2. 程式人生 > >Docker--------registry安全認證搭建 [ Https ]

Docker--------registry安全認證搭建 [ Https ]

阿新 發佈:2017-06-13
registry https docker hub

1. 背景

docker中要使用鏡像,一般會從本地、docker Hup公共倉庫和其它第三方公共倉庫中下載鏡像,一般出於安全和外網(墻)資源下載速率的原因考慮企業級上不會輕易使用。那麽有沒有一種辦法可以存儲自己的鏡像又有安全認證的倉庫呢? ----> 企業級環境中搭建自己的安全認證私有倉庫。

由於Docker1.3.X版本之後docker registry所采用https,前章節docker http部屬最後docker push/pull會報錯提示,需要做特殊處理。


2. 私有倉庫有優勢:

一、節省網絡帶寬,針對於每個鏡像不用每個人都去中央倉庫上面去下載,只需要從私有倉庫中下載即可;

二、提供鏡像資源利用,針對於公司內部使用的鏡像,推送到本地的私有倉庫中,以供公司內部相關人員使用。


3. 環境:

[[email protected] ~]# cat /etc/redhat-release 
CentOS Linux release 7.2.1511 (Core) 
[[email protected] ~]# uname -r
3.10.0-327.36.3.el7.x86_64
[[email protected] ~]# hostname
docker.lisea.cn


4. 服務器Ip地址

192.168.60.150


5. 搭建CA,實現加密傳輸

* 安裝openssl相關包

[[email protected] ~]# yum install pcre pcre-devel zlib-devel openssl openssl-devel -y


* 切換工作路徑至CA目錄

[[email protected] ~]# cd /etc/pki/CA

* 生成根密鑰

[ genrsa ] 為算法

[ private/cakey.pem ] 為密鑰的生成的位置

[ 2048 ] 為密鑰長度

[[email protected] CA]# openssl genrsa -out private/cakey.pem 2048


* 生成根證書,執行命令後依次要輸入:國家代碼(兩個英文字母)、省份、城市、組織、單位、郵箱。

[[email protected] CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem


6. 為nginx生成密鑰(在nginx服務器)

* 創建ssl目錄

[[email protected] CA]# mkdir /etc/pki/CA/ssl


* 切換工作路徑至SSL目錄

[[email protected] CA]# cd /etc/pki/CA/ssl/


* 創建nginx密鑰

  [ genrsa ] 為算法

 [ -out ] 指定輸出文件名

 [ 2048 ] 為密鑰長度

[[email protected] ssl]# openssl genrsa -out nginx.key 2048


* 為nginx生成證書簽署請求[A challenge password與An optional company name 直接回車處理]

[[email protected] ssl]# openssl req -new -key nginx.key -out nginx.csr


* 私有CA根據請求來簽發證書(在CA服務器即docker倉庫服務器,需要將請求發送給CA)

[ 出現提示時,輸入兩次y ]

[[email protected] ssl]# touch /etc/pki/CA/index.txt
[[email protected] ssl]# touch /etc/pki/CA/serial
[[email protected] ssl]# echo "00" > /etc/pki/CA/serial
[[email protected] ssl]# openssl ca -in nginx.csr -out nginx.crt


7. 安裝並配置nginx

* 安裝 nginx 

[[email protected] ssl]# yum install nginx -y


* 修改nginx.conf配置

    upstream registry {
        server 192.168.60.150:5000;
    }

    server {
        listen       443 ssl;
        server_name  docker.lisea.cn

        #ssl conf
        ssl on;
        ssl_certificate /etc/pki/CA/ssl/nginx.crt;
        ssl_certificate_key /etc/pki/CA/ssl/nginx.key;
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_pass http://registry;
            proxy_set_header Host $host;
            proxy_set_header X-Forward-FOr $remote_addr;
        }

    }


* 啟動或重啟nginx

[[email protected] nginx]# systemctl restart nginx


8. 安裝並配置docker

* 安裝docker

[[email protected] ~]# yum install docker -y


* 配置docker [ /etc/sysconfig/docker ] 添加內容至 DOCKER_OPTS

DOCKER_OPTS=" --insecure-registry docker.lisea.cn --tlsverify --tlscacert /etc/pki/CA/cacert.pem"


