是来自受信任的第三方CA的自签名CA时，会发生这种情况。您可以将CA导入浏览器以删除警告。

注意，这里的CA证书位于harbor节点/root/harbor/ssl/ca.crt。

以chrome浏览器导入证书为例，搜索栏输入以下内容，下拉选择管理证书，选择受信任的证书颁发机构，然后导入ca.crt重启浏览器使用域名访问即可。

chrome://settings/security

如果没有配置dns，需要配置hosts解析

C:\Windows\System32\drivers\etc\#hosts文件加入以下内容
192.168.1.101 harbor.baser.cloud

从Docker客户端登录Harbor(这里从harbor节点登录)。

[root@harbor ~]# echo "192.168.1.101 harbor.baser.cloud" >> /etc/hosts[root@harbor ~]# docker login harbor.baser.cloud
Username: admin
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded

如果已将nginx443端口映射到其他端口，请在login命令中添加该端口。

docker login yourdomain.com:port

注意：从其他节点docker客户端登录harbor，必须分发ca.crt到对应客户端

对应节点执行以下操作：

[root@test ~]# mkdir -p /etc/docker/certs.d/harbor.baser.cloud/
[root@test ~]# scp 192.168.1.101:/root/harbor/ssl/ca.crt ca.crt /etc/docker/certs.d/harbor.baser.cloud/

# 停止容器

docker-compose stop

# 后台启动容器

docker-compose up -d

查看全文

http://www.taodudu.cc/news/show-4432707.html

【论文笔记】Image Manipulation Detection by Multi-View Multi-Scale Supervision
EPICS记录参考--计算输出记录(calcout)
EPICS记录参考--Select记录(sel)
Eclipse中mvn install 报错error in opening zip file
Sqoop将MySQL数据导入到HDFS和Hive中
sqoop 导数据从 mysql 到 hdfs，load 进 hive
MISF:Multi-level Interactive Siamese Filtering for High-Fidelity Image Inpainting 论文解读与感想
青少年软件编程（C语言）等级考试试卷目录一览
C++第一讲——Demon和Angela的魔法之旅
2021年6月27日 root Redmi Note 8
如何将本地项目推送到gitee仓库
强制推到远程git push
git本地仓库推送到远程仓库指定分支步骤
IDEA推送本地代码到新远程git地址
[基于harbor部署私有仓库] 4 推送镜像到harbor
maven自定义依赖并推送到远程仓库
本地代码推到远程仓库——gitee
Java 操作数据库插入失败原因
C++ new失败处理
adb remount 失败
用友U8+ V16.0 V15.1 V15.0 V13.0 V12.5 12.1 12.0 11.1 11.0注册
用友GRP-U8Cloud V11.0 V11.21 行政业务高校 G C版
用友U8C U8Cloud U8 cloud u8c V2.1 2.2 V2.3 V2.4 V2.5 V2.6 V2.7 V3.0 3.1 3.2文件下载
服务器重装系统用友u6,64系统装U6我用win7 64位旗舰版的系统，安装用
用友U8数据库修复用友t3数据库修复用友/823错误824错误/检测到基于一致性的逻辑 I O 错误/ tempdb 空间用尽或某一系统表不一致
云解析旗舰版结合U8C（本地部署）应用设置
U8.11(8.12) access版本如何升级到用友T3及U8
【U8】U8.11(8.12) access版本如何升级到用友T3及U8
用友U8其中一个账套提示演示期已到期-修复方法
外系统对接用友U8