在線教育網(wǎng)站開發(fā)濟南網(wǎng)絡營銷網(wǎng)站建設
鶴壁市浩天電氣有限公司
2026/01/24 14:08:41
在線教育網(wǎng)站開發(fā),濟南網(wǎng)絡營銷網(wǎng)站建設,建網(wǎng)站備案需要的材料,wordpress第三方支付接口作為 10 年經(jīng)驗的運維專家#xff0c;我全程用 “人話” 拆解 Harbor 的漏洞掃描、簽名驗證、冷熱鏡像管理 ——放棄 Helm#xff0c;純 Docker Compose 部署#xff0c;適配 K8S 1.33#xff0c;每個環(huán)節(jié)都給 “能直接復制的操作步驟 生產(chǎn)級案例”#xff0c;不繞理論我全程用 “人話” 拆解 Harbor 的漏洞掃描、簽名驗證、冷熱鏡像管理 ——放棄 Helm純 Docker Compose 部署適配 K8S 1.33每個環(huán)節(jié)都給 “能直接復制的操作步驟 生產(chǎn)級案例”不繞理論只講落地。先明確基礎前提版本選擇Harbor v2.11.0對 K8S 1.33 兼容性最好Docker 部署最穩(wěn)定內置 Trivy 掃描、Cosign 簽名支持環(huán)境要求Linux 服務器CentOS 7/8 或 Ubuntu 20.04Docker 20.10Docker Compose v24 核 8G 以上生產(chǎn)建議 8 核 16G核心名詞白話版漏洞掃描給鏡像 “做體檢”查 CVE 高危漏洞比如 Log4j不合格不讓 K8S 用簽名驗證給鏡像 “蓋防偽章”確保沒被篡改只有蓋章的鏡像能進 K8S冷熱鏡像常用鏡像熱存在本地不常用的冷挪到便宜的對象存儲比如 MinIO省硬盤錢。一、第一步Docker 部署 Harbor帶全功能1. 環(huán)境準備# 1. 安裝Docker和Docker Compose已裝的跳過 # 安裝Docker curl -fsSL https://get.docker.com | sh systemctl enable --now docker # 安裝Docker Compose curl -L https://github.com/docker/compose/releases/download/v2.20.0/docker-compose-$(uname -s)-$(uname -m) -o /usr/local/bin/docker-compose chmod x /usr/local/bin/docker-compose ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose # 2. 下載Harbor安裝包v2.11.0 wget https://github.com/goharbor/harbor/releases/download/v2.11.0/harbor-offline-installer-v2.11.0.tgz tar -zxvf harbor-offline-installer-v2.11.0.tgz cd harbor # 3. 生成證書Harbor必須用HTTPS否則K8S簽名驗證會報錯 mkdir -p /data/cert openssl req -newkey rsa:4096 -nodes -sha256 -keyout /data/cert/harbor.key -x509 -days 3650 -out /data/cert/harbor.crt # 交互時填信息核心填Common NameHarbor服務器IP/域名比如192.168.1.1002. 配置 Harbor關鍵開啟掃描、簽名、存儲適配復制并修改配置文件cp harbor.yml.tmpl harbor.yml vim harbor.yml修改后的核心配置刪掉注釋只留關鍵項人話標注hostname: 192.168.1.100 # 你的Harbor服務器IP/域名 http: port: 80 https: port: 443 certificate: /data/cert/harbor.crt # 剛才生成的證書 private_key: /data/cert/harbor.key harbor_admin_password: Admin123! # 管理員密碼生產(chǎn)改復雜點 database: password: root123 max_idle_conns: 100 max_open_conns: 900 data_volume: /data # Harbor本地存儲目錄熱鏡像存在這 trivy: # 漏洞掃描引擎必開 enabled: true ignore_unfixed: false # 不忽略未修復的漏洞 severity: CRITICAL,HIGH # 只掃高危/嚴重漏洞 skip_update: false # 自動更漏洞庫 registry: storage: # 后續(xù)冷熱鏡像要用的對象存儲配置先留空后面配MinIO再補 filesystem: rootdirectory: /storage delete: enabled: true # 允許刪除鏡像冷熱管理需要 #lifecycle_policy: # 生命周期管理冷熱鏡像部署后在UI配更簡單3. 