Kubernetes集群实战 项目10拓展训练

任务一拓展训练配置https安全访问Harbor私有仓库客服端到服务端或服务端到服务端的请求方式通常是http居多，但是考虑到安全性的问题，可以使用给系统添加一个证书来做认证，这种访问服务的协议就变成了https协议，使用的是443端口，对网站安全性要求高一点应用都需要使用证书的方式加密访问，因为仓库的数据对安全性要求也是比较高的，所以这里配置Harbor仓库的https访问。生成私钥文件证书是由一个受信任的机构颁发的，可以把它理解成有认证机构签字的公钥文件，这个证书是公开的，当用户访问时，使用这个证书进行加密数据，然后用服务器端的私钥进行解密数据，公钥和私钥匙成对出现的，所以一定要先生成私钥文件，然后在私钥的基础上，颁发证书，即颁发有认证机构盖章的公钥文件。可以在大型的证书提供平台申请证书文件，但一般申请证书是收费的，为了方便教学，这里通过自己在本机签发证书的方式讲解生成私钥和证书过程。下面通过openssl命令生成一个私钥文件server.key。[root@node~]#opensslgenrsa-idea-outserver.key2048GeneratingRSAprivatekey,2048bitlongmodulus.............+++.......................+++eis65537(0x10001)Enterpassphraseforserver.key:Verifying-Enterpassphraseforserver.key:genrsa指定加密算法#idea是一种加密方式，out后时输出的文件名，这里是server.key，2028表示生成的私钥长度，生成私钥时需要输入私钥的密码。基于私钥生成证书文件以下使用opensslreq在基于server.key私钥的基础上，生成了自己签发的证书server.crt。[root@node~]#opensslreq-days36500-x509-sha256-nodes-newkeyrsa:2048-keyoutserver.key-outserver.crtGeneratinga2048bitRSAprivatekey.........+++....+++writingnewprivatekeyto'server.key'-----Youareabouttobeaskedtoenterinformationthatwillbeincorporatedintoyourcertificaterequest.WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.TherearequiteafewfieldsbutyoucanleavesomeblankForsomefieldstherewillbeadefaultvalue,Ifyouenter'.',thefieldwillbeleftblank.-----CountryName(2lettercode)[XX]:cnStateorProvinceName(fullname)[]:lnLocalityName(eg,city)[DefaultCity]:syOrganizationName(eg,company)[DefaultCompanyLtd]:collegeOrganizationalUnitName(eg,section)[]:comCommonName(eg,yournameoryourserver'shostname)[]:aaEmailAddress[]:1@163.comreq表示管理证书签名请求，这里是签名场景，所以得用到new表示生成一个CA证书文件或证书签名请求文件。x509是CA证书专属的参数，表示用来做证书签名。key表示指定私钥文件。out表示输出的证书文件。day表示证书的有效期。-keyout指定基于的私钥文件这样在/root目录下就存在了私钥文件server.key和证书文件server.crt。修改Harbor配置文件打开Harbor的配置文件，去掉10到15行的注释，并把证书文件和私钥文件添加到certificate行和private_key行。10https:11httpsportforharbor,defaultis44312port:44313Thepathofcertandkeyfilesfornginx14certificate:/root/server.crt15private_key:/root/server.key重启Harbor仓库[root@registryharbor]#dockerrm-f$(dockerps-a-q)首先删除之前启动的Harbor仓库容器。然后重新执行install.sh脚本文件。[root@registryharbor]#./install.sh✔----Harborhasbeeninstalledandstartedsuccessfully.----成功的启动Harbor仓库容器。使用https方式访问Harbor仓库使用windows登录仓库在windows上，使用浏览器访问0，即使用证书加密方式进入了Harbor的登录页面，如下图所示。使用https方式登录Harbor在浏览器的https处点击，可以发现使用证书进行了身份验证和数据加密，其它使用方式和之前都是一样的。使用https方式登录Harbor在Node主机上，首先在/etc/docker目录下建立子目录cert.d目录，在cert.d目录再建立服务器主机地址目录0，然后把服务器root目录下的证书文件拷贝到0下。[root@nodedocker]#mkdir-pcert.d/0[root@nodedocker]#cdcert.d/0[root@node0]#scproot@0:/root/server.crt.然后使用dockerlogin0使用https方式登录Harbor私有仓库。[root@node0]#dockerlogin0Username:adminPassword:WARNING!Yourpasswordwillbestoredunencryptedin/root/.docker/config.json.Configureacredentialhelpertoremovethiswarning.See/engine/reference/commandline/login/#credentials-storeLoginSucceeded输入用户名admin和密码Harbor后成功登录了Harbor仓库。推送镜像到Harbor登录完成后，其它操作和http方式是一样的，这里修改了一个alpine镜像名称，然后推送至Harbor仓库。[root@node~]#dockertagalpine:latest0/library/alpine:latest[root@node~]#dockerpush0/library/alpine:latestThepushreferstorepository[0/library/alpine]777b2c648970:Pushedlatest:digest:sha256:074d3636ebda6dd446d0d00304c4454f468237fdacf08fb0eeac90bdbfa1bac7size:528在浏览器上查看，发现alpine:latest镜像已经上传成功了，如下图所示。使用https方式成功推送镜像到Harbor任务二拓展训练使用idea，建立MyController类，在类中输入如下编码

@