【K8S 二】搭建Docker Registry私有仓库(自签发证书+登录认证)(K8S和非K8S环境下)

置顶 已于 2022-08-02 12:31:14 修改
阅读量5.9k 收藏 7
点赞数
分类专栏: 云计算-容器云 文章标签: docker registry
于 2020-11-19 15:58:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/avatar_2009/article/details/109807878
版权

目录

生成证书(更新:2022-08-02)

单SAN(Subject Alternative Name)的场景

多SAN(Subject Alternative Name)场景

创建openssl配置文件cert-info.conf 

 创建证书

 查看生成的证书

docker配置证书,以访问registry

将生成的私有证书追加到系统的证书管理文件

 生成认证文件

 定义K8S下启动配置文件

应用启动配置创建Docker Registry

 CURL验证仓库

Docker验证

K8S应用该私有仓库

非K8S环境下启动Docker Registry

生成证书(更新:2022-08-02)

Go 1.15 版本开始废弃 CommonName,因此推荐使用 SAN 证书。所以下面的证书创建方式就不能用了,否则会报错:

Error response from daemon: Get "https://192.168.186.96:8443/v2/": x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0

# 创建CA证书
openssl genrsa -out ca.key 4096
openssl req -x509 -new -nodes -sha512 -days 36500  -subj "/CN=192.168.186.96"  -key ca.key  -out ca.crt

# 创建私钥
openssl genrsa -out registry.key 4096
openssl req  -new -sha512 -subj "/CN=192.168.186.96"  -key registry.key  -out registry.csr

# v3.ext文件
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth 
subjectAltName = @alt_names
[alt_names]
DNS.1=registry-in-96
IP.1=192.168.186.96
EOF
# 创建证书
openssl x509 -req -sha512 -days 36500 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in registry.csr -out registry.crt
ll
total 28
-rw-r--r--. 1 root root 1805 Aug  2 11:54 ca.crt
-rw-r--r--. 1 root root 3243 Aug  2 11:54 ca.key
-rw-r--r--. 1 root root   17 Aug  2 11:56 ca.srl
-rw-r--r--. 1 root root 1850 Aug  2 11:56 registry.crt
-rw-r--r--. 1 root root 1590 Aug  2 11:55 registry.csr
-rw-r--r--. 1 root root 3243 Aug  2 11:55 registry.key
-rw-r--r--. 1 root root  253 Aug  2 11:55 v3.ext

我们对比一下上面的证书创建过程以及下面的创建命令,会发现:下面仅仅只是上面CA证书和秘钥的创建而已

单SAN(Subject Alternative Name)的场景

openssl req -subj '/C=CN/ST=BJ/L=BeiJing/OU=IAM5.0/CN=rhel-8-11.8' \
-newkey rsa:4096 -nodes -sha256 -keyout rhel-8-11.8.key \
-x509 -days 365 -out rhel-8-11.8.crt

多SAN(Subject Alternative Name)场景

创建openssl配置文件cert-info.conf 

[ req ]
default_bits        = 4096
default_md          = sha256
default_keyfile     = server-key.pem
distinguished_name  = subject
req_extensions      = extensions
x509_extensions     = extensions
string_mask         = utf8only

[ subject ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN

stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = BJ

localityName                = Locality Name (eg, city)
localityName_default        = BeiJing

organizationName            = Organization Name (eg, company)
organizationName_default    = Ultrapower.com.cn

commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_default          = rhel-8-11.8

emailAddress                = Email Address
emailAddress_default        = 

[ extensions ]

subjectKeyIdentifier        = hash
authorityKeyIdentifier      = keyid,issuer

basicConstraints            = CA:TRUE
#basicConstraints            = CA:FALSE
#keyUsage                    = nonRepudiation, digitalSignature, keyEncipherment
#extendedKeyUsage            = serverAuth
subjectAltName              = @alternate_names
nsComment                   = "OpenSSL Generated Certificate"

[ alternate_names ]

DNS.1       = rhel-8-11.8
IP.1        = 192.168.11.8

 创建证书

openssl req -new -newkey rsa:4096 -nodes \
-keyout rhel-8-11.8.key -x509 -days 365 -out rhel-8-11.8.crt \
-config cert-info.conf

