准备证书

下载安装cfssl工具

下载下来的工具是可以直接执行的

root@harbor:~# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
root@harbor:~# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
root@harbor:~# wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

下载完成之后可以重命名一下直接使用

root@harbor:~# mv cfssl_linux-amd64 /opt/bin/cfssl
root@harbor:~# mv cfssljson_linux-amd64 /opt/bin/cfssljson
root@harbor:~# mv cfssl-certinfo_linux-amd64 /opt/bin/cfssl-certinfo
root@harbor:~# chmod +x /opt/bin/*
root@harbor:/opt/pki# export PATH=$PATH:/opt/bin  #如果想用起来方便点也可以将cfssl工具加到PATH环境变量中

cfssl命令介绍

cfssl常用命令如下：

cfssl gencert -initca ca-csr.json | cfssljson -bare ca ## 初始化ca
cfssl gencert -initca -ca-key key.pem ca-csr.json | cfssljson -bare ca ## 使用现有私钥, 重新生成
cfssl certinfo -cert ca.pem #查看cert(证书信息)
cfssl certinfo -csr ca.csr  #查看CSR(证书签名请求)信息

cfssl工具，子命令介绍：

bundle: 创建包含客户端证书的证书包

genkey: 生成一个key(私钥)和CSR(证书签名请求)

scan: 扫描主机问题

revoke: 吊销证书

certinfo: 输出给定证书的证书信息，跟cfssl-certinfo 工具作用一样

gencrl: 生成新的证书吊销列表

selfsign: 生成一个新的自签名密钥和签名证书

print-defaults: 打印默认配置，这个默认配置可以用作模板

config：生成ca配置模板文件

csr：生成证书请求模板文件

serve: 启动一个HTTP API服务

gencert: 生成新的key(密钥)和签名证书

-initca：初始化一个新ca

-ca：指明ca的证书

-ca-key：指明ca的私钥文件

-config：指明请求证书的json文件

-profile：与-config中的profile对应，是指根据config中的profile段来生成证书的相关信息

ocspdump

ocspsign

info: 获取有关远程签名者的信息

sign: 签名一个客户端证书，通过给定的CA和CA密钥，和主机名

ocsprefresh

ocspserve

创建根证书

cfssl工具利用json格式创建证书比较方便，先自己创建一个json的根证书

root@harbor:/opt/pki # cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "harbor": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "876000h"
      }
    }
  }
}
EOF

这个策略，有一个default默认的配置，和一个profiles，profiles可以设置多个profile，这里的profile是harbor

default默认策略，指定了证书的默认有效期是一年(8760h)

harbor：表示该配置(profile)的用途是为harbor生成证书及相关的校验工作

signing：表示该证书可用于签名其它证书；生成的 ca.pem 证书中 CA=TRUE

server auth：表示可以该CA 对 server 提供的证书进行验证

client auth：表示可以用该 CA 对 client 提供的证书进行验证

expiry：也表示过期时间，如果不写以default中的为准

创建证书签名请求文件

root@harbor:/opt/pki # cat > ca-csr.json <<EOF
{
  "CN": "harbor",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "HuBei",
      "L": "WuHan",
      "O": "harbor",
      "OU": "org"
    }
  ],
  "ca": {
    "expiry": "876000h"
 }
}
EOF

CN: Common Name，浏览器使用该字段验证网站是否合法，一般写的是域名。非常重要。浏览器使用该字段验证网站是否合法

key：生成证书的算法

hosts：表示哪些主机名(域名)或者IP可以使用此csr申请的证书，为空或者""表示所有的都可以使用(本例中没有hosts字段)

names：一些其它的属性

C: Country，国家

ST: State，州或者是省份

L: Locality Name，地区，城市

O: Organization Name，组织名称，公司名称(在k8s中常用于指定Group，进行RBAC绑定)

OU: Organization Unit Name，组织单位名称，公司部门

初始化生成CA证书和密钥

root@harbor:/opt/pki # cfssl gencert -initca ca-csr.json | cfssljson -bare ca
# 该命令会生成运行CA所必需的文件ca-key.pem（私钥）和ca.pem（证书），还会生成ca.csr（证书签名请求），用于交叉签名或重新签名。

cfssl certinfo -cert ca.pem  #查看cert(证书信息)
cfssl certinfo -csr ca.csr   #查看CSR(证书签名请求)信息

创建harobr服务器证书

创建harbor证书请求文件

root@harbor:/opt/pki # cat > harbor-csr.json <<EOF
{
  "CN": "harbor",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "HuBei",
      "L": "WuHan",
      "O": "harbor",
      "OU": "org"
    }
  ]
}
EOF

