harbor容器安全工具介绍-创新互联
harbor:
Harbor是构建企业级私有docker镜像的仓库的开源解决方案,它是Docker Registry的更高级封装,它除了提供友好的Web UI界面,角色和用户权限管理,用户操作审计等功能外,它还整合了K8s的插件(Add-ons)仓库,即Helm通过chart方式下载,管理,安装K8s插件,而chartmuseum可以提供存储chart数据的仓库【注:helm就相当于k8s的yum】。另外它还整合了两个开源的安全组件,一个是Notary,另一个是Clair,Notary类似于私有CA中心,而Clair则是容器安全扫描工具,它通过各大厂商提供的CVE漏洞库来获取最新漏洞信息,并扫描用户上传的容器是否存在已知的漏洞信息,这两个安全功能对于企业级私有仓库来说是非常具有意义的。
补充:
Nexus 是Maven仓库管理器,如果你使用Maven,你可以从Maven中央仓库 下载所需要的构件(artifact),但这通常不是一个好的做法,你应该在本地架设一个Maven仓库服务器,在代理远程仓库的同时维护本地仓库,以节省带宽和时间,Nexus就可以满足这样的需要。此外,他还提供了强大的仓库管理功能,构件搜索功能,它基于REST,友好的UI是一个extjs的REST客户端,它占用较少的内存,基于简单文件系统而非数据库。这些优点使其日趋成为最流行的Maven仓库管理器。
Notary是一个允许任何人信任任意数据集合的项目。Notary项目包括服务器和客户端,用于运行和与可信集合交互。Notary旨在通过让人们轻松发布和验证内容,使互联网更加安全。我们经常依靠TLS来保护我们与Web服务器的通信,这本身就存在缺陷,因为服务器被攻破时可使恶意内容替代合法内容。借助Notary,发布商可以使用保持高度安全的密钥离线签署其内容。一旦发布者准备好内容,他们可以将他们签名的可信集合推送到Notary服务器。消费者通过安全渠道获得了发布者的公钥,然后可以与任何Notary服务器或(不安全)镜像进行通信,仅依靠发布者的密钥来确定接收内容的有效性和完整性。Notary基于TUF项目,一个针对软件分发和更新问题的安全通用设计。
Clair:
参考: https://blog.csdn.net/liumiaocn/article/details/76697022
通过对容器的layer进行扫描,发现漏洞并进行预警,其使用数据是基于Common Vulnerabilities and Exposures数据库(简称CVE), 各Linux发行版一般都有自己的CVE源,而Clair则是与其进行匹配以判断漏洞的存在与否,比如HeartBleed的CVE为:CVE-2014-0160。
目前Clair支持如下数据源:
HARBOR:
这是VMWare公司提供的一个docker私有仓库构建程序,功能非常强大.
1. 支持多租户签名和认证
2. 支持安全扫描和风险分析
3. 这次日志审计
4. 基于角色的访问控制
5. 支持可扩展的API和GUI
6. Image replication between instances
7. 国际化做的很好(目前仅支持英文和中文)
Harbor部署:
1. 从GitHub上下载Harbor的二进制发行包.
2. 准备必要的环境:
yum install docker-ce docker-compose
3. 解压后,先编辑harbor.cfg
vim harbor.cfg
hostname = node1.test.com
ui_url_protocol = http
max_job_workers = 3 #启动3个处理用户上传下载的进程,若为4核,3个就是最好的。
admiral_url = NA #NA:不自定义管理URL
harbor_admin_password = Harbor12345 #默认的管理员密码
#默认它会自动创建一个mysql容器,并设置mysql的root密码为root123,
#注意:从harbor v1.7.5以后使用的数据库默认是postgresql
db_password = root123
#若想让其使用外部数据库,可修改下面参数为外部数据库的地址.
db_host = postgresql
#若启用了--with-clair时,注意修改clair的数据库密码,还有redis的密码,因为clair需要使用redis。
clair_db_password = root123
4. 运行 install.sh ,若需要启用harbor的其它功能,可查看 install.sh --help
安装完成后,它会提示你访问harbor的地址是多少,你就可以直接在浏览器中访问这个地址了。
5. 可测试打开harbor,并测试上传镜像。
5.1 在测试上传镜像时,需要先登录harbor的Web界面,然后创建一个项目,这个项目就相当于公司中不同的项目组,每个项目组分别管理各自的项目镜像,以便后期该项目不需要时,可直接删除该项目。
5.2 然后到harbor客户端,测试登录harbor仓库,并尝试上传镜像
5.2.1 因为这里使用了非安全的HTTP,因此需要修改docker的启动参数
vim /usr/lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --selinux-enabled=false --insecure-registry 192.168.10.154
#若没有启用SELinux可设置不启用它
#--insecure-registry 即指定一个非安全的仓库,这里指定内网harbor地址为192.168.10.154
# 若有多个可重复--insecure-registry
5.2.2 测试上传镜像
~]# docker login http://192.168.10.154
Authenticating with existing credentials...
WARNING! Your password will be stored unencrypted in /root/.docker/config.json. #这里需要注意: 登录成功后,用户名密码会保存到config.json中。
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
~]# docker push 192.168.10.154/test1/nginx-alpine:v1 #这样就可以上传镜像到harbor上了。
6. 可自行查看 docker-compose.yml, install.sh 实际执行的docker-compose命令.
docker-compose
#命令在运行时,会自动在当前目录下,找docker-compose.yml配置文件,若找到则安装里面的定义
#来决定到哪里去找镜像,先启动那个容器,启动镜像需要挂载什么卷等。
在配置Harbor时,若出现问题,可结合/var/log/harbor中的日志文件来查看问题.
我通常会这样查看:
tail -f /var/log/harbor/*.log
Harbor配置HTTPS:
1. 修改 harbor.cfg
hostname = harbor.zcf.com
ui_url_protocol = https
ssl_cert = /data/docker/certs/harbor.zcf.com.crt
ssl_cert_key = /data/docker/certs/harbor.zcf.com.key
harbor_admin_password = adminpass
2. 创建证书,并放到上面定义的目录中
测试使用,可使用我用shell写的证书制作工具:
https://github.com/zhang75656/shell-tools/blob/master/gencret.sh
chmod +x gencret.sh
./gencret.sh --help #可查看使用帮助.但前提是必须安装openssl
3. 重新执行 ./install.sh 即可,这样harbor服务端就可以工作了.
Harbor 客户端配置:
1. 在docker配置目录下创建证书目录,
#注意: 证书目录是存放harbor服务器的证书文件.
# docker login harbor.zcf.com
# 当执行上面命令登录harbor时,默认docker会到/etc/docker/certs.d/下去找 harbor.zcf.com这个目录,看其下面是否有证书可用。
# 所以,需要将harbor服务器上的证书scp过来,放到docker客户端的这个目录中。
mkdir /etc/docker/certs.d/harbor.zcf.com
Harbor通过Systemd管理时,所需要的systemd脚本参考:
[Unit]
Description=BigDisk docker-compose container starter
After=docker.service network-online.target
Requires=docker.service network-online.target
[Service]
WorkingDirectory=/[path_to_harbor] #这里需要修改为Harbor的安装目录.
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/bin/docker-compose up -d #这里需要确认,docker-compose的路径是否与自己的系统的路径一致.
ExecStop=/usr/local/bin/docker-compose down
ExecReload=/usr/bin/docker-compose up -d
[Install]
WantedBy=multi-user.target
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
当前标题:harbor容器安全工具介绍-创新互联
网址分享:http://ybzwz.com/article/djjcch.html