当前位置:   article > 正文

Docker私有仓库_docker-registry-web 支持的tls

docker-registry-web 支持的tls

Docker官方提供了公有的registry:Docker Hub,企业内部可自建私有仓库。常见的可以有2种方式:docker-registry或基于gitlab

【registry方式】

1. openssl生成证书

openssl req -newkey rsa:4096 -nodes -sha256 -keyout registry-test.key -x509 -days 365 -out registry-test.crt

输入相应的国家/省/市/公司等,例如:

Issuer: C=cn, ST=gd, L=gz, O=xj, OU=xj, CN=xj.com emailAddress=123@xj.com

注意 CN 设置为相应域名,如: xj.com

2. 本机docker认证

在 /etc/docker/certs.d 下创建目录:xj.com:1234,然后把.crt文件(仅该文件即可,key可以不用)COPY到目录下

3. 重启DOCKER Daemon

systemctl restart docker

4. 创建加密文件

htpasswd -bc htpasswd user 123456  ----目前使用不起作用,后续再跟进

htpasswd -cB htpasswd user1  ----创建htpasswd文件,测试OK

htpasswd -B htpasswd user2  ---在htpasswd文件中追加用户,测试OK

5. 部署registry

1) docker pull registry:2

2) 通过docker run或docker-compose启动,其中可设置认证方式/加密文件路径/证书key/证书等

docker run启动:

docker run  -d  -p 1234:5000  --restart=always  --name myregistry \

  -v /home/apps/aa/common/conf/registry/auth:/auth \

  -e  "REGISTRY_AUTH=htpasswd" \

  -e  "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \

  -e  REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \

  -v /home/apps/aa/common/conf/registry/certs:/certs \

  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/aa.crt \

  -e REGISTRY_HTTP_TLS_KEY=/certs/aa.key \

  registry:2

6. 部署WebUI

两个 web ui,一个是 docker-registry-frontend,另一个是 hyper/docker-registry-web。

这两个 ui 功能差不多,只需任选其一就可以了。截止目前,docker-registry-frontend 的功能还不完善,没有删除镜像的功能,只能浏览。后一个同时具备 删除和浏览 的功能。

1)docker-registry-frontend方式

参考registry-frontend.yml ,启动后,必须使用https://xj.com:8443 进行访问,目前只能查看,不能修改,删除。

官网:https://github.com/kwk/docker-registry-frontend

2)docker-registry-web方式

docker run -d -p 8080:8080 --name registry-web \

          -e REGISTRY_AUTH_ENABLED=false \

          -e REGISTRY_READONLY=false \

          -e REGISTRY_URL=https://xj.com:1234/v2 \

          -e REGISTRY_TRUST_ANY_SSL=true \

          -e REGISTRY_NAME=xj.com:1234 hyper/docker-registry-web

3. docker使用registry认证

1) 上述registry设置了登陆认证:用户名/密码+证书。那么访问的各机器的 /etc/docker/certs.d 目录下需有对应registry的证书+使用密码登陆,客户端机器不需要重启docker。

2) docker login -u username -p password xj.com:1234 //上面已设置证书,用户名/密码是上面生成的 user1/123456

3) docker push xj.com:134/aa-html/aa-projectname  //用户username需有该registry所关联项目aa-html/aa-projectname的push权限,例如hello用户没有该项目的权限那么无法push。

注意:

1. 若证书过期,直接上上面步骤替换证书,并重启registry即可。

2. 主机上的CA.crt证书和私有仓库上的CA.crt证书不匹配

Error response from daemon: Get https://xj.com:1234/v1/users/: x509: certificate signed by unknown authority

3. docker push时,image名称必须以xj.com:1234开头,否则会报错:denied: requested access to the resource is denied。 如:

docker tag consul xj.com:1234/consul:1.0.0

docker login -u user -p 123456 xj.com:1234

docker push xj.com:1234/consul:1.0.0

gitlab方式】

1. openssl生成证书

同上

2. 本机docker认证

同上

3. 重启DOCKER Daemon

同上

4. gitlab(安装在/var/opt目录下)本身自带了 registry 的插件,在安装后,会自动有对应的配置,内部通过nginx启动,相应目录:/var/opt/gitlab/nginx和/var/opt/gitlab/registry。/nginx/conf下有对应的配置文件 gitlab-registry.conf,里面有监听端口/ssl的配置等,可参考 gitlab-registry.conf

5. 替换.conf中ssl配置的路径中的证书,并赋权限600,如 /etc/gitlab/ssl 下

6. 重启nginx-registry

7. 设置某个项目使用registry

8. web页面中删除tag,也仅仅是删除索引,未真正删除数据

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/95790
推荐阅读
相关标签
  

闽ICP备14008679号