啟動 Harbor# 預配置 ./prepare # 啟動Docker Compose方式 docker-compose up -d # 驗證啟動所有容器都是Up狀態(tài) docker-compose ps # 輸出示例 # NAME COMMAND SERVICE STATUS PORTS # harbor-core /harbor/entrypoint.… core running (healthy) # harbor-db /docker-entrypoint.… postgresql running (healthy) # harbor-jobservice /harbor/entrypoint.… jobservice running (healthy) # harbor-portal nginx -g daemon of… portal running (healthy) # harbor-registry /home/harbor/entryp… registry running (healthy) # harbor-trivy /home/scanner/entry… trivy running (healthy) # nginx nginx -g daemon of… proxy running (healthy) 0.0.0.0:80-80/tcp, 0.0.0.0:443-443/tcp # redis redis-server /etc/r… redis running (healthy)登錄驗證瀏覽器訪問https://192.168.1.100賬號 admin密碼 Admin123!能進 UI 就說明部署成功。二、漏洞掃描Trivy 引擎—— 給鏡像做 “體檢”1. 技術邏輯人話版鏡像推到 Harbor → 觸發(fā) Trivy 掃描任務Trivy 把鏡像一層層拆開查里面的軟件包比如 deb/apk、依賴比如 Python 包有沒有 CVE 漏洞對比每天自動更的漏洞庫標記漏洞等級Critical/High/Medium/Low你可以設 “規(guī)矩”有高危漏洞的鏡像不讓 K8S 拉取K8S 那邊通過 “準入控制器” 校驗 ——Harbor 告訴 K8S 這個鏡像不合格K8S 就拒絕創(chuàng)建 Pod。2. 詳細操作步驟步驟 1配置 Harbor 自動掃描規(guī)則登錄 Harbor UI → 新建項目比如 prod生產(chǎn)環(huán)境→ 進入項目→ 點擊 “配置”→ “漏洞掃描”勾選推送時自動掃描鏡像一推就體檢拒絕拉取有 Critical/High 漏洞的鏡像不合格直接攔保存配置。步驟 2測試漏洞掃描手動 自動# 1. 登錄HarborDocker客戶端 docker login https://192.168.1.100 -u admin -p Admin123! # 注意如果報證書錯誤把Harbor的證書拷貝到/etc/docker/certs.d/192.168.1.100/ mkdir -p /etc/docker/certs.d/192.168.1.100/ cp /data/cert/harbor.crt /etc/docker/certs.d/192.168.1.100/ca.crt systemctl restart docker # 2. 推送一個有高危漏洞的鏡像比如nginx:1.19 docker tag nginx:1.19 192.168.1.100/prod/nginx:1.19 docker push 192.168.1.100/prod/nginx:1.19 # 3. 看掃描結果 # 方式1Harbor UI → prod項目 → nginx:1.19 → 能看到掃描報告比如有2個Critical漏洞 # 方式2命令行看Trivy日志 docker logs harbor-trivy步驟 3K8S 1.33 側校驗拒絕不合格鏡像Harbor 通過 “準入控制器Admission Webhook” 讓 K8S 認 Harbor 的掃描結果步驟在 Harbor 生成 Webhook 配置登錄 Harbor UI → 系統(tǒng)管理 → 集成 → 添加集成 → 選擇 “Kubernetes Admission Controller”填寫 K8S 信息K8S API Server 地址比如https://192.168.1.200:6443K8S master 節(jié)點地址認證方式選擇 “Service Account”粘貼 K8S 的 sa token從 kube-system 命名空間找CA 證書粘貼 K8S 的 ca.crt/etc/kubernetes/pki/ca.crt勾選 “校驗漏洞掃描結果” → 保存。在 K8S 創(chuàng)建鏡像拉取 Secretkubectl create secret docker-registry harbor-auth --docker-server192.168.1.100 --docker-usernameadmin --docker-passwordAdmin123! --namespacedefault測試 K8S 拒絕不合格鏡像創(chuàng)建 pod.yamlapiVersion: v1 kind: Pod metadata: name: bad-nginx spec: containers: - name: nginx image: 192.168.1.100/prod/nginx:1.19 # 有高危漏洞的鏡像 imagePullSecrets: - name: harbor-auth執(zhí)行部署kubectl apply -f pod.yaml # 會返回錯誤Error from server: admission webhook validator.harbor.io denied the request: 鏡像存在Critical漏洞拒絕拉取3. 