Вход Зарегистрироваться
Обзор
Проекты с открытым исходным кодом > Server Applications > Containers/Virtual Machines && Other Open Source > Tutorial Accompanying Code &&
Сканировать QR-код WeChat для оплаты
Отмена
Платеж завершен
Смотреть
Отписаться Следить за всеми активностями Следить только за динамикой выпуска обновлений Подписаться без уведомления
1 В избранное 0 Ответвления 0

OSCHINA-MIRROR/jonothan-harbor

Код Задачи 0 Запросы на слияние 0 Wiki Статистика
Присоединиться к Gitlife
Откройте для себя и примите участие в публичных проектах с открытым исходным кодом с участием более 10 миллионов разработчиков. Приватные репозитории также полностью бесплатны :)
Присоединиться бесплатно
Клонировать/Скачать
HTTPS SSH SVN SVN+SSH
Копировать
Скачать ZIP
installation_guide_ova.md 21 КБ
Копировать Редактировать Web IDE Исходные данные Просмотреть построчно История
gitlife-traslator Отправлено 25.11.2024 04:31 5fdf7b5

Установка и настройка Harbor на vSphere в качестве виртуального устройства

В этом руководстве описаны шаги по установке и настройке Harbor на vSphere как виртуальное устройство. Если вы устанавливаете Harbor на хост Linux, обратитесь к этому Руководству по установке.

Необходимые условия

  • vCenter 5.5+ и как минимум один хост ESX.
  • 2 виртуальных процессора (vCPU), 4 ГБ памяти и 80 ГБ свободного места на диске в хранилище данных.
  • Сеть с возможностью DHCP или статический IP-адрес для виртуального устройства.

Планирование установки

Управление пользователями

По умолчанию Harbor хранит информацию о пользователях во внутренней базе данных. Также можно настроить Harbor для аутентификации через внешний сервер LDAP или AD. Для аутентификации LDAP/AD свойство Режим аутентификации (Authentication Mode) должно быть установлено в ldap_auth во время развёртывания.

Примечание: Этот режим нельзя изменить после первого запуска Harbor.

Безопасность

Harbor использует HTTPS для безопасного обмена данными по умолчанию. Самозаверяющий сертификат генерируется при первом запуске на основе полного доменного имени (FQDN) или IP-адреса. Клиенту Docker или VCH (Virtual Container Host) необходимо доверять сертификату центра сертификации (Certificate Authority, CA) Harbor, чтобы взаимодействовать с ним.

Harbor всегда пытается сгенерировать самозаверяющий сертификат на основе своего FQDN. Поэтому его IP-адресу должен соответствовать FQDN в DNS-сервере. Если Harbor не может разрешить свой IP-адрес до FQDN, он генерирует самозаверяющий сертификат, используя свой IP-адрес. В этом случае доступ к Harbor возможен только по IP-адресу. При изменении IP-адреса или FQDN Harbor самозаверяющий сертификат будет сгенерирован заново после перезагрузки.

Самозаверяющий сертификат Harbor можно заменить, предоставив сертификат, подписанный другими центрами сертификации, в настройках OVA.

Можно настроить Harbor для использования простого HTTP для некоторых сред, таких как тестирование и непрерывная интеграция (CI). Однако не рекомендуется использовать HTTP в рабочей среде, поскольку обмен данными никогда не будет безопасным.

Сетевое взаимодействие

Harbor может получить IP-адрес через DHCP. Это удобно для тестирования. Для рабочей системы рекомендуется использовать статический IP-адрес и FQDN.

Для генерации самозаверяющего сертификата рекомендуется добавить запись DNS, чтобы связать IP-адрес Harbor с FQDN. Это необходимо как для статического IP-адреса, так и для динамического, полученного от DHCP. Если запись DNS отсутствует для IP-адреса Harbor, доступ к нему возможен только по его IP-адресу.

Установка

  1. Загрузите файл OVA на локальный диск с официальной страницы выпуска.
  2. Войдите в веб-клиент vSphere. Щёлкните правой кнопкой мыши на датацентре, кластере или хосте, на котором будет развёрнут Harbor. Выберите «Deploy OVF Template» и откройте мастер импорта.
  3. Выберите файл OVA с локального диска и нажмите «Next».
  4. Просмотрите детали шаблона OVF и нажмите «Next».
  5. Примите лицензионные соглашения конечного пользователя и нажмите «Next».
  6. Укажите имя и местоположение для виртуального устройства.
  7. Выберите хранилище данных и формат виртуального диска, нажмите «Next».
  8. Настройте сети, к которым должно быть подключено виртуальное устройство.
  9. Настройте свойства Harbor. Свойства описаны ниже. Обратите внимание, что как минимум вам нужно установить четыре свойства: Пароль root, Пароль администратора Harbor, Пароль базы данных и Режим аутентификации. Настройки

  • Пароль администратора Harbor: первоначальный пароль администратора Harbor. Работает только при первом запуске Harbor, после первого запуска не действует. После запуска Harbor измените пароль администратора через пользовательский интерфейс. (8–20 символов)

  • Пароль базы данных: первоначальный пароль пользователя root в базе данных MySQL. Последующие изменения пароля должны выполняться в операционной системе. (8–128 символов)

  • Разрешить вход с правами root: определяет, может ли пользователь root войти через SSH.

