Kubernetes集群實戰(zhàn) 項目10拓展訓練

任務一拓展訓練配置https安全訪問Harbor私有倉庫客服端到服務端或服務端到服務端的請求方式通常是http居多，但是考慮到安全性的問題，可以使用給系統(tǒng)添加一個證書來做認證，這種訪問服務的協(xié)議就變成了https協(xié)議，使用的是443端口，對網(wǎng)站安全性要求高一點應用都需要使用證書的方式加密訪問，因為倉庫的數(shù)據(jù)對安全性要求也是比較高的，所以這里配置Harbor倉庫的https訪問。生成私鑰文件證書是由一個受信任的機構(gòu)頒發(fā)的，可以把它理解成有認證機構(gòu)簽字的公鑰文件，這個證書是公開的，當用戶訪問時，使用這個證書進行加密數(shù)據(jù)，然后用服務器端的私鑰進行解密數(shù)據(jù)，公鑰和私鑰匙成對出現(xiàn)的，所以一定要先生成私鑰文件，然后在私鑰的基礎(chǔ)上，頒發(fā)證書，即頒發(fā)有認證機構(gòu)蓋章的公鑰文件?？梢栽诖笮偷淖C書提供平臺申請證書文件，但一般申請證書是收費的，為了方便教學，這里通過自己在本機簽發(fā)證書的方式講解生成私鑰和證書過程。下面通過openssl命令生成一個私鑰文件server.key。[root@node~]#opensslgenrsa-idea-outserver.key2048GeneratingRSAprivatekey,2048bitlongmodulus.............+++.......................+++eis65537(0x10001)Enterpassphraseforserver.key:Verifying-Enterpassphraseforserver.key:genrsa指定加密算法#idea是一種加密方式，out后時輸出的文件名，這里是server.key，2028表示生成的私鑰長度，生成私鑰時需要輸入私鑰的密碼?；谒借€生成證書文件以下使用opensslreq在基于server.key私鑰的基礎(chǔ)上，生成了自己簽發(fā)的證書server.crt。[root@node~]#opensslreq-days36500-x509-sha256-nodes-newkeyrsa:2048-keyoutserver.key-outserver.crtGeneratinga2048bitRSAprivatekey.........+++....+++writingnewprivatekeyto'server.key'-----Youareabouttobeaskedtoenterinformationthatwillbeincorporatedintoyourcertificaterequest.WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.TherearequiteafewfieldsbutyoucanleavesomeblankForsomefieldstherewillbeadefaultvalue,Ifyouenter'.',thefieldwillbeleftblank.-----CountryName(2lettercode)[XX]:cnStateorProvinceName(fullname)[]:lnLocalityName(eg,city)[DefaultCity]:syOrganizationName(eg,company)[DefaultCompanyLtd]:collegeOrganizationalUnitName(eg,section)[]:comCommonName(eg,yournameoryourserver'shostname)[]:aaEmailAddress[]:1@163.comreq表示管理證書簽名請求，這里是簽名場景，所以得用到new表示生成一個CA證書文件或證書簽名請求文件。x509是CA證書專屬的參數(shù)，表示用來做證書簽名。key表示指定私鑰文件。out表示輸出的證書文件。day表示證書的有效期。-keyout指定基于的私鑰文件這樣在/root目錄下就存在了私鑰文件server.key和證書文件server.crt。修改Harbor配置文件打開Harbor的配置文件，去掉10到15行的注釋，并把證書文件和私鑰文件添加到certificate行和private_key行。10https:11httpsportforharbor,defaultis44312port:44313Thepathofcertandkeyfilesfornginx14certificate:/root/server.crt15private_key:/root/server.key重啟Harbor倉庫[root@registryharbor]#dockerrm-f$(dockerps-a-q)首先刪除之前啟動的Harbor倉庫容器。然后重新執(zhí)行install.sh腳本文件。[root@registryharbor]#./install.sh?----Harborhasbeeninstalledandstartedsuccessfully.----成功的啟動Harbor倉庫容器。使用https方式訪問Harbor倉庫使用windows登錄倉庫在windows上，使用瀏覽器訪問0，即使用證書加密方式進入了Harbor的登錄頁面，如下圖所示。使用https方式登錄Harbor在瀏覽器的https處點擊，可以發(fā)現(xiàn)使用證書進行了身份驗證和數(shù)據(jù)加密，其它使用方式和之前都是一樣的。使用https方式登錄Harbor在Node主機上，首先在/etc/docker目錄下建立子目錄cert.d目錄，在cert.d目錄再建立服務器主機地址目錄0，然后把服務器root目錄下的證書文件拷貝到0下。[root@nodedocker]#mkdir-pcert.d/0[root@nodedocker]#cdcert.d/0[root@node0]#scproot@0:/root/server.crt.然后使用dockerlogin0使用https方式登錄Harbor私有倉庫。[root@node0]#dockerlogin0Username:adminPassword:WARNING!Yourpasswordwillbestoredunencryptedin/root/.docker/config.json.Configureacredentialhelpertoremovethiswarning.See/engine/reference/commandline/login/#credentials-storeLoginSucceeded輸入用戶名admin和密碼Harbor后成功登錄了Harbor倉庫。推送鏡像到Harbor登錄完成后，其它操作和http方式是一樣的，這里修改了一個alpine鏡像名稱，然后推送至Harbor倉庫。[root@node~]#dockertagalpine:latest0/library/alpine:latest[root@node~]#dockerpush0/library/alpine:latestThepushreferstorepository[0/library/alpine]777b2c648970:Pushedlatest:digest:sha256:074d3636ebda6dd446d0d00304c4454f468237fdacf08fb0eeac90bdbfa1bac7size:528在瀏覽器上查看，發(fā)現(xiàn)alpine:latest鏡像已經(jīng)上傳成功了，如下圖所示。使用https方式成功推送鏡像到Harbor任務二拓展訓練使用idea，建立MyController類，在類中輸入如下編碼

@