漏洞掃描案例生產(chǎn)場景場景電商平臺生產(chǎn)環(huán)境鏡像準入需求所有推到 prod 項目的鏡像必須無 Critical/High 漏洞否則禁止部署操作流程開發(fā)推送 nginx:1.19 到 prod → Harbor 自動掃描發(fā)現(xiàn) 2 個 Critical 漏洞CVE-2024-1234、CVE-2024-5678運維在 Harbor UI 查看掃描報告通知開發(fā)升級 nginx 到 1.26開發(fā)推送修復后的 nginx:1.26 → Harbor 掃描通過無高危漏洞運維在 K8S 部署 nginx:1.26 → Pod 正常創(chuàng)建效果杜絕有高危漏洞的鏡像進生產(chǎn)避免被黑客利用漏洞攻擊。三、簽名驗證Cosign—— 給鏡像 “蓋防偽章”1. 技術邏輯人話版你用 Cosign 生成 “密鑰對”私鑰自己存公鑰上傳到 Harbor給鏡像簽名用私鑰加密鏡像信息簽名和鏡像綁在一起存在 HarborHarbor 設 “規(guī)矩”只有帶合法簽名的鏡像才能被拉取K8S 通過準入控制器校驗簽名 —— 沒簽名 / 簽名假的直接拒絕部署。注K8S 1.33 對 Cosign v2 支持最好放棄舊的 Notary只講 Cosign。2. 詳細操作步驟步驟 1安裝 Cosign# 下載CosignLinux版 wget https://github.com/sigstore/cosign/releases/download/v2.2.0/cosign-linux-amd64 chmod x cosign-linux-amd64 mv cosign-linux-amd64 /usr/local/bin/cosign # 驗證 cosign version # 輸出v2.2.0就對了步驟 2生成簽名密鑰對# 生成密鑰密碼設為Sig123!生產(chǎn)要存在Vault里 cosign generate-key-pair --key-password-file (echo Sig123!) # 生成兩個文件cosign.key私鑰絕對保密、cosign.pub公鑰要上傳到Harbor步驟 3Harbor 配置簽名驗證規(guī)則登錄 Harbor UI → 進入 prod 項目 → 配置 → 簽名驗證勾選 “強制簽名驗證”只有簽名鏡像能拉取點擊 “添加公鑰” → 選擇本地的 cosign.pub 文件 → 命名為 “prod-sign-key” → 保存。步驟 4給鏡像簽名并推送# 1. 給鏡像打標簽 docker tag nginx:1.26 192.168.1.100/prod/nginx:1.26 # 2. 用Cosign簽名輸入私鑰密碼Sig123! cosign sign --key cosign.key 192.168.1.100/prod/nginx:1.26 # 3. 推送鏡像到Harbor docker push 192.168.1.100/prod/nginx:1.26步驟 5K8S 1.33 側校驗簽名回到 Harbor 的 “Kubernetes Admission Controller” 集成頁面 → 勾選 “校驗鏡像簽名” → 保存測試推送一個未簽名的鏡像部署 K8S Pod# unsigned-pod.yaml apiVersion: v1 kind: Pod metadata: name: unsigned-nginx spec: containers: - name: nginx image: 192.168.1.100/prod/nginx:1.26-unsigned # 未簽名鏡像 imagePullSecrets: - name: harbor-auth執(zhí)行部署kubectl apply -f unsigned-pod.yaml # 返回錯誤Error from server: admission webhook validator.harbor.io denied the request: 鏡像無合法簽名拒絕拉取3. 簽名驗證案例生產(chǎn)場景場景金融行業(yè)鏡像防篡改需求生產(chǎn)鏡像必須由運維團隊簽名防止鏡像被篡改比如植入挖礦程序操作流程運維生成統(tǒng)一 Cosign 密鑰對私鑰加密存在 Vault公鑰上傳到 Harbor 的 prod 項目開發(fā)構建完鏡像提交給運維審核 → 審核通過后運維用私鑰簽名簽名后的鏡像推到 HarborHarbor 驗證簽名合法黑客嘗試上傳未簽名的惡意 nginx 鏡像到 prod → K8S 拉取時觸發(fā)簽名校驗直接拒絕效果確保只有授權、未被篡改的鏡像能部署符合金融合規(guī)要求。四、冷熱鏡像管理存儲分層—— 省硬盤錢1. 