临沂建设公司网站如何创造一个自己的网站

临沂建设公司网站,如何创造一个自己的网站,桂林市天气预报7天,无极在线房屋出租信息文章目录零基础完整搭建 Harbor 私有仓库#xff08;IP 访问彻底解决 x509 错误#xff09;一、前置说明#xff08;必看#xff09;二、Step 1#xff1a;环境准备#xff08;安装依赖#xff09;1. 安装 Docker#xff08;分系统#xff09;#x1f449; CentOS 系…文章目录零基础完整搭建 Harbor 私有仓库IP 访问彻底解决 x509 错误一、前置说明必看二、Step 1环境准备安装依赖1. 安装 Docker分系统 CentOS 系统 Ubuntu 系统2. 安装 Docker Compose全系统通用三、Step 2下载 Harbor 安装包国内源加速四、Step 3生成自签名证书核心合并证书链1. 创建证书工作目录2. 生成根 CA 证书信任起点3. 生成服务器证书Harbor 服务使用4. 合并证书链服务器证 根 CA 证5. 验证证书有效性必做避免证书不合规五、Step 4配置 Harborharbor.yml1. 复制默认配置文件2. 编辑配置文件核心参数修改六、Step 5安装并启动 Harbor1. 生成 Harbor 配置文件2. 启动 Harbor后台运行3. 访问 Harbor 控制台验证服务器端正常七、Step 6客户端信任配置彻底解决 x509 错误 Linux 客户端CentOS/Ubuntu 通用 注意事项八、Step 7功能验证全流程测试1. Docker 登录 Harbor验证 x509 错误已解决2. 推送镜像到 Harbor验证仓库功能3. Trivy 漏洞扫描验证安全功能九、常见问题排查避坑指南1. 登录仍报错 x509: certificate signed by unknown authority2. Harbor 启动失败部分容器 Exited3. Trivy 扫描无结果或扫描失败十、总结零基础完整搭建 Harbor 私有仓库IP 访问彻底解决 x509 错误结合官方文档、你的实践经验及之前的配置需求整理一份IP 访问优先、证书链合并、客户端信任全覆盖的完整教程从依赖安装到功能验证零基础也能一步步落地重点解决自签名证书导致的x509: certificate signed by unknown authority错误同时集成 Trivy 漏洞扫描。一、前置说明必看适用场景无域名用服务器 IP 访问 Harbor本文以192.168.90.245为例需替换为你的服务器实际 IP核心逻辑通过「合并证书链服务器证根 CA 证 客户端预置根 CA」打通完整信任路径系统兼容CentOS 7/8、Ubuntu 20.04/22.04均提供对应命令最终效果Docker 登录无 x509 报错、镜像正常推送/拉取、Trivy 自动扫描漏洞。二、Step 1环境准备安装依赖Harbor 基于 Docker 和 Docker Compose 运行必须先完成这两个工具的安装。1. 安装 Docker分系统 CentOS 系统# 卸载旧版本如有yum remove -y docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine# 安装依赖包yuminstall-y yum-utils device-mapper-persistent-data lvm2# 配置阿里云 Docker 源yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo# 安装指定稳定版避免版本兼容问题yuminstall-y docker-ce-20.10.24 docker-ce-cli-20.10.24 containerd.io# 启动并设置开机自启systemctl start dockersystemctlenabledocker# 验证输出版本号即成功docker --version Ubuntu 系统# 卸载旧版本如有apt-getremove -y docker docker-engine docker.io containerd runc# 安装依赖包apt-getupdateapt-getinstall-y ca-certificatescurlgnupg lsb-release# 配置阿里云 Docker 源curl-fsSL https://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg|gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpgechodeb [arch$(dpkg --print-architecture)signed-by/usr/share/keyrings/docker-archive-keyring.gpg] https://mirrors.aliyun.com/docker-ce/linux/ubuntu$(lsb_release -cs)stable|tee/etc/apt/sources.list.d/docker.list/dev/null# 安装指定稳定版apt-getupdateapt-getinstall-y docker-ce-20.10.24 docker-ce-cli-20.10.24 containerd.io# 启动并设置开机自启systemctl start dockersystemctlenabledocker# 验证docker --version2. 