搭建一个支持HTTPS的私有DOCKER Registry

最新推荐文章于 2023-06-08 22:05:20 发布
最新推荐文章于 2023-06-08 22:05:20 发布
阅读量489 收藏
点赞数
分类专栏: Docker 文章标签: Docker registry

搭建一个支持HTTP的私有DOCKER Registry 可参考文章:

http://blog.csdn.net/fgf00/article/details/52040492

测试可以用HTTP访问一下:

http://IP:PORT/v2/



如果要搭建一个支持HTTPS的私有DOCKER Registry,可参考文章:

http://www.cnblogs.com/xcloudbiz/articles/5526262.html


1. 制作证书,可采用OPENSSL

在ROOT下执行,把证书保存在/root/certs目录下

openssl req -newkey rsa:2048 -nodes -sha256 -keyout /root/certs/domain.key -x509 -days 365 -out /root/certs/domain.crt

本实验采用的域名是:mydockerhub.com


2.  把证书COPY到:

自签名证书,使用Docker Registry的Docker机需要将domain.crt拷贝到 /etc/docker/certs.d/[docker_registry_domain]/ca.crt,

cp certs/domain.crt /etc/docker/certs.d/mydockerhub.com:5000/ca.crt
 
 
 
 
将domain.crt内容放入系统的CA bundle文件当中,使操作系统信任我们的自签名证书。
 

 

 

CentOS 6 / 7中bundle文件的位置在/etc/pki/tls/certs/ca-bundle.crt:
 

cat domain.crt >> /etc/pki/tls/certs/ca-bundle.crt

 

Ubuntu/Debian Bundle文件地址/etc/ssl/certs/ca-certificates.crt
 

cat domain.crt >> /etc/ssl/certs/ca-certificates.crt
 


 

具体可参考: https://deepzz.com/post/secure-docker-registry.html
 


 


 

3. 启动DOCKER REGISTRY
 

docker run -d -p 5000:5000 --privileged=true -v /opt/registry:/tmp/registry -v ~/certs/:/root/certs  -e REGISTRY_HTTP_TLS_CERTIFICATE=/root/certs/domain.crt -e REGISTRY_HTTP_TLS_KEY=/root/certs/domain.key registry
 


 

5. 测试
 

 

需要用域名,直接用IP地址会报错:
 

 
 

[root@xcjdocker-occs-wkr-2 opc]# sudo docker pull  139.224.66.172:5000/centos00
 

Using defaulttag: latest
 

Error responsefrom daemon: unable to ping registry endpoint https://139.224.66.172:5000/v0/
 

v2 pingattempt failed with error: Get https://139.224.66.172:5000/v2/: x509: cannotvalidate certificate for 139.224.66.172 because it doesn't contain any IP SANs
 

 v1 ping attempt failed with error: Gethttps://139.224.66.172:5000/v1/_ping: x509: cannot validate certificate for139.224.66.172 because it doesn't contain any IP SANs
 

 [root@xcjdocker-occs-wkr-2 opc]# sudo docker pull
 

mydockerhub.com:5000/vvv
 

 

Using defaulttag: latest
 

latest:Pulling from vvv
 

Digest:sha256:1164a179f7328c80edab409118c4cf0986ffe143b3693c7769f6d54e098705e3
 

Status:Downloaded newer image for mydockerhub.com:5000/vvv:latest
 

[root@xcjdocker-occs-wkr-2opc]#
 


 

如果要想支持IP方式
 

 

 

如果Docker registry要想支持https, 需要生成证书。这里我们采用openssl生成证书,一般情况下,证书只支持域名访问,要使其支持IP地址访问,需要修改配置文件openssl.cnf。
 

 
 

修改openssl.cnf,支持IP地址方式,HTTPS访问
 

在Redhat7或者Centos系统中,文件所在位置是/etc/pki/tls/openssl.cnf。在其中的[ v3_ca]部分,添加subjectAltName选项:
 

[ v3_ca ] 
 

subjectAltName= IP:129.144.150.111
 

 
 

用openssl生成自签名的证书:
 

我们直接在root用户下操作,创建一个目录: /root/certs
 

然后执行:
 

openssl req -newkey rsa:2048 -nodes -sha256-keyout /root/certs/domain.key -x509 -days 365 -out /root/certs/domain.crt
 

 
 