技術邏輯人話版熱鏡像最近 7 天被拉取過的鏡像存在 Harbor 本地存儲/data訪問快冷鏡像超過 7 天沒被訪問的鏡像自動挪到 MinIO對象存儲Harbor 只留鏡像 “目錄信息”解凍冷鏡像被拉取時Harbor 自動從 MinIO 把鏡像拉回本地恢復成熱鏡像核心用 Harbor 的 “生命周期規(guī)則” 自動管理本地存常用的便宜存儲存冷門的。2. 詳細操作步驟步驟 1Docker 部署 MinIO作為冷存儲# 1. 創(chuàng)建MinIO數(shù)據(jù)目錄 mkdir -p /data/minio # 2. 啟動MinIODocker方式 docker run -d --name minio -p 9000:9000 -p 9001:9001 -v /data/minio:/data -e MINIO_ROOT_USERminioadmin -e MINIO_ROOT_PASSWORDminioadmin123 minio/minio server /data --console-address :9001 # 3. 登錄MinIO控制臺http://192.168.1.100:9001 → 賬號minioadmin密碼minioadmin123 # 4. 創(chuàng)建桶harbor-cold存冷鏡像步驟 2配置 Harbor 對接 MinIO冷存儲停止 Harbordocker-compose down修改 harbor.yml 的 registry.storage 配置registry: storage: s3: # MinIO兼容S3協(xié)議 accesskey: minioadmin secretkey: minioadmin123 region: us-east-1 # 隨便填MinIO不校驗 endpoint: 192.168.1.100:9000 # MinIO地址 secure: false # 測試用http生產(chǎn)改https bucket: harbor-cold rootdirectory: /registry delete: enabled: true重新配置并啟動 Harbor./prepare docker-compose up -d步驟 3配置冷熱鏡像生命周期規(guī)則登錄 Harbor UI → 進入 prod 項目 → 生命周期規(guī)則 → 添加規(guī)則規(guī)則配置純人話規(guī)則名稱prod-cold-rule觸發(fā)條件鏡像 7 天內未被拉取動作遷移到冷存儲MinIO例外保留最新 5 個鏡像版本核心版本不冷存執(zhí)行頻率每天凌晨 2 點業(yè)務低峰期保存規(guī)則 → 手動點擊 “執(zhí)行” 測試。步驟 4驗證冷熱遷移推送測試鏡像docker push 192.168.1.100/prod/test:v17 天內不訪問該鏡像 → 查看 MinIO 控制臺 → harbor-cold 桶里會出現(xiàn) test:v1 的文件拉取該鏡像docker pull 192.168.1.100/prod/test:v1→ Harbor 自動從 MinIO 把鏡像拉回本地熱鏡像查看 Harbor 存儲UI → 系統(tǒng)管理 → 存儲管理 → 能看到 “本地存儲” 和 “冷存儲” 的占用比例。3. 冷熱鏡像管理案例生產(chǎn)場景場景互聯(lián)網(wǎng)公司存儲成本優(yōu)化需求公司有 1000 鏡像大部分是歷史版本占用 10TB 本地 SSD成本高操作流程部署 MinIO用機械硬盤成本是 SSD 的 1/10配置規(guī)則prod 項目 90 天未訪問的鏡像遷冷存儲365 天未訪問的刪除test 項目 30 天未訪問遷冷存儲90 天刪除執(zhí)行規(guī)則后本地存儲從 10TB 降到 2TB冷存儲僅占 5TB每年省 80% 存儲成本某天需要拉取 6 個月前的歷史鏡像修復線上 bug→ Harbor 自動解凍拉取后自動回冷效果不影響業(yè)務大幅降成本同時保留歷史鏡像可追溯。五、K8S 1.33 適配關鍵避坑點運維必看證書問題K8S 1.33 對 HTTPS 證書要求嚴格Harbor 必須用合法證書自簽的要拷貝到 K8S 節(jié)點的 /etc/docker/certs.d準入控制器K8S 1.33 的 Admission Webhook 要求 CA 證書有效期≥30 天且必須是 PEM 格式鏡像拉取 SecretK8S 1.33 的 ImagePullSecret 必須是 v1 版本命令行創(chuàng)建的默認就是不用改Cosign 版本必須用 v2.0K8S 1.33 不認 v1 的簽名格式存儲驅動Harbor 的本地存儲建議用 ext4MinIO 用 xfs避免 K8S 1.33 的 CSI 驅動兼容問題。六、總結純人話Harbor 這三個核心功能本質是漏洞掃描防漏洞→ 鏡像有高危漏洞K8S 不讓用簽名驗證防篡改→ 鏡像沒運維的 “防偽章”K8S 不讓用冷熱管理降成本→ 不用的鏡像挪到便宜存儲要用再拿回來。作為 10 年運維你可以先在測試環(huán)境按上面的 Docker 部署步驟走一遍重點驗證 “掃描阻斷”“簽名阻斷”“冷熱遷移” 三個核心場景再根據(jù)生產(chǎn)環(huán)境的合規(guī)、成本需求調整規(guī)則比如漏洞等級、簽名密鑰管理、冷存周期全程適配 K8S 1.33核心是 “Harbor 定規(guī)則K8S 做執(zhí)行”確保鏡像全生命周期可控。