安装 Docker Compose全系统通用# 下载 Docker Compose国内源加速curl-Lhttps://github.com/docker/compose/releases/download/v2.23.3/docker-compose-$(uname-s)-$(uname-m)-o /usr/local/bin/docker-compose# 赋予执行权限chmodx /usr/local/bin/docker-compose# 验证输出版本号即成功docker-compose --version三、Step 2下载 Harbor 安装包国内源加速选择稳定版v2.14.1兼容 Trivy 最新特性与之前配置一致# 创建 Harbor 根目录mkdir-p /data/harborcd/data/harbor# 下载离线安装包阿里云源避免官网下载慢wgethttps://mirrors.aliyun.com/docker-hub-public/harbor/harbor-offline-installer-v2.14.1.tgz# 解压安装包tar-zxvf harbor-offline-installer-v2.14.1.tgz# 进入解压目录后续所有配置均在此目录操作cdharbor四、Step 3生成自签名证书核心合并证书链这是解决 x509 错误的关键步骤需按顺序生成「根 CA 证书 → 服务器证书 → 合并证书链」确保信任路径完整。1. 创建证书工作目录# 在 Harbor 安装目录下创建 cert 文件夹统一管理证书mkdir-p /data/harbor/harbor/certcd/data/harbor/harbor/cert2. 生成根 CA 证书信任起点根 CA 是自签名场景的「信任锚点」客户端必须预置此证书才能验证服务器身份# 1. 生成 CA 私钥无密码避免 Harbor 启动需输入密码openssl genrsa -out ca.key2048# 2. 生成 CA 根证书有效期 5000 天适配 IP 访问openssl req -x509 -new -nodes -key ca.key\-subj/CCN/STBeijing/LBeijing/OHarbor-CA/OUDevOps/CNHarbor-Root-CA\-days5000\-out ca.crt3. 生成服务器证书Harbor 服务使用服务器证书需绑定 Harbor 的 IP且由根 CA 签名确保与客户端访问地址一致# 1. 生成服务器私钥openssl genrsa -out server.key2048# 2. 生成服务器证书请求CSR明确绑定 IPopenssl req -new -key server.key\-subj/CCN/STBeijing/LBeijing/OHarbor/OUServer/CN192.168.90.245\-out server.csr# 3. 用根 CA 签名服务器证书有效期 3650 天openssl x509 -req -days3650\-in server.csr\-CA ca.crt\-CAkey ca.key\-CAcreateserial\-out server.crt4. 合并证书链服务器证 根 CA 证服务器端提供合并后的证书链确保客户端在 TLS 握手时能获取完整信任路径# 合并命令将服务器证书和根 CA 证书拼接为一个文件catserver.crt ca.crtcombined.crt# 验证合并结果查看文件行数应大于单个证书行数wc-l server.crt ca.crt combined.crt5. 验证证书有效性必做避免证书不合规# 1. 验证证书链完整性输出 OK 即合规openssl verify -CAfile ca.crt combined.crt# 2. 验证服务器证书绑定的 IP确保与 Harbor 访问 IP 一致openssl x509 -text -noout -in server.crt|grepSubject.*CN# 成功输出Subject: CCN, STBeijing, LBeijing, OHarbor, OUServer, CN192.168.90.245五、Step 4配置 Harborharbor.yml基于官方模板修改核心配置重点绑定 IP、证书链和启用 Trivy。1. 复制默认配置文件# 进入 Harbor 安装目录cd/data/harbor/harbor# 复制官方模板为正式配置文件cpharbor.yml.tmpl harbor.yml2. 编辑配置文件核心参数修改vimharbor.yml保留以下关键配置其他参数默认即可按实际 IP 替换# 1. Harbor 访问地址必须是证书绑定的 IPhostname:192.168.90.245# 2. HTTP 配置默认 80 端口可保留访问时会自动跳转 HTTPShttp:port:80# 3. HTTPS 配置核心绑定合并后的证书链https:port:443certificate:/data/harbor/harbor/cert/combined.crt# 合并后的证书链private_key:/data/harbor/harbor/cert/server.key# 服务器私钥# 4. 管理员初始密码首次登录使用后续建议修改harbor_admin_password:Harbor12345# 5. 数据存储目录默认即可镜像、漏洞库等数据存于此data_volume:/data/harbor/data# 6. Trivy 漏洞扫描配置自动启用无需额外安装trivy:enabled:trueignore_unfixed:trueseverity:[CRITICAL,HIGH]timeout:10mdb_repository:registry.cn-hangzhou.aliyuncs.com/acs/trivy-db# 国内源避免下载超时六、Step 5安装并启动 Harbor1. 生成 Harbor 配置文件# 执行 prepare 脚本根据 harbor.yml 生成部署配置./prepare2. 启动 Harbor后台运行# 用 Docker Compose 启动所有组件-d 表示后台运行docker-compose up -d# 验证启动状态所有容器状态为 Up 即成功docker-composeps3. 访问 Harbor 控制台验证服务器端正常打开浏览器输入https://192.168.90.245注意是 HTTPS登录账号admin登录密码Harbor12345成功标志无证书警告或仅提示「自签名证书」可忽略能进入 Harbor 管理界面。七、Step 6客户端信任配置彻底解决 x509 错误客户端需要推送/拉取镜像的机器必须预置根 CA 证书才能信任 Harbor 的自签名证书链。 Linux 客户端CentOS/Ubuntu 通用# 1. 