  • Сборка мусора: если установить значение true, то каждый раз при загрузке Harbor будет выполнять сборку мусора. При первой установке этого флага в значение true необходимо выключить виртуальную машину и снова включить её.

Аутентификация

  • Режим аутентификации должен быть установлен до первого запуска Harbor. Последующие изменения режима аутентификации не действуют. Когда включён режим ldap_auth, необходимо настроить свойства, связанные с LDAP/AD.
    • Режим аутентификации: по умолчанию используется режим db_auth. Установите значение ldap_auth, если учётные данные пользователей хранятся на сервере LDAP или AD. Примечание: этот параметр можно задать только один раз.
    • Самостоятельная регистрация: определяет, разрешена ли самостоятельная регистрация. Если установить значение off, то самостоятельная регистрация пользователей в Harbor будет запрещена. Этот флаг не действует, когда пользователи хранятся в LDAP или AD.
    • URL LDAP: URL сервера LDAP/AD.
    • DN поиска LDAP: DN пользователя, у которого есть разрешение на поиск на сервере LDAP/AD. Оставьте пустым, если ваш сервер LDAP/AD поддерживает анонимный поиск, иначе настройте этот DN и пароль для поиска LDAP.
    • Пароль поиска LDAP: пароль пользователя для поиска в LDAP. Оставьте пустым, если ваш сервер LDAP/AD поддерживает анонимный поиск.
    • Базовый DN LDAP: базовый DN узла, из которого выполняется поиск пользователя для аутентификации. Область поиска включает поддерево узла.
    • UID LDAP: атрибут, используемый в поиске для сопоставления пользователя. Это может быть uid, cn, email, sAMAccountName или другие атрибуты в зависимости от вашего сервера LDAP/AD.

Безопасность

Если включено HTTPS, по умолчанию создаётся самозаверяющий сертификат. Чтобы использовать собственный сертификат, заполните два свойства: SSL Cert и SSL Cert Key. Не используйте HTTP в любой рабочей системе. Примечания: если вы хотите включить HTTPS с собственным самозаверяющим сертификатом, обратитесь к разделу «Получение сертификата» в этом руководстве для получения более подробной информации.

  • Протокол: протокол доступа к Harbor. Предупреждение: установка значения http делает связь небезопасной.
  • SSL Cert: вставьте содержимое файла сертификата. Оставьте пустым для созданного самозаверяющего сертификата.
  • Ключ SSL Cert: вставьте содержимое ключевого файла сертификата. Оставьте пустым для сгенерированного ключа.
  • Проверка удалённого сертификата: определите, должна ли репликация образа проверять сертификат удалённого реестра Harbor. Установите этот флаг в положение off, если удалённый реестр использует самозаверяющий или ненадёжный сертификат.

Настройки электронной почты

Чтобы разрешить пользователю сбросить свой пароль через электронную почту, настройте следующие параметры электронной почты:

  • Сервер электронной почты: почтовый сервер для отправки писем для сброса пароля.
  • Порт сервера электронной почты: порт почтового сервера.
  • Имя пользователя электронной почты: пользователь, от имени которого отправляется письмо для сброса пароля. Обычно это системный адрес электронной почты.
  • Пароль электронной почты: пароль пользователя, от имени которого отправляется письмо для сброса пароля.
  • От электронной почты: имя отправителя электронного письма.
  • Электронная почта SSL: включение безопасной передачи почты.

Сетевые свойства

  • Шлюз по умолчанию: адрес шлюза по умолчанию для этой виртуальной машины. Оставьте пустым, если требуется DHCP.

  • Доменное имя: доменное имя этой виртуальной машины. Для получения дополнительной информации выполните команду man resolv.conf. Оставьте пустым, если требуется DHCP или доменное имя не нужно для статического IP. Путь поиска домена: путь поиска домена для этой виртуальной машины (разделенные запятой или пробелом имена доменов). Оставьте пустым, если требуется DHCP.

  • Серверы имен домена: IP-адрес сервера имен домена для этой ВМ (через запятую). Оставьте пустым, если требуется DHCP.

  • IP-адрес сети 1: IP-адрес этого интерфейса. Оставьте пустым, если требуется DHCP.

  • Сетевая маска 1: сетевая маска или префикс для этого интерфейса. Оставьте пустым, если требуется DHCP.