* 配置hosts

[[email protected] ~]# tail -1 /etc/hosts
192.168.60.150 docker.lisea.cn


* 啟動docker

[[email protected] ~]# systemctl start docker


* 拉取 registry鏡像,例如在daocloud.io/registry這個私有鏡像倉庫

[[email protected] ~]# docker pull daocloud.io/registry


* 創建本地鏡像存儲目錄

[[email protected] ~]# mkdir /data/local_docker_registry -p


* 運行容器

設置容器名稱為local_docker_registry

掛在鏡像內docker鏡像倉庫/var/lib/registry 至本地/data/local_docker_registry目錄

端口映射出5000端口

 --restart=always讓其跟隨docker啟動時啟動

[[email protected] ~]# docker run --name local_docker_registry --restart=always -d -v /data/local_docker_registry:/var/lib/registry -p 5000:5000 daocloud.io/registry


9. 測試倉庫是否可用

* curl 測試

[[email protected] ~]# curl -i -k https://docker.lisea.cn
HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Mon, 12 Jun 2017 21:58:57 GMT
Content-Type: text/plain; charset=utf-8
Content-Length: 0
Connection: keep-alive
Cache-Control: no-cache


10. 客戶機操作[ docker機 ]

* 拷貝ca證書並重命名

[[email protected]~]# scp [email protected]:/etc/kpi/CA/cacert.pem /etc/pki/tls/certs/ca-certificates.crt


* 創建倉庫證書目錄

[[email protected] ~]# mkdir /etc/docker/certs.d/docker.lisea.cn


* 復制證書並重命名至此倉庫證書目錄

[[email protected] ~]# cp /etc/pki/tls/certs/ca-certificates.crt /etc/docker/certs.d/docker.lisea.cn/ca.crt

* 配置hosts文件

[[email protected]~]# tail -1 /etc/hosts
192.168.60.150 docker.lisea.cn


* curl 測試

[[email protected] ~]# curl -i -k https://docker.lisea.cn
HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Mon, 12 Jun 2017 22:06:17 GMT
Content-Type: text/plain; charset=utf-8
Content-Length: 0
Connection: keep-alive
Cache-Control: no-cache


* 註冊賬戶

[[email protected] ~]# docker login -u lisea -p 123456 -e [email protected] https://docker.lisea.cn

* 登陸賬戶

[[email protected] ~]# docker login https://docker.lisea.cn
Username (lisea): lisea
Password: 
Login Succeeded


11. 總結



以需求驅動技術,技術本身沒有優略之分,只有業務之分。




本文出自 “sea” 博客,請務必保留此出處http://lisea.blog.51cto.com/5491873/1934731

Docker--------registry安全認證搭建 [ Https ]

相關推薦

Docker--------registry安全認證搭建 [ Https ]

registry https docker hub 1. 背景 docker中要使用鏡像,一般會從本地、docker Hup公共倉庫和其它第三方公共倉庫中下載鏡像,一般出於安全和外網(墻)資源下載速率的原因考慮企業級上不會輕易使用。那麽有沒有一種辦法可以存儲自己的鏡像又有安全認證的倉庫呢?

Docker 私有倉庫 Harbor registry 安全認證搭建 [Https]

engine root sha2 create rtu r12 -i 啟動 鏡像倉庫 Harbor源碼地址:https://github.com/vmware/harborHarbort特性:基於角色控制用戶和倉庫都是基於項目進行組織的, 而用戶基於項目可以擁有不同的權限。

搭建docker registry (htpasswd 認證)

name crt doc realm key eal path rsa virt 1,拉取docker registry 鏡像 docker pull registry 2,創建證書存放目錄 mkdir -p /home/registry 3,生成CA證書E

Docker--------registry私有倉庫搭建 [ Http ]

registry docker docker hub 1. 背景 docker中要使用鏡像,一般會從本地、docker Hup公共倉庫和其它第三方公共倉庫中下載鏡像,一般出於安全和外網(墻)資源下載速率的原因考慮企業級上不會輕易使用。那麽有沒有一種辦法可以存儲自己的鏡像的倉庫呢? ----&

iOS ASIHTTPRequest、 NSURLRequest、UIWebView、WKWebView跳過安全認證請求https

一 .ASIHTTPRequest ASIHTTPRequest *request = [ASIHTTPRequest requestWithURL:url]; [request setValidatesSecureCertificate:NO]   ASIFormData