 查看生成的证书

openssl x509 -in rhel-8-11.8.crt -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            ……
        Signature Algorithm: ……
        Issuer: C = CN, ST = BeiJing, L = Chaoyang, OU = IAM5.0, CN = rhel-8-11.8
        Validity
            Not Before: Nov 19 04:49:44 2020 GMT
            Not After : Nov 19 04:49:44 2021 GMT
        Subject: C = CN, ST = BeiJing, L = Chaoyang, OU = IAM5.0, CN = rhel-8-11.8
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (4096 bit)
                Modulus:
……

docker配置证书,以访问registry

mkdir -p /etc/docker/certs.d/192.168.186.96:8443
cp registry.crt /etc/docker/certs.d/192.168.186.96:8443

上述可以解决docker访问,否则报错:

Login did not succeed, error: Error response from daemon: Get "https://192.168.186.96:8443/v2/": x509: certificate signed by unknown authority (possibly because of "crypto/rsa: verification error" while trying to verify candidate authority certificate "192.168.186.96")

下面的方式已经不能使用。

将生成的私有证书追加到系统的证书管理文件

如果不追加到ca-bundle.crt,则docker login、pull、push都会出错。使用curl -u admin  -X GET https://192.168.186.96:8443/v2/_catalog验证,错误打印如下:

Enter host password for user 'admin':

curl: (6) Could not resolve host:  -x; Unknown error


curl: (60) SSL certificate problem: self signed certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

cat registry.crt >> /etc/pki/tls/certs/ca-bundle.crt

 生成认证文件

yum -y install httpd-tools
htpasswd -Bbn 用户名 密码 > /home/docker/auth/htpasswd

 定义K8S下启动配置文件

apiVersion: apps/v1
kind: Deployment 
metadata:
  name: docker-registry
  namespace: kube-system
spec:
  selector:
    matchLabels:
      app: docker-registry
  replicas: 1
  template:
    metadata:
      labels:
        app: docker-registry
    spec:
      nodeName: rhel-8-11.8
      containers:
      - name: docker-registry
        image: registry:2.7.1
        imagePullPolicy: IfNotPresent
        ports:
        - containerPort: 8443
        env:
        - name: REGISTRY_HTTP_ADDR
          value: "0.0.0.0:8443" 
        - name: REGISTRY_HTTP_TLS_CERTIFICATE
          value: "/certs/rhel-8-11.8.crt"
        - name: REGISTRY_HTTP_TLS_KEY
          value: "/certs/rhel-8-11.8.key"
        - name: REGISTRY_AUTH
          value: "htpasswd"
        - name: REGISTRY_AUTH_HTPASSWD_PATH
          value: "/auth/htpasswd"
        - name: REGISTRY_AUTH_HTPASSWD_REALM
          value: "Registry Realm"
        volumeMounts:
        - name: reg-data
          mountPath: /var/lib/registry
        - name: reg-auth
          mountPath: /auth
        - name: reg-certs
          mountPath: /certs
      volumes:
      - name: reg-data
        hostPath:
          path: /home/docker/images
      - name: reg-auth
        hostPath:
          path: /home/docker/auth
      - name: reg-certs
        hostPath:
          path: /home/docker/certs.d
---
apiVersion: v1
kind: Service
metadata:
  name: docker-registry
  namespace: kube-system
  labels:
    name: docker-registry
spec:
  type: NodePort
  ports:
  - port: 8443
    targetPort: 8443
    nodePort: 443
    protocol: TCP
  selector:
    app: docker-registry

应用启动配置创建Docker Registry

kubectl apply -f ~/docker-registry.yaml
kubectl get all  -n kube-system|grep registry|column -t

pod/docker-registry-5f4b67459b-cb8lr        1/1       Running        0       40s           
service/docker-registry                     NodePort  10.254.52.131  <none>  8443:443/TCP  40s
deployment.apps/docker-registry             1/1       1              1       40s           
replicaset.apps/docker-registry-5f4b67459b  1         1              1       40s

 CURL验证仓库

curl -u admin -X GET https://rhel-8-11.8/v2/_catalog
或
curl -u 用户名:密码 -X GET https://rhel-8-11.8/v2/_catalog