После заполнения свойств нажмите «Далее».

  1. Проверьте настройки и нажмите «Готово», чтобы завершить развертывание.

После завершения установки выполните следующие шаги:

  1. Включите виртуальное устройство. Первая загрузка может занять несколько минут. Виртуальному устройству необходимо инициализироваться для настройки, такой как сетевой адрес и пароль.

  2. Когда устройство будет готово, проверьте его IP-адрес в веб-клиенте vSphere. Откройте браузер и введите URL-адрес http(s)://harbor_ip_address или http(s)://harbor_host_name. Войдите как пользователь с правами администратора и убедитесь, что Harbor успешно установлен.

  3. Для получения информации о том, как использовать Harbor, обратитесь к разделу «Руководство пользователя по виртуальному устройству Harbor» (user_guide_ova.md).

Получение сертификата ЦС Harbor

По умолчанию Harbor использует самозаверяющий сертификат в HTTPS. Клиенту Docker или VCH необходимо доверять самозаверяющему сертификату ЦС Harbor для взаимодействия с Harbor. Чтобы загрузить сертификат ЦС Harbor и импортировать его в клиент Docker, выполните следующие действия. Если используется сертификат, выданный известным публичным ЦС, эти шаги не требуются.

  1. Войдите в пользовательский интерфейс Harbor как администратор.
  2. Нажмите на имя администратора в верхнем левом углу и выберите «О программе» в раскрывающемся меню.
  3. Нажмите ссылку «Скачать», чтобы сохранить файл сертификата как ca.crt.
  4. Скопируйте файл сертификата ca.crt на хост Docker. Чтобы получить доступ к Harbor с помощью FQDN, выполните команды ниже, заменив <Harbor_FQDN> фактическим FQDN экземпляра Harbor:
mkdir -p /etc/docker/certs.d/<Harbor_FQDN>
cp ca.crt /etc/docker/certs.d/<Harbor_FQDN>/

Чтобы получить доступ к Harbor по IP-адресу, выполните команды ниже, заменив <Harbor_IP> фактическим IP-адресом экземпляра Harbor:

mkdir -p /etc/docker/certs.d/<Harbor_IP>
cp ca.crt /etc/docker/certs.d/<Harbor_IP>/

Примечание: если вы выполните обе команды, к Harbor можно будет получить доступ либо по FQDN, либо по IP-адресу. 5. Выполните команду docker login, чтобы убедиться, что HTTPS работает.

Для импорта сертификата CA в VCH выполните шаги 1–3 и обратитесь к документации VCH за инструкциями.

Переконфигурация

Если вы хотите изменить свойства Harbor, выполните следующие шаги:

  1. Выключите виртуальное устройство Harbor.
  2. Щелкните правой кнопкой мыши на ВМ и выберите «Изменить настройки».
  3. Перейдите на вкладку «Параметры vApp», обновите свойства и нажмите «ОК».
  4. Включите ВМ, и Harbor переконфигурируется на основе новых настроек.

Примечание:

  1. Режим аутентификации можно установить только один раз перед первым запуском. Последующие изменения этого параметра не имеют никакого эффекта.
  2. Начальный пароль администратора, пароль root виртуального устройства, пароль MySQL root и все сетевые свойства нельзя изменить с помощью этого метода после первого запуска Harbor. Измените их следующим образом:
  • Пароль администратора Harbor: измените его на портале администратора Harbor.
  • Пароль root виртуального устройства: войдите в виртуальное устройство и сделайте это в операционной системе Linux.
  • Пароль MySQL root: войдите в виртуальное устройство и сделайте это в операционной системе Linux.
  • Сетевые свойства: посетите https://harbor_ip_address:5480, войдите с правами root/паролем вашего виртуального устройства и измените сетевые свойства. Перезагрузите систему после изменения, чтобы гарантировать обновление самозаверяющего сертификата Harbor. Для диагностики журналы могут быть собраны следующим образом:

  1. Войдите в операционную систему виртуального устройства Harbor и выполните следующую команду:

    /harbor/script/collect.sh

    В текущем каталоге будет создан файл «harbor_logs.tar.gz».

  2. Скопируйте файл журнала на другой хост и отправьте его своему администратору, заменив <USERNAME> , <HOST_IP> и <DIRECTORY> соответствующими значениями:

    scp ./harbor_logs.tar.gz <USERNAME>@<HOST_IP>:<DIRECTORY>

Опубликовать ( 0 )

Вы можете оставить комментарий после Вход в систему

1
https://api.gitlife.ru/oschina-mirror/jonothan-harbor.git
git@api.gitlife.ru:oschina-mirror/jonothan-harbor.git
oschina-mirror
jonothan-harbor
jonothan-harbor
master
Опубликовать
Отчет о репозитории
Вернуться к началу