Registros de contenedores y alternativas a Dockerhub

12 de septiembre de 2024 · 4 min de lectura

CISO SecDevOps @ Santander Group

En cuento a los repositorios, tenemos múltiples opciones. Tanto en variantes gestionadas por un proveedor o en formato SaaS o también otras tantas que puedes instalarte en tus servidores. Os dejo este repositorio donde he hecho la tabla comparando las opciones que concozco, pero puedes contribuir con más opciones o detalles.

Tabla comparativa de registros de contenedores

De entre todos estos, destaca Harbor. Este es el más completo, personalizable y escalable. Permite albergar imágenes, analizar su seguridad, despliegue en kubernetes en alta disponibilidad o incluso replicar automáticamente las imágenes de otro registry, actuando como una especie de caché para tu infraestructura.

Pero si quieres algo más sencillo, CNCF Distribution, es el core tecnológico de la mayoría de registries y se puede montar en docker con una línea de instrucciones.

Instalación de Harbor

Requisitos mínimos

Estos son los requisitos mínimos y recomendados, se puede instalar tanto en un servidor físico como en un cluster de kubernetes.

Resource	Minimum	Recommended
CPU	2 CPU	4 CPU
Mem	4 GB	8 GB
Disk	40 GB	160 GB

Para este primer vídeo, vamos a instalar Harbor en un servidor físico con los siguientes requisitos. La distribución de Linux es indiferente mientras soporte Docker Engine.

Docker Engine
Docker Compose
OpenSSL (si vamos a isntalar certificados SSL)

Decargar el instalador

Vamos a la página de releases de Harbor en Github y descargamos el instalador. Releases de Harbor

Copiamos el link de la última versión y lo descargamos con wget, o usamos el navegador y lo descargamos en el servidor. Ojo haber cogido la versión latest y no una pre-release.

wget https://github.com/goharbor/harbor/releases/download/v2.11.1/harbor-offline-installer-v2.11.1.tgz

Descomprimimos el archivo y entramos en el directorio creado.

tar xzvf harbor-offline-installer-v2.11.1.tgz

cd harbor

Habilitar HTTPS

Aunque sale como opcional en el tutorial, si vas a usarlo en producción, te recomiendo que lo hagas. Además, en modo HTTP no igual no te funcionará el login con docker login u otras herramientas, que ya fuerzan el uso de HTTPS.

Generar certificados SSL con OpenSSL

openssl genrsa -out ca.key 4096

openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Madrid/L=Madrid/O=example/OU=Personal/CN=MyPersonal Root CA" \
 -key ca.key \
 -out ca.crt 

openssl genrsa -out harbor.dev.key 4096

Generar una solicitud de firma de certificado (CSR) para el certificado del servidor.

openssl req -sha512 -new \
    -subj "/C=CN/ST=Madrid/L=Madrid/O=example/OU=Personal/CN=harbor.dev" \
    -key harbor.dev.key \
    -out harbor.dev.csr

Generar fichero v3.ext para el certificado

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=harbor.dev
DNS.2=harbor
DNS.3=hostname
EOF

Generar el certificado del servidor

openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in harbor.dev.csr \
    -out harbor.dev.crt

#### Proveer los certificados a Docker Copiamos los certificados a la carpeta de certificaos de nuestro servidor. En mi caso, en /data/cert/.

cp harbor.dev.crt /data/cert/
cp harbor.dev.key /data/cert/

Convertimos nuestro fichero .crt a .cert para que Docker lo pueda interpretar.

openssl x509 -inform PEM -in harbor.dev.crt -out harbor.dev.cert

Copiamos los certificados a la carpeta de Docker.

cp harbor.dev.cert /etc/docker/certs.d/harbor.dev/
cp harbor.dev.key /etc/docker/certs.d/harbor.dev/
cp ca.crt /etc/docker/certs.d/harbor.dev/

Reiniciamos el servicio de Docker para que coja los nuevos certificados.

systemctl restart docker

Configurar el yaml de Harbor

En la carpeta en la que deberíamos estar, tras descomprimir el instalador, hay un archivo llamado harbor.yml. Este archivo es el que vamos a modificar para configurar nuestro Harbor.

Recuerda personalizar los campos hostname, http, https, harbor_admin_password... etc, con tus valores y preferencias. En mi caso, para este laboratorio, comentaré las líneas de https y certificate para que no me de problemas con los certificados SSL ya que optaré por usar http y proxy inverso en el futuro.

Ejecutar el instalador

Importante, o lo ejecutas como root, o asegúrate que tu usuario tiene permisos para ejecutar docker y sobre la carpeta 'common'. Sino te dará un error de permisos.

Además, este script, verificará que tienes docker y docker compose instalado. Si no lo tienes, te recomiendo que veas este vídeo de mi curso de docker donde explico como instalar Docker Engine en Linux

Para instalarlo, simplemente ejecutamos el script install.sh y esperamos a que termine.

./install.sh

Puede ser que aún teniendo docker compose instalado, te de un error de que no lo encuentra. Esto es porque Harbor intenta buscar el binario de docker-compose (en su versión antigua) ya que ahora se invoca con docker compose. Para solucionarlo, usa la guía de instalación standalone para solucionar estos problemas de compatibilidad

Instalación de Harbor​

Requisitos mínimos​

Decargar el instalador​

Habilitar HTTPS​

Generar certificados SSL con OpenSSL​

Configurar el yaml de Harbor​

Ejecutar el instalador​

Graph View