Enter host password for user 'admin':
{"repositories":["pause-amd64"]}

Docker验证

# docker login rhel-8-11.8

# docker tag mysql:5.6.43 rhel-8-11.8/mysql:5.6.43
# docker push rhel-8-11.8/tomcat-app:v1

# docker tag kubeguide/tomcat-app:v1 rhel-8-11.8/tomcat-app:v1
# docker push rhel-8-11.8/tomcat-app:v1

如果成功则说明仓库搭建成功了。

K8S应用该私有仓库

创建Secret

# kubectl create secret docker-registry rhel-8-11.8.reg.key --docker-server=rhel-8-11.8 --docker-username=admin --docker-password=admin_passwd --docker-email=none

查看Secret

# kubectl get secret rhel-8-11.8.reg.key -oyaml

应用Secret

编辑pod启动配置文件# vi mysql-rc.yaml 
apiVersion: v1
kind: ReplicationController
metadata:
  name: mysql
spec:
  replicas: 1
  selector:
    app: mysql
  template:
    metadata:
      labels:
        app: mysql
    spec:
      containers:
      - name: mysql
        image: rhel-8-11.8/mysql:5.6.43
        ports:
        - containerPort: 3306
        env:
        - name: MYSQL_ROOT_PASSWORD
          value: "123456"
      imagePullSecrets:
      - name: rhel-8-11.8.reg.key

应用mysql-rc.yaml,并验证是否生效!

# kubectl get po
NAME          READY   STATUS    RESTARTS   AGE
mysql-drkpc   1/1     Running   0          27s

非K8S环境下启动Docker Registry

只需提前生成证书和秘钥文件、认证文件等。上面启动命令没有带证书,下面的带了证书。

docker run -d -e REGISTRY_AUTH="htpasswd" -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
              -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
              -v /opt/registry/images:/var/lib/registry \
              -v /opt/registry/auth:/auth \
              -p 5000:5000 192.168.186.96/library/registry
docker run -d -e REGISTRY_HTTP_ADDR="0.0.0.0:8443" \
              -e REGISTRY_HTTP_TLS_CERTIFICATE="/certs/registry.crt" \
              -e REGISTRY_HTTP_TLS_KEY="/certs/registry.key" \
              -e REGISTRY_AUTH="htpasswd" -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
              -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
              -v /opt/registry/images:/var/lib/registry \
              -v /opt/registry/auth:/auth \
              -v /opt/registry/certs:/certs \
              -p 8443:8443 192.168.186.96/library/registry

