我是靠谱客的博主 粗暴路人,最近开发中收集的这篇文章主要介绍Docker Register部署与基本认证,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

准备

  1. 基本事项
  2. Docker环境
  3. 登录授权方式
  4. 镜像存放地址
  5. HTTPS外网访问
  6. 启动Docker Registry

1. 基本事项

本篇涉及到的数据文件都放在/data目录下, 其中会有三个子目录

/data/auth/ 基本的用户名密码认证文件存放地址

/data/certs/ docker registry 镜像https访问射击到的证书与密钥的存放地址

/data/registry/ docker registry镜像的存放地址, 当push镜像到镜像服务器之后,镜像就是存放在这里

2. Docker环境

docker的安装,全称参考官网介绍: https://docs.docker.com/engine/installation/linux/docker-ce/debian/#install-docker-ce

3. Registry登录认证

Registry Server的登录认证有多种方式,这里我们使用常规情况下的一种认证,基本的用户名密码认证,这种认证方式也跟nginx的基本http认证相同, 使用一个htpasswd文件来存放认证的用户名跟密码, 这个文件的操作是通过htpasswd这个命令来添加与管理用户密码的.

如果系统中没有这个命令,可通过下面命令安装

apt-get install apache2-utils

通过htpasswd命令生成用户管理文件并添加一个用户
htpasswd -cBb auth/htpasswd <username> <password>

往现有的文件里面添加一个用户
htpasswd -Bb auth/htpasswd <username> <password>

Docker官网文档地址: https://docs.docker.com/registry/deploying/#restricting-access

4. 镜像存放地址

通常正式环境我们的镜像会存储在外部,而不是在docker container里面, 所以我们需要在外部准备一个目录,在启动registry镜像的时候,通过-v 参数映射到container内部, 此教程里面的目录是/data/registry/

5. HTTPS外网访问

外网访问必须要用https, 主要是涉及到证书的问题, 通常我们可以使用自签名证书,

我们分docker register server端跟 docker pull 客户端两部分来讲

server端不涉及根证书添加到信任区域问题,

client端要访问自签名证书的服务器,必须添加根证书到client的信任区

BUT: 当docker register server需要pull/push镜像的时候,就需要把根证书添加到信任区, 这里有个原则,就是哪里需要pull/push镜像,那台机器就需要添加根证书

添加自签名根证书到linux信任区(Debian, 适用于Ubuntu)

这个步骤只需要用到docker pull的机器上做, docker registry server非必须

证书存放区域: /usr/share/ca-certificates/

Copy证书到证书存放地址:

wget http://agilelabs.net/certifications/publicauthorities/agilelabs_root_ca.pem/ –O /usr/share/ca-certificates/agilelabs_root_ca.crt

重新加载新添加的跟证书:

dpkg-reconfigure ca-certificates

选择YES=>通过”空格”键选择刚添加的根证书=> Tab到底部的OK=>回车选择

添加新的根证书之后需要重启Docker,让 Docker能识别新的证书

service docker restart

6. 启动Docker Registry

mkdir -p /data/registry
mkdir -p /data/auth
mkdir -p /data/certs


docker run -d
--restart=always
--name registry
-v /data/registry:/var/lib/registry
-v /data/auth:/auth
-e "REGISTRY_AUTH=htpasswd"
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm"
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd
-v /data/certs:/certs
-e REGISTRY_HTTP_ADDR=0.0.0.0:443
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/registry.niusys.com.crt
-e REGISTRY_HTTP_TLS_KEY=/certs/niusys.key
-p 443:443
registry:2

以上算是对这段时间研究Docker以来,搭建Registry的总结。

自签名证书的部分可以通过 http://agilelabs.net 非常方便的生成与下载.

无论是密钥还是证书都可以通过右键复制链接, 在Linux里面通过 wget http://agilelabs.net/下载地址 –O 要保存的文件名

比如下载根证书并存储到/usr/share/ca-certificates目录下的agilelabs_root_ca.crt文件: wget http://agilelabs.net/certifications/publicauthorities/agilelabs_root_ca.pem/ –O /usr/share/ca-certificates/agilelabs_root_ca.crt


补充 1 - 通过NGINX为Docker Registry配置反向代理

我们知道https是使用的443端口,如果Docker Registry的Container端口映射到机器的443端口,那意味着这个机器再没办法部署其他https的服务, 在这里准备通过nginx反向代理Docker Registry,做到443端口的多服务共享, 我在上面的启动配置里面把 –p 443:443换成了 –p 4433:443, 下面是nginx的docker registry反向代理配置

upstream internal_docker_registry  {
     server localhost:4433; # registry.renhl.com
}

server {
     listen 443 ssl;
     server_name registry.niusys.com

    ssl on;
     ssl_certificate      /data/certs/registry.niusys.com.crt;
     ssl_certificate_key  /data/certs/niusys.key;
     ssl_session_cache    shared:SSL:10m;
     ssl_session_timeout 5m;
     ssl_protocols    TLSv1.1 TLSv1.2;

    client_max_body_size 0; # disable any limits to avoid HTTP 413 for large image uploads

    # required to avoid HTTP 411: see Issue #1486 (https://github.com/docker/docker/issues/1486)
     chunked_transfer_encoding on;

    location / {
         proxy_pass https://internal_docker_registry;
         proxy_read_timeout  90;

        proxy_http_version 1.1;
         proxy_set_header Upgrade $http_upgrade;
         proxy_set_header Connection $http_connection;
         proxy_set_header Host $host;
         proxy_set_header X-Real-IP $remote_addr;
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header X-Forwarded-Proto $scheme;
         proxy_cache_bypass $http_upgrade;
     }
}

转载于:https://www.cnblogs.com/feinian/p/7857430.html

最后

以上就是粗暴路人为你收集整理的Docker Register部署与基本认证的全部内容,希望文章能够帮你解决Docker Register部署与基本认证所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(63)

评论列表共有 0 条评论

立即
投稿
返回
顶部