[Docker] Harbor HTTPS 구성으로 구축하기

 

1. Harbor  설치 

https://github.com/goharbor/harbor

GitHub - goharbor/harbor: An open source trusted cloud native registry project that stores, signs, and scans content.

원하는 릴리즈 버전 파일의 링크를 복사한다. 

릴리즈를 누르면 여러 배포 버전을 볼 수 있다. 그중 offline 다운로드 버전을 설치한다.  (wifi 끊겨도 설치가 잘 될 수 있도록)

예시) 

wget https://github.com/goharbor/harbor/releases/download/v2.7.0/harbor-offline-installer-v2.7.0.tgz

압축 해제 

tar zxvf harbor-offline-installer-v2.7.0.tgz.1

압축을 풀면 harbor 디렉토리가 생긴다. 

harbor 디렉토리 내에서 설정파일 템플릿을 복사해서 사용한다. 

cp harbor.yml.tmpl harbor.yml

 

2. docker compose 설치 

 

curl -L "https://github.com/docker/compose/releases/download/v2.15.1/docker-compose-linux-x86_64"

실행 권한을 부여한다

[user@localhost ~]$ sudo chmod a+x /usr/bin/docker-compose
[user@localhost ~]$ ls -l /usr/bin/docker-compose
-rwxr-xr-x. 1 root root 44953600 Feb  6 11:17 /usr/bin/docker-compose

버전 확인하기 

[user@localhost ~]$ docker-compose --version
Docker Compose version v2.15.1

 

 

Harbor 사용하기 (https)

registry.example.com 이라는 도메인으로 구성해보기

우선 설정사항을 변경하기 이전에 컨테이너를 종료시킨다.

docker-compose down

harbor.yml 파일에서 hostname 을 변경한다 

hostname: registry.example.com

/etc/hosts 파일에 현재 서버의 ip 와 도메인 이름을 추가해준다 (원래는 DNS 서버가 필요하겠지만 임의로 테스트하기 위해서 바로 써준다. )

192.168.56.110 registry.example.com

CA 인증서 생성하기 

1)  CA 인증서 Private Key 생성

$ openssl genrsa -out ca.key 4096

2) CA 인증서 발급

$ openssl req -x509 -new -nodes -sha512 -days 3650 \
-subj "/C=KR/ST=Seoul/L=Gangnam/O=example/OU=infra/CN=registry.example.com" \
-key ca.key \
-out ca.crt

3) 서버 Private Key 생성

$ openssl genrsa -out registry.example.com.key 4096

 

4) 서버 호스트 인증서 발급을 위한 CSR 생성

$ openssl req -sha512 -new \
-subj "/C=KR/ST=Seoul/L=Gangnam/O=example/OU=infra/CN=registry.example.com" \
-key registry.example.com.key \
-out registry.example.com.csr

CA 에서 직접 인증서를 발급받는 것이 아니라 임의로 개인 인증서를 발급하므로 v3.ext 파일을 작성해주어야 한다. 

$ vim v3.ext

파일 내에 안의 내용을 써준다. 

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=registry.example.com
DNS.2=example
DNS.3=registry

서버 인증서를 발급한다. 

$ openssl x509 -req -sha512 -days 365 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in registry.example.com.csr \
-out registry.example.com.crt

 

도커 데몬에 CA 인증서 적용

서버 인증서 변환 

openssl x509 -inform PEM -in registry.example.com.crt -out registry.example.com.cert

Docker에 인증서 적용을 위한 디렉터리 생성하기 

mkdir -p /etc/docker/certs.d/registry.example.com/

 

/etc/docker/certs.d 디렉토리로 필요한 인증서 파일들을 복사한다. 도커가 api로 통신을 할 때에도 https 인증서가 필요하기 때문이다. 

# cp ca.crt /etc/docker/certs.d/registry.example.com/
# cp registry.example.com.key /etc/docker/certs.d/registry.example.com/
# cp registry.example.com.cert /etc/docker/certs.d/registry.example.com/

도커 서비스를 다시 실행한다. 

systemctl restart docker.service

 

/harbor 디렉토리의 harbor.yml 파일도 수정해준다. 
certificate 와 private_key 경로를 알맞게 적어준다 

 

/harbor 디렉토리에서 변경 사항을 적용한다. 

$ sudo ./install.sh

재로그인한다.

[user@localhost harbor]$ docker logout 192.168.56.110
Removing login credentials for 192.168.56.110
[user@localhost harbor]$ docker login 192.168.56.110

웹브라우저로 접속한다. Accept Risk를 선택하고 Harbor 웹페이지에 접속한다. 

로그인을 하고 접속한다 

registry 에 올릴 이미지를 생성한다 형식은 다음과 같다 !! library를 까먹지 말자 

[user@localhost harbor]$ docker tag httpd:2.4 registry.example.com/library/httpd:2.4

docker login을 한다. 설정을 따로 하지 않았다면 user는 admin, password는 Harbor12345 이다. 

$ docker login https://registry.example.com

registry에 업로드한다. 

[user@localhost harbor]$ docker push registry.example.com/library/httpd:2.4

 

*** 로그인이 되지 않거나 잘 올라가지 않는 경우 harbor 디렉토리에서 ./install.sh 명령어를 실행한다. 그리고 다시 로그인하면된다 

 sudo ./install.sh

Harbor에 이미지가 잘 올라간 것을 확인할 수 있다.