docker搭建私有仓库(ssl、身份认证)

环境:CentOS 7、Docker 1.13.1

CentOS 7相关:

https://www.cnblogs.com/ttkl/p/11041124.html

Docker相关(服务端):

  • 安装docker
yum -y install docker-io
  • 启动docker,并配置开机启动
systemctl start docker

systemctl enable docker
  • 拉取registry镜像
docker pull registry:2
  • 生成ssl密钥
# 创建ssl相关目录

mkdir ~/certs

# 生成ssl密钥

openssl req -newkey rsa:2048 -nodes -sha256 -keyout certs/test.registry.com.key -x509 -days 365 -out certs/test.registry.com.crt
  • 创建用户
# 创建registry登陆用户文件夹

mkdir ~/auth

# 创建private用户

docker run --entrypoint htpasswd registry:2 -Bbn admin admin > ~/auth/htpasswd

# 删除运行的容器

docker stop [CONTAINER ID]

docker rm [CONTAINER ID]
  • 后台运行容器(私有仓库)
docker run -d -p 5000:5000 --restart=always --name registry \

           -v ~/auth:/auth \

           -e "REGISTRY_AUTH=htpasswd" \

           -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \

           -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \

           -v ~/data:/var/lib/registry \

           -v ~/certs:/certs \

           -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/test.registry.com.crt \

           -e REGISTRY_HTTP_TLS_KEY=/certs/test.registry.com.key \

           registry:2

可能遇到以下问题:

#1、open /certs/xx.crt: permission denied(类似问题)

    解决:①chcon -Rt svirt_sandbox_file_t ~/certs/

         ②禁用selinux即可(详细请看centos7的安装)

#2、failed with status: 401 Unauthorized

    解决:输入正确的用户名和密码

#3、The push refers to a repository [x.x.x.x:5000/registry]

    Get https://x.x.x.x:5000/v1/_ping: x509: cannot validate certificate for x.x.x.x because it doesn't contain any IP SANs

    解决:*修改/etc/pki/tls/openssl.cnf配置[ v3_ca ]

              [ v3_ca ]

              # Extensions for a typical CA

              subjectAltName = IP:x.x.x.x

            *重启docker

            *重新配置

#4、The push refers to a repository [x.x.x.x:5000/registry]

    Get https://x.x.x.x:5000/v1/_ping: x509: certificate signed by unknown authority

    解决:添加私有证书到docker

            *在/etc/docker/certs.d/目录下创建x.x.x.x:5000文件夹

            *复制~/certs/*.crt文件到x.x.x.x:5000文件夹下即可

Docker相关(客户端):

tls加密通讯:

  • 创建文件夹
mkdir /ssl

cd /ssl
  • 创建ca密钥
openssl genrsa -aes256 -out ca-key.pem 4096
  • 创建ca证书
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
  • 创建服务器私钥
openssl genrsa -out server-key.pem 4096
  • 签名私钥
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
  • 使用ca证书与私钥证书签名
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
  • 生成客户端密钥
openssl genrsa -out key.pem 4096
  • 签名客户端
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
  • 创建配置文件
echo extendedKeyUsage=clientAuth > extfile.cnf
  • 签名证书
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
  • 删除多余文件
rm -rf ca.srl client.csr extfile.cnf server.csr

docker配置文件:

# 查看docker配置文件

systemctl status docker.service

# 修改配置文件,添加两行内容

ExecStart=...

          --tlsverify --tlscacert=/ssl/ca.pem --tlscert=/ssl/server-cert.pem --tlskey=/ssl/server-key.pem

          -H unix:///var/run/docker.sock -H tcp://0.0.0.0:5555

          ...

# 重启docker

systemctl daemon-reload

systemctl restart docker.service

本机别名:

Linux:

# 配置文件位置

/etc/hosts

# 添加一行内容

ip    servername

Windows:

# 配置文件位置

C:\Windows\System32\drivers\etc\hosts

# 添加一行内容

ip    servername

[Docker]docker搭建私有仓库(ssl、身份认证)的更多相关文章

  1. Docker:搭建私有仓库(Registry 2.4)

    一.背景 首先,Docker Hub是一个很好的用于管理公共镜像的地方,我们可以在上面找到想要的镜像(Docker Hub的下载量已经达到数亿次):而且我们也可以把自己的镜像推送上去.但是,有的时候, ...

  2. docker registry-v2 搭建私有仓库

    参考官方文档:https://docs.docker.com/registry/deploying/ 参考 :http://www.tuicool.com/articles/6jEJZj 本例子使用两 ...