Country Name (2 letter code) [XX]:CN
 

State or Province Name (full name) []:bj
 

Locality Name (eg, city) [Default City]:bj
 

Organization Name (eg, company) [DefaultCompany Ltd]:mycom
 

Organizational Unit Name (eg, section)[]:it
 

Common Name (eg, your name or your server'shostname) []:129.144.150.111
 

Email Address []:xcjing@yeah.Net
 

执行成功后会生成:domain.key 和domain.crt 两个文件
 

 
 

COPY证书
 

使用Docker Registry的Docker机需要将domain.crt拷贝到 /etc/docker/certs.d/[docker_registry_domain:端口或者IP:端口]/ca.crt,
 

cp domain.crt/etc/docker/certs.d/129.144.150.111:5000/ca.crt
 

 
 

将domain.crt内容放入系统的CA bundle文件当中,使操作系统信任我们的自签名证书。
 

CentOS 6 / 7或者REDHAT中bundle文件的位置在/etc/pki/tls/certs/ca-bundle.crt:
 

cat domain.crt >>/etc/pki/tls/certs/ca-bundle.crt
 

 
 

Ubuntu/Debian Bundle文件地址/etc/ssl/certs/ca-certificates.crt
 

cat domain.crt >> /etc/ssl/certs/ca-certificates.crt
 

 
 

 
 

注意,如果之前已经有cat过同样的IP, 需要到ca-bundle.crt中把它删除,再做cat操作。否则后面PUSH时会报:
 

Get https://129.144.150.111:5000/v1/_ping:x509: certificate signed by unknown authority
 

 
 

重启DOCKER Daemon, Registry
 

systemctl restart docker
 

启动REGITRY
 

docker run -d -p 5000:5000--privileged=true -v /opt/registry:/tmp/registry -v ~/certs/:/root/certs  -eREGISTRY_HTTP_TLS_CERTIFICATE=/root/certs/domain.crt -eREGISTRY_HTTP_TLS_KEY=/root/certs/domain.key registry:2
 

 
 

验证测试
 

确认HTTPS OK: curl -i -k -v https://129.144.150.111:5000
 

或者直接浏览器访问 https://129.144.150.111:5000/v2 显示{} 表示正常
 

 
 

[root@bf278c certs]# docker images
 

REPOSITORY               TAG                 IMAGE ID            CREATED             SIZE
 

centos                   latest              a8493f5f50ff        12 days ago         192MB
 

129.144.150.111:5000/c   latest              a8493f5f50ff        12 days ago         192MB
 

registry                 2                   136c8b16df20        12 days ago         33.2MB
 

registry                 latest              136c8b16df20        12 days ago         33.2MB
 

hello-world              latest              48b5124b2768        3 months ago        1.84kB
 

 
 

[[root@bf278c certs]# docker push129.144.150.111:5000/c
 

The push refers to a repository[129.144.150.111:5000/c]
 

36018b5e9787: Pushing   28.9MB/192.5MB
 

成功
 

在别的机器上访问
 

如果要在另一台机器上访问,需要把CERT文件 COPY过去,同样放在/etc/docker/certs.d下面,建一个目录:/129.144.150.111:5000,然后
 

[opc@xcjdocker-occs-wkr-2 ~]$ cp domain.crt/etc/docker/certs.d/129.144.150.111:5000/ca.crt
 

否则报:Error: API error (500): unable to ping registry endpointhttps://129.144.150.111:5000/v0/ v2 ping attempt failed with error: Gethttps://129.144.150.111:5000/v2/: x509: certificate signed by unknown authorityv1 ping attempt failed with error: Get https://129.144.150.111:5000/v1/_ping:x509: certificate signed by unknown authority
 

 
 

测试:
 

[root@xcjdocker-occs-wkr-2 opc]# sudodocker pull 129.144.150.111:5000/c
 

Using default tag: latest
 

latest: Pulling from c
 

Digest:sha256:1164a179f7328c80edab409118c4cf0986ffe143b3693c7769f6d54e098705e3
 

Status: Image is up to date for129.144.150.111:5000/c:latest

                

        

        

    




    

      

        

            

              
                
                  挖煤工人学IT
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
详解Ubuntu Docker Registry 搭建私有仓库

				
			

			

				

					09-30
				

			

		

		

			
				
主要介绍了详解Ubuntu Docker Registry 搭建私有仓库