Docker registry ssl認證和訪問控制

一:實驗環境以及需求 實驗環境:兩臺cnetos7.2版本虛擬機器。(資源允許最好準備三臺,一臺做私有倉庫,一臺做上傳映象伺服器,一臺做下載映象伺服器) 虛擬機器1:192.168.1.200  虛擬機器2:192.168.1.201 伺服器防火牆和selinux關閉。hosts根據實際情況做解析,每

使用keyfile安全認證搭建MongoDB副本集

本次在一臺伺服器上搭建,根據埠區分不同程序。架構為一主兩從,其中一個從節點為投票節點。 IP 埠 角色 10.238.162.33 27017 PRIMARY 10.23

Docker中的Nginx搭建HTTPS環境

隨著蘋果和微信小程式強制使用HTTPS協議傳輸,越來越多的公司和企業開始使用HTTPS。下面我來分享下給Docker容器中的Nginx搭建HTTPS環境 什麼是HTTPS 超文字傳輸安全協議(英語:Hypertext Transfer Proto

Docker Registry私有倉庫搭建

nco transfer api ret com and mach reg mman 部署registry 準備一個registry.mydocker.com 的證書 對私有registry取名registry.mydocker.com 啟動registry容器 [root

關於Docker Registry v2的搭建

轉自:http://blog.csdn.net/felix_yujing/article/details/51564739 新版 registry v2對映象儲存格式進行了重新設計,並且和舊版還不相容。registry v2是由go語言開發,docker從1.6版本開始支援

Docker私有倉庫Registry認證搭建

docker registry mongodb 前言: 首先,Docker Hub是一個很好的用於管理公共鏡像的地方,我們可以在上面找到想要的鏡像(Docker Hub的下載量已經達到數億次);而且我們也可以把自己的鏡像推送上去。但是,有的時候我們的使用場景需要擁有一個私有的鏡像倉庫用於管理

在 ubuntu 搭建需要簽名認證的私有 docker registry 倉庫

.com chunked required 社區 apach proto remote tps grep 前言 在前面的一篇博客《在 ubuntu 搭建 docker registry 私有倉庫》介紹了一種簡單的搭建 docker 私有倉庫了的方法。但是當時使用的是修改“-

docker registry帶ssl認證的私有倉庫搭建

1.首先docker pull registry預設下載最新版的映象,我這邊是2.6.2版本 2.這邊考慮私有倉庫部署的伺服器可能沒有網路,可以使用docker save -o registry.

docker registry 搭建流程(含CA認證

docker registry 搭建(含CA認證) 環境說明 終端 作業系統 其他 服務端 Centos7 IP:10.192.3.230 客戶端A

搭建基於TLS認證Docker Registry

Docker Registry 生成SSL證書 $ openssl req -newkey rsa:4096 -nodes -sha256 -keyout alleyz.key -x509

搭建企業級Docker Registry -- Harbor

統計 sig 測試 curl 支持 -m log 技術分享 scp Harbor 是一個企業級的 Docker Registry,可以實現 images 的私有存儲和日誌統計權限控制等功能,並支持創建多項目(Harbor 提出的概念),基於官方 Registry V2 實現

docker registryhttps錯誤解決

sta 內容 java代碼 ecs string cas reg lag container 從docker1.3.2版本開始默認docker registry使用的是https,當你用docker pull 非https的docker regsitry的時候會報下面錯誤:

在 ubuntu 搭建 docker registry 私有倉庫

強制 結果 版本 話費 doc 除了 secure usr docker 為什麽要搭建 docker 私有倉庫 原因有幾個: 項目需要,不希望將項目放到 docker hub 上。 環境需求,考慮網絡、效率的問題,希望在私有服務器上建立自用的倉庫,提高便利性和訪問速度。

搭建私服-docker registry

dockerDocke官方提供了Docker Hub網站來作為一個公開的集中倉庫。然而,本地訪問Docker Hub速度往往很慢,並且很多時候我們需要一個本地的私有倉庫只供網內使用。Docker倉庫實際上提供兩方面的功能,一個是鏡像管理,一個是認證。前者主要由docker-registry項目來實現,通過ht

快速搭建Docker Registry私有倉庫

-i image 客戶 yml 倉庫 mkdir 運行 emctl color 前提條件: 服務器已經安裝Docker(我的服務器是CentOS 7) 服務器已經安裝Docker Compose 滿足以上條件時就可以開始搭建了: 1. 生成用戶密碼文件:(運行