Harbor 私有仓库构建
|
未分类
|
31

740 字
|
6 分钟
本文最后更新于10 天前,其中的信息可能已经过时,如有错误请发送邮件到big_fw@foxmail.com

1. 准备 Harbor 离线安装包

harbor-offline-installer-v2.12.2.tgz

  • 离线包特点
    • 内含 Harbor 所有组件镜像
    • 适合无外网或受限网络环境
  • 解压:

tar zxvf harbor-offline-installer-v2.12.2.tgz cd harbor/

2. Harbor 目录结构说明

common.sh # 通用脚本 harbor.v2.12.2.tar.gz # Harbor 组件镜像包 harbor.yml.tmpl # 配置模板 install.sh # 安装入口脚本 prepare # 环境准备脚本

3. 配置 Harbor(核心步骤)

3.1 生成配置文件

cp harbor.yml.tmpl harbor.yml

3.2 使用 mkcert 生成 HTTPS 证书

mkcert 172.17.0.134

生成:

  • 172.17.0.134.pem
  • 172.17.0.134-key.pem

3.3 修改 harbor.yml(关键配置点)

hostname: docker # ⚠️ 不能使用 localhost / 127.0.0.1 http: port: 80 https: port: 443 certificate: /root/harbor/harbor/172.17.0.134.pem private_key: /root/harbor/harbor/172.17.0.134-key.pem

知识点:

  • Harbor 强依赖 hostname
  • HTTPS 是企业环境的标准要求
  • Harbor 的 Nginx 会加载这里配置的证书

4. 预处理并安装 Harbor

./prepare ./install.sh

  • prepare
    • 校验配置
    • 生成 docker-compose 文件
  • install.sh
    • 启动 Harbor 全部组件

5. 验证 Harbor 服务状态

docker ps

可看到以下核心容器(健康状态):

组件作用
nginx入口反向代理
harbor-core核心 API
harbor-portalWeb UI
registry镜像仓库
registryctl仓库控制
harbor-jobservice后台任务
harbor-dbPostgreSQL
redis缓存
harbor-log日志

二、Trivy 漏洞扫描组件部署与使用

1. 安装 Trivy

yum install -y trivy_0.62.1_Linux-64bit.rpm

2. 本地镜像漏洞扫描测试

trivy image nginx:latest

首次执行会:

  • 下载漏洞数据库(vulndb)
  • 下载 Java 漏洞库(java-db)
  • ⚠️ 需要外网环境

3. Trivy 扫描结果知识点

扫描结果包含:

  • 操作系统漏洞(Debian / Alpine / CentOS 等)
  • 漏洞等级:
    • UNKNOWN
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

示例统计:

Total: 121 LOW: 95 MEDIUM: 23 HIGH: 1 CRITICAL: 0

三、在 Harbor 中启用 Trivy 漏洞扫描

1. 重新安装 Harbor 并启用 Trivy

./install.sh --with-trivy

说明:

  • Harbor 的漏洞扫描是内置 Trivy 服务
  • 图形界面可直接查看扫描结果

2. Harbor 安全扫描高级功能(概念)

可在 Web UI 中配置:

  • 镜像自动扫描
  • 推送后立即扫描
  • 漏洞阻断策略(高危镜像禁止部署)
  • 系统特赦名单(白名单)

四、镜像推送 + 自动扫描验证流程

1. 拉取测试镜像

docker pull centos:centos7.9.2009

2. 打标签(指向 Harbor)

docker tag centos:centos7.9.2009 172.17.0.134/yt/centos:7.9

3. 推送镜像

docker push 172.17.0.134/yt/centos:7.9

4. Harbor 自动触发漏洞扫描

  • 推送完成后
  • Web 页面显示扫描状态
  • 自动生成漏洞报告

五、Harbor + Trivy 核心知识点总结(适合记笔记)

1. Harbor 架构知识点

  • Harbor = Docker Registry + 权限 + 安全 + UI
  • 基于 Docker Compose 部署
  • 核心组件解耦、容器化运行

2. HTTPS 与证书

  • Harbor 强制推荐 HTTPS
  • 证书路径由 harbor.yml 控制
  • 企业内可使用自签证书 + 信任链

3. 漏洞扫描机制

  • Harbor 使用 Trivy 作为扫描引擎
  • 扫描内容:
    • OS 包漏洞
    • 语言依赖漏洞
    • Secret(密钥)泄露
  • 漏洞库需定期更新

4. 企业级安全能力

  • 自动扫描镜像
  • 高危镜像拦截
  • 漏洞白名单
  • 审计与合规
文末附加内容
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇

                    

                    
			        推荐文章
		            

		            

							
docker安装

							
							

							
docker命令补全

							
							

							
手动构建 Docker 镜像

							
							

							
构建registry私有仓库

							
							

							
docker多阶段构建