先获取根 CA 证书从 Harbor 服务器复制 ca.crt 到客户端示例用 scp 命令scproot192.168.90.245:/data/harbor/harbor/cert/ca.crt ./# 2. 安装根 CA 到系统信任库确保系统级信任## CentOS 系统cpca.crt /etc/pki/ca-trust/source/anchors/harbor-ca.crt update-ca-trust extract## Ubuntu 系统cpca.crt /usr/local/share/ca-certificates/harbor-ca.crt update-ca-certificates# 3. 配置 Docker 单独信任关键Docker 有独立的证书信任机制# 创建 Docker 信任目录格式/etc/docker/certs.d/HarborIP:端口mkdir-p /etc/docker/certs.d/192.168.90.245:443# 复制根 CA 到该目录文件名必须为 ca.crtDocker 固定读取cpca.crt /etc/docker/certs.d/192.168.90.245:443/ca.crt# 4. 赋予证书读取权限避免 Docker 无权限访问chmod644/etc/docker/certs.d/192.168.90.245:443/ca.crt# 5. 重启 Docker 生效配置systemctl restart docker# 6.daemon.json配置Harbor服务器的IP或者域名[rootswarm43 ~]# cat /etc/docker/daemon.json{registry-mirrors:[https://672tq9h17eavbw.xuanyuan.run,https://672tq9h17eavbw.xuanyuan.dev,https://docker.xuanyuan.me],insecure-registries:[192.168.90.245,672tq9h17eavbw.xuanyuan.run,672tq9h17eavbw.xuanyuan.dev,docker.xuanyuan.me],dns:[119.29.29.29,114.114.114.114]} 注意事项若客户端与 Harbor 服务器是同一台机器无需用scp直接使用ca.crt路径即可登录时若仍报错尝试加sudoDocker 权限问题sudo docker login 192.168.90.245。八、Step 7功能验证全流程测试1. Docker 登录 Harbor验证 x509 错误已解决# 登录命令无端口时默认访问 443docker login192.168.90.245 -u admin -p Harbor12345# 成功标志Login Succeeded无任何 x509 报错2. 推送镜像到 Harbor验证仓库功能# 1. 拉取一个测试镜像如 nginxdocker pull nginx:alpine# 2. 给镜像打标签格式HarborIP/项目名/镜像名:版本# 注意Harbor 需先创建项目如 test-project公开项目即可docker tag nginx:alpine192.168.90.245/test-project/nginx:alpine# 3. 推送镜像docker push192.168.90.245/test-project/nginx:alpine# 成功标志推送进度条完成输出 digest 和 size 信息3. Trivy 漏洞扫描验证安全功能登录 Harbor 控制台进入test-project项目找到推送的nginx:alpine镜像点击右侧「扫描」按钮扫描完成后查看「漏洞」标签页会显示CRITICAL/HIGH级别的漏洞Trivy 正常工作。九、常见问题排查避坑指南1. 登录仍报错x509: certificate signed by unknown authority检查客户端是否复制了ca.crt到 Docker 信任目录且文件名是ca.crt检查 Docker 是否重启systemctl restart docker尝试用sudo登录sudo docker login 192.168.90.245。2. Harbor 启动失败部分容器 Exited检查证书路径是否正确harbor.yml中certificate和private_key路径检查证书权限chmod 600 /data/harbor/harbor/cert/server.key私钥必须 600 权限查看日志排查docker-compose logs -f core查看核心组件日志。3. Trivy 扫描无结果或扫描失败检查 Trivy 容器是否启动docker-compose ps trivy查看 Trivy 日志docker-compose logs -f trivy若漏洞库下载超时手动下载国内源漏洞库mkdir-p /data/harbor/data/trivy/dbwget-O /data/harbor/data/trivy/db/trivy.db https://registry.cn-hangzhou.aliyuncs.com/acs/trivy-db/trivy.db:latestwget-O /data/harbor/data/trivy/db/metadata.json https://registry.cn-hangzhou.aliyuncs.com/acs/trivy-db/metadata.json:latestchmod-R777/data/harbor/data/trivy/db docker-compose restart trivy十、总结本教程通过「合并证书链服务器端 预置根 CA客户端」彻底解决了自签名证书的 x509 错误同时集成了 Trivy 漏洞扫描实现了 Harbor 从搭建到实用的全流程。核心要点证书链合并是服务器端的关键确保客户端获取完整信任路径客户端需同时配置「系统信任库 Docker 信任目录」避免 Docker 独立信任机制导致的问题所有 IP 需保持一致Harbor 配置、证书绑定、客户端访问是避免错误的基础。按此流程操作后你将拥有一个稳定、安全的私有镜像仓库支持镜像推送/拉取和自动漏洞扫描可直接用于测试或生产环境。