使用请求文件根据CA配置颁发证书

root@harbor:/opt/pki# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=harbor harbor-csr.json |cfssljson -bare harbor

-config ：指定CA证书机构的配置文件
-profile：指定CA配置文件中的哪个模块

root@harbor:/opt/pki# ll -rst
total 44
4 drwxr-xr-x 4 root root 4096 Oct 14 05:52 ../
4 -rw-r--r-- 1 root root  289 Oct 14 06:02 ca-config.json
4 -rw-r--r-- 1 root root  238 Oct 14 06:02 ca-csr.json
4 -rw-r--r-- 1 root root 1338 Oct 14 06:04 ca.pem
4 -rw-r--r-- 1 root root  989 Oct 14 06:04 ca.csr
4 -rw------- 1 root root 1679 Oct 14 06:04 ca-key.pem
4 -rw-r--r-- 1 root root  215 Oct 14 06:47 harbor-csr.json
4 -rw-r--r-- 1 root root 1375 Oct 14 06:47 harbor.pem
4 -rw-r--r-- 1 root root  989 Oct 14 06:47 harbor.csr
4 -rw------- 1 root root 1679 Oct 14 06:47 harbor-key.pem
4 drwxr-xr-x 2 root root 4096 Oct 14 06:47 ./
# 此时已经生成了harbor的证书（harbor.pem）和harbor的私钥（harbor-key.pem）

安装docker和docker-compose

安装docker

root@harbor:~# apt-get purge docker-ce docker-ce-cli containerd.io  && rm -rf /var/lib/docker #卸载老版本docker（如果有的话）

当执行apt-get install时，apt软件包管理工具会先检查要安装的软件的状态，向我这种情况下，手动删除了软件配置后，并不会引起dpkg中记录的状态的改变，即仍为 config-files 状态，所以安装过程会直接跳过创建配置文件这一过程。于是当软件重新安装后想要启动进程的时候，才发现找不到文件。所以当你想彻底地删除软件包的时候，用 apt-get purge 吧

root@harbor:~# apt update #更换apt源之后需要操作
root@harbor:~# apt-get install -y apt-transport-https ca-certificates curl  gnupg-agent  software-properties-common  
#安装docker依赖
root@harbor:~# root@harbor:~# curl -fsSL https://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo apt-key add -   
#添加GPG证书
root@harbor:~# add-apt-repository "deb [arch=amd64] https://mirrors.aliyun.com/docker-ce/linux/ubuntu $(lsb_release -cs) stable"  
#写入软件源信息
root@harbor:~# apt-get update && apt-get -y install docker-ce  
#安装最新版docker-ce
root@harbor:/etc/apt# cat > /etc/docker/daemon.json <<EOF
{
"registry-mirrors": [
"https://docker.mirrors.ustc.edu.cn",
"https://hub-mirror.c.163.com",
"https://reg-mirror.qiniu.com",
"https://registry.docker-cn.com"
],
"insecure-registries":["IP:443"],
"exec-opts": ["native.cgroupdriver=systemd"] 
}
EOF
# 配置docker镜像仓库，设置cgroupdriver为systemd
root@harbor:/etc/apt#  cat > /etc/sysctl.conf << EOF
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
root@harbor:/etc/apt# sysctl -p
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
# 配置内核参数开启路由转发
root@harbor:/etc/apt# systemctl daemon-reload && systemctl enable --now docker
root@harbor:/etc/apt# systemctl is-active docker
active

安装docker-compose

下载docker-compose安装包

root@harbor:~# wget https://github.com/docker/compose/releases/download/v2.11.2/docker-compose-linux-x86_64
root@harbor:~# mv docker-compose-darwin-x86_64 /usr/local/bin/docker-compose
root@harbor:~# chmod +x /usr/local/bin/docker-compose 
root@harbor:/opt/harbor# docker-compose -v
Docker Compose version v2.11.2

安装harbor

下载harbor安装包

root@harbor:/opt# wget https://github.com/goharbor/harbor/releases/download/v2.6.1/harbor-offline-installer-v2.6.1.tgz
root@harbor:/opt# tar -xf harbor-offline-installer-v2.6.1.tgz
root@harbor:/opt# cd harbor/ 
root@harbor:/opt/harbor# ls
LICENSE  common.sh  harbor.v2.6.1.tar.gz  harbor.yml  input  install.sh  prepare
# 如果是harbor.yml.tmpl可以mv重命名为harbor.yml
root@harbor:/opt/harbor# vim harbor.yml 
# 修改hostname，注释http相关配置，修改https证书路径

示例如下：

root@harbor:/opt/harbor# ./prepare  #运行harbor脚本启用https
root@harbor:/opt/harbor# ./install.sh 
# 执行harbor自带脚本安装harbor
# ✔ ----Harbor has been installed and started successfully.----
# 有以上打印表示安装成功