  3. Docker Registry搭建私有仓库

    利用Registry镜像搭建Docker私有仓库遇到了很多坑,说来也是找到的资料都是杂而不精的东西,所以也没少走了弯路,现在回过头看去感觉好多坑还是别人给挖的··· 不过努力的最终结果还是好的,因为找 ...

  4. Ubuntu Docker Registry 搭建私有仓库

    服务器版本 Ubuntu 16.04 LTS. 安装命令: $ docker run -d -v /opt/registry:/var/lib/registry -p 5000:5000 --rest ...

  5. docker之搭建私有仓库

    一.私有仓库 1.防止网络原因:下载慢,访问不到的情况,需要在内网搭建一个私有仓库. 二.仓库镜像下载 [root@node03 ~]# docker pull registry 三.创建私有仓库容器 ...

  6. Docker 在搭建私有仓库配置镜像时候报错

    今天搞私有镜像报了个错 ,看了,好久原来是 多了个空格 服务失败,因为控制进程退出时带有错误代码.参见"systemctl状态docker".详细信息参见"服务" ...

  7. docker进阶-搭建私有企业级镜像仓库Harbor

    为什么要搭建私有镜像仓库   对于一个刚刚接触Docker的人来说,官方的Docker hub是用于管理公共镜像.既然官方提供了镜像仓库我们为什么还要去自己搭建私有仓库呢?虽然也可以托管私有镜像.我们 ...

  8. 菜鸟系列docker——搭建私有仓库harbor(6)

    docker 搭建私有仓库harbor 1. 准备条件 安装docker sudo yum update sudo yum install -y yum-utils device-mapper-per ...

  9. Docker搭建私有仓库

    1,下载仓库镜像. docker pull  registry    //主要用于搭建私有仓库的. 2,将宿主机端口映射到容器中去,容器的5000端口是不能更改的. docker run -d -p ...

随机推荐

  1. MySql常用字符集

    常用字符集 位(bit):是计算机 内部数据 储存的最小单位,11001100是一个八位二进制数. 字节(byte):是计算机中 数据处理 的基本单位,习惯上用大写 B 来表示,1B(byte,字节) ...

  2. echart4数据管理组件dataset学习

    背景 如果后台数据固定,如何动态定制其前端数据展示方式呢?也就是说同一种数据,如何被多个前端Echarts图表复用呢?最近在研究一种数据展示可配置化的功能,然后发现了echart4.0的dataset ...

  3. Jmeter之压测探索和结果分析

    1.copy过来的,很有道理的一句话~ 最大并发数:取决于你的业务类型,数据量,处理时的资源需求等,具体多少,需要做一些性能测试来衡量 确定待测试的场景,设计脚本,不断增加并发数量. 2.CPU压不上 ...

  4. Codeforces1263D-Secret Passwords

    题意 给n个字符串,两个字符串之间如果有相同的字符,那么两个就等价,等价关系可以传递,问最后有多少个等价类. 分析 考虑并查集或者dfs联通块,如果是并查集的话,对于当前字符串的某个字符,肯定要和这个 ...

  5. 解决github pages和github .md文件图片不显示

    博客园上传的图片,在github上无法显示. 在github项目下建立img文件夹,放上图片 两种方式 项目绝对路径 https://raw.githubusercontent.com/用户名/项目名 ...

  6. webmagic学习之路-1:采集安居客列表页测试

    ---恢复内容开始--- package com.action; import java.util.ArrayList; import java.util.List; import java.util ...

  7. (一)初识JavaFX

    JavaFX是一个强大的图形和多媒体处理工具包集合,它允许开发者来设计.创建.测试.调试和部署富客户端程序,并且和Java一样跨平台. JavaFX应用程序 由于JavaFX库被写成了Java API ...

  8. 【强化学习】MOVE37-Introduction(导论)/马尔科夫链/马尔科夫决策过程

    写在前面的话:从今日起,我会边跟着硅谷大牛Siraj的MOVE 37系列课程学习Reinforcement Learning(强化学习算法),边更新这个系列.课程包含视频和文字,课堂笔记会按视频为单位 ...

  9. git 的用法和命令

    学无止境,精益求精! 十年河东,十年河西,莫欺少年穷! 学历代表你的过去,能力代表你的现在,学习代表你的将来! 很久没写博客了,都是工作太忙闹的,索性今儿转发一篇!省的博客园太冷清了... Git图形 ...

  10. pyquery 库的使用

    from pyquery import PyQuery as pq # 文件勿命名为 pyquery.py,会发生冲突 # 字符串初始化 html = ''' <div id="pag ...