itachi-uchiha
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云原生之容器编排实践-在K8S集群中使用Registry2搭建私有镜像仓库
Heartsuit的博客
02-18 1603
基于前面搭建的3节点 Kubernetes 集群,今天我们使用 Registry2 搭建私有镜像仓库,这在镜像安全性以及离线环境下运维等方面具有重要意义。作为测试环境,本次使用 Registry2 搭建私有镜像仓库,实际生产环境建议使用 Harbor;创建了一个 local-storage 的 StorageClass ,并使用本地磁盘的方式创建使用 PV ,实际建议使用 NFS 。
Docker+K8S 集群环境搭建及分布式应用部署
09-29
在现代云计算环境中,Docker 和 Kubernetes (K8S) 是两个关键的开源工具,用于构建、部署和管理...总之,Docker+K8S 的组合为开发者提供了一种强大且灵活的方式,可以在大规模集群中高效地部署和管理容器化应用程序。
用OpenSSL做自签名的证书(by quqi99)
技术并艺术着
08-19 3164
作者:张华 发表于:2014-04-18 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 注:csdn居然丢文章,这篇2014年的就丢了,这是从互联网上找到的其他网站的转载备份。 加密技术回顾 对称加密算法如RSA的特点如下: 1, 公钥加密私钥解密, 大家都可以用我的公钥给我发加密的数据了, 因为只有我有私钥才能解密. 2, 私钥加密公钥解密叫数字签名(例如所谓的UEFI secure boot就是在
持续集成与持续交付 - 使用Helm在K8S安装Registry
IT架构师
05-05 1816
平时我们在K8S上部署应用,需要从零开始写deployment配置文件。而Helm为我们简化了步骤,Helm仓库中存放了常用的应用,用户只需要配置好仓库地址,直接运行```helm install```命令即可安装常用的应用,方便快捷。
k8s中yaml文件配置指定私有镜像仓库
最新发布
weixin_45814478的博客
05-26 2969
k8s中yaml文件配置指定私有镜像仓库
SANs证书生成
Matthew__M的博客
06-08 1874
证书
k8s —— Kubernetes私服Registry&Harbor(本地镜像仓库
weixin_55985097的博客
07-20 5148
kubernetes私服 一:Registry 生产环境下,势必不能够每个机器都导入一遍从海外下载回来的镜像,这方法都不是可以长期使用的。 可以通过搭建本地的私有镜像仓库docker registry,这个镜像可以在国内直接下载)来解决这个问题。 1.部署docker registry 1.1 拉取registry镜像(master节点部署) [root@master ~]# docker pull docker.io/registry 1.2 启动registry [root@master ~]# do
Flink+Kafka搭建流式处理框架(内涵docker部署脚本和k8s多副本部署脚本)
11-03
flink搭配kafka,构建流式采集框架,提供了docker部署方式脚本和k8s多副本方式部署脚本
K8s+docker+私有仓库安装.docx
11-25
内网安装k8sdocker、可视化界面、监控
docker容器化+k8s集群部署教程以及springboot+vue部署示例
04-11
本文介绍VMware虚拟机下centos7操作系统中如何安装云原生 Kubernetes(k8s)集群、k8s可视化界面kuboard,以及如何利用docker容器化将springboot+vue项目在k8s集群中部署运行。
k8s搭建私有docker registry仓库
u012803274的博客
11-30 4568
前言 因为要测试knative,所以需要使用到docker私有仓库,所以需要自建一个docker registry,主要步骤都是遵循docker hub官方文档来的,只不过我这里使用的是k8s而不是docker compose。 存储 由于私有仓库需要用到存储,因此使用local storage的方式存储数据。 定义namespace,如下: apiVersion: v1 kind: Namespace metadata: name: docker-registry 需要自定义storageclass
docker login harbor出现错误信息x509: certificate relies on legacy Common Name field, use SANs instead
青春不流名
12-06 5018
x509: certificate relies on legacy Common Name field, use SANs instead参考文档配置证书:Harbor docs | Configure HTTPS Access to Harbor (goharbor.io)
DockerRegistry私有仓库+Harbor私有仓库搭建
lvjianzhaoa的博客
10-17 327
博文大纲: 一、搭建Registry私有仓库 、配置Harbor私有仓库 这篇博文写的是两种不同的搭建Docker私有仓库的方法,都必须要基于一个Docker服务器上,相比较而言,Harbor功能更强大些。 之前详细写过Registry私有仓库搭建方法,这里的Registry只是有一点配置不一样而已,若要搭建Registry私有仓库,最好结合:Docker镜像的创建+构建私有仓库及其使...
K8s(Kubernetes), docker中的registry是什么意思?和windows中的注册表registry有什么区别?
Sansipi的博客
09-25 1229
K8s(Kubernetes), docker中的registry是什么意思?和windows中的注册表registry有什么区别?
基于 registry,构建 K8sdocker 私有仓库
日常学习与专研的记录
06-22 614
一、host配置 对于k8s的所有节点都需要配置host, 下面的master-ip、work1-ip以及work2-ip要填入自己节点的主机ip vim /etc/hosts >>> master-ip master.com work1-ip work1 work2-ip work2 、下载registry镜像 下载镜像 docker pull registry:2 运行一个registry容器 docker run -d -v /opt/regist
k8s】--insecure-registry详解 ( 访问仓库、https、http)
m0_45406092的博客
12-15 6258
insecure-registryDocker中用来临时绕过TLS认证证书认证的参数,可以在开发、测试过程中节省时间和精力。但是在生产环境中,为了保证系统的安全性,我们需要关闭这个参数。如果确实有必要经常使用这个参数,我们可以选择使用内部CA证书来实现相对的安全性。在使用–insecure-registry时,我们需要时刻注意安全风险,并采取相应的防范措施。
K8S集群配置使用私有镜像仓库Harbor
weixin_43909790的博客
01-13 3802
K8S集群配置使用私有镜像仓库Harbor
Docker Registry搭建以及在K8S中使用
习惯了想你的博客
05-13 3302
文章目录创建registryK8S 中使用私有镜像(我还没有完成) 创建registry 1.拉取registry镜像:docker pull registry:2.7 [root@ ~]# docker pull registry:2.7 2.7: Pulling from library/registry 486039affc0a: Pull complete ba51a3b098e6: Pull complete 8bb4c43d6c8e: Pull complete 6f5f453e5f2d:
verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
热门推荐
weixin_46660849的博客
11-14 5万+
使用自签名的ssl证书遇到如下问题: tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值