查看容器状态

root@harbor:/opt/harbor# docker-compose ps
NAME                COMMAND                  SERVICE             STATUS              PORTS
harbor-core         "/harbor/entrypoint.…"   core                running (healthy)   
harbor-db           "/docker-entrypoint.…"   postgresql          running (healthy)   
harbor-jobservice   "/harbor/entrypoint.…"   jobservice          running (healthy)   
harbor-log          "/bin/sh -c /usr/loc…"   log                 running (healthy)   127.0.0.1:1514->10514/tcp
harbor-portal       "nginx -g 'daemon of…"   portal              running (healthy)   
nginx               "nginx -g 'daemon of…"   proxy               running (healthy)   0.0.0.0:80->8080/tcp, :::80->8080/tcp, 0.0.0.0:443->8443/tcp, :::443->8443/tcp
redis               "redis-server /etc/r…"   redis               running (healthy)   
registry            "/home/harbor/entryp…"   registry            running (healthy)   
registryctl         "/home/harbor/start.…"   registryctl         running (healthy
#需要在harbor部署目录执行

harbor启停命令如下

docker-compose down -v
docker-compose up -d

登录harbor

浏览器输入访问地址：
https模式：https://IP:443
http 模式： http://IP:80
用户：admin
密码：harbor.yml文件中harbor_admin_password的值，默认是Harbor12345。

配置docker使用harbor仓库

登录harbor仓库

root@harbor:/opt/harbor# docker login -u admin -p Harbor12345 harbor.org
# 这里用了https就别再加443，否则容易出错，harbor.org可以在/etc/hosts中配置解析
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded

退出的话docker logouthttps://<你自己的IP>:443即可

另外，harbor使用域名的情况下，需要将harbor证书传到docker节点，否则会报错x509证书错误，具体做法可以参考官网

root@master1:~# ls /etc/docker/certs.d/harbor.org/
ca.crt  harbor.org.crt  harbor.org.key

仅仅这样还不够，还需要编辑 /etc/docker/daemon.json

root@master1:~# cat /etc/docker/daemon.json 
{
"registry-mirrors": [
"https://docker.mirrors.ustc.edu.cn",
"https://hub-mirror.c.163.com",
"https://reg-mirror.qiniu.com",
"https://registry.docker-cn.com"
],
"insecure-registries":["https://harbor.org:443"],  #这里和实际域名需要匹配
"exec-opts": ["native.cgroupdriver=systemd"] 
}

和原来一样，改完之后重启docker服务

小提示：我这边使用admin登录结果出现可以登录成功，但是无法push镜像的情况，建议在harbor上新建其他用户进行使用

如果想要快速将本地容器镜像都改名并上传至harbor，可以使用我这个脚本（会删除原有镜像，如果不想删除记得注释后半截）

#!/bin/bash
source_images=$(docker images |awk  'NR!=1{print $1":"$2}')
for i in $source_images;do
    j=$(echo ${i##*/})
       # j=$(echo $i|awk -F '/' '{print $NF}')
       #取j的时候上面两种取法都可以，第一种轻量一些
        harbor_k8s=harbor.hu.org/kubernetes/$j
        docker tag "$i" "$harbor_k8s"
        docker push "$harbor_k8s"
done
#下面开始删除远来的镜像，如果不想删就将下面的都注释掉
untag_images=$(docker images |awk  'NR!=1{print $1":"$2}')
for m in $untag_images;do
        docker rmi $m
done

如果想直接对其他k8s节点也进行这个操作，可以利用ansible的script模块

root@harbor:~# ansible k8s_node -m script -a rename_image.sh

小提示

1 使用proxy访问harbor

如果需要使用proxy访问harbor，需要注意修改external_url

且如果proxy的端口和harbor端口不匹配的时候一定要取消external_url注释且端口需要写proxy的端口

2 shell从最左或者最右删除字符

root@harbor:~# image=aaa/bbb/ccc/ddd:v1
root@harbor:~# echo ${#image} #打印变量长度
18
root@harbor:~# echo ${image}  #标准查看变量
aaa/bbb/ccc/ddd:v1
#从左边开始删除使用#，*在需要匹配的字符左边
#删除匹配到的第一个
root@harbor:~# echo ${image#*/}
bbb/ccc/ddd:v1
#删除匹配到的最后一个
root@harbor:~# echo ${image##*/}
ddd:v1
#从右边开始删除使用%，*在需要匹配的字符右边
#删除匹配到的第一个
root@harbor:~# echo ${image%/*}
aaa/bbb/ccc
#删除匹配到的最后一个
root@harbor:~# echo ${image%%/*}
aaa

Harbor再次安装与使用