Harbor 是一个开源容器 registry，用于存储和管理 Docker 镜像。为了提高安全性，Harbor 开发者决定更新其 SSL 证书。此次更新将确保 Harbor 在使用 HTTPS 进行通信时能够更安全地传输数据，保护用户的数据不被未经授权的访问或窃取。

随着互联网的快速发展，SSL/TLS 协议的安全性成为保护数据传输的关键，在 Kubernetes 环境中，Harbor 是一个流行的容器镜像仓库管理系统，用于存储和分发 Docker 镜像，由于 SSL 证书的有效期可能会过期，因此定期更新 SSL 证书对于保持 Harbor 的安全性至关重要。

本文将介绍如何在 Kubernetes 环境中更新 Harbor 的 SSL 证书。

目录

1、背景知识

2、环境准备

3、安装 Harbor

4、获取 SSL 证书

5、配置 Harbor 使用 SSL 证书

6、验证 SSL 证书

背景知识

SSL/TLS 协议

SSL/TLS 是一种安全的网络协议，用于在网络通信中加密数据，它由两个主要部分组成：SSL 和 TLS，SSL 是基于 RSA 密钥对的，而 TLS 则使用 ECC（椭圆曲线密码算法）来提高性能和安全性。

Harbor

Harbor 是一个开源的容器镜像仓库管理系统，支持 Docker、GitLab CI/CD 等其他类型的应用程序，它提供了丰富的功能，如用户管理、镜像管理、日志管理和权限控制等。

环境准备

在进行任何操作之前，请确保你已经有一个 Kubernetes 环境，并且能够访问 Harbor 的部署文件。

安装 Harbor

假设你已经在 Kubernetes 上成功部署了 Harbor，你可以通过以下命令查看 Harbor 的 Deployment 和 Service 信息：

kubectl get deployment harbor-deployment -o yaml
kubectl get service harbor-service -o yaml

获取 SSL 证书

你可以从各种来源获取 SSL 证书，Let's Encrypt、Certbot 等工具，以下是使用 Certbot 示例：

sudo apt-get update
sudo apt-get install certbot python3-certbot-nginx
sudo certbot --nginx -d yourdomain.com

Certbot 将会自动为你生成并安装 SSL 证书。

配置 Harbor 使用 SSL 证书

1、编辑 Harbor 的 Nginx 配置：

打开 Harbor 的 Nginx 配置文件，通常位于/etc/nginx/conf.d/harbor.conf 或/etc/nginx/sites-available/default。

   sudo nano /etc/nginx/conf.d/harbor.conf

2、修改 Nginx 配置以启用 HTTPS：

在server 块中添加或修改listen 80; 和listen 443 ssl; 行，并添加相应的 SSL 证书和私钥路径。

   server {
       listen 80;
       server_name yourdomain.com;
       location / {
           proxy_pass http://harbor:9000;
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           proxy_set_header X-Forwarded-Proto $scheme;
       }
   }
   server {
       listen 443 ssl;
       server_name yourdomain.com;
       ssl_certificate /path/to/your/certificate.pem;
       ssl_certificate_key /path/to/your/privatekey.pem;
       location / {
           proxy_pass http://harbor:9000;
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           proxy_set_header X-Forwarded-Proto $scheme;
       }
   }

3、重新加载 Nginx：

保存并关闭文件后，重新加载 Nginx 以应用更改。

   sudo systemctl reload nginx

4、重启 Harbor：

重启 Harbor 服务以使新的配置生效。

   sudo kubectl restart deployment harbor-deployment

验证 SSL 证书

访问你的域名，确认 SSL 证书是否已正确安装并显示为绿色状态，如果一切正常，你应该能够看到一个安全的 HTTPS 加密连接。

通过以上步骤，你可以在 Kubernetes 环境中成功更新 Harbor 的 SSL 证书，这不仅提高了 Harbor 的安全性，也使得你的应用程序在需要时可以提供更强大的保护。