容器鏡像倉庫harbor+trivy的安裝使用

虛機ubuntu20.04，

安裝docker，

sudo apt install docker.io，

sudo systemctl enable docker，

sudo gpasswd -a ubuntu docker，

newgrp docker，

安裝docker-compose，

sudo apt install docker-compose，

給harbor起個本地域名，

sudo vim /etc/hosts，

10.90.11.166 harbortrivy.com

給harbor創建證書和私鑰，

openssl req -x509 -nodes -newkey rsa:4096 -sha256 -days 999 -keyout /home/ubuntu/harbortrivy.com.key -out /home/ubuntu/harbortrivy.com.crt -subj "/C=CN/ST=docker/L=beijing/O=harbortrivy/OU=New site/CN=harbortrivy.com/emailAddress=admin@harbortrivy.com"，

下載harbor在線安裝版本，

wget https://github.com/goharbor/harbor/releases/download/v2.4.1/harbor-online-installer-v2.4.1.tgz，

tar -zxvf harbor-online-installer-v2.4.1.tgz，cd harbor，

修改配置，vim harbor.yml，

hostname: harbortrivy.com

certificate: /home/ubuntu/harbortrivy.com.crt

private_key: /home/ubuntu/harbortrivy.com.key

harbor_admin_password: harbortrivy

安裝，指定trivy，notary等參數，

sudo ./install.sh --with-notary --with-trivy --with-chartmuseum，

安裝成功后，https登錄，admin/harbortrivy，

看到默認安裝了trivy做為漏洞掃描器，

對于默認項目library，配置管理中能夠看到可以進行各種安全配置，

push一個容器鏡像上去看看，

在docker客戶端，需要把harbor的證書弄過來放到docker的目錄下，

sudo mkdir -p /etc/docker/certs.d/harbortrivy.com，

sudo scp ubuntu@10.90.11.166:/home/ubuntu/harbortrivy.com.crt /etc/docker/certs.d/harbortrivy.com，

本地域名也得添加一下，sudo vim /etc/hosts，

10.90.11.166 harbortrivy.com

登錄一下，docker login --username=admin harbortrivy.com，

下載個log4j的容器鏡像，

docker pull ghcr.io/christophetd/log4shell-vulnerable-app:latest，

重新tag一下，docker tag 248241e9f7fa harbortrivy.com/library/log4shell-vulnerable-app:latest，

最后push鏡像，docker push harbortrivy.com/library/log4shell-vulnerable-app:latest，

在harbor這邊看效果，對push上來的容器鏡像自動進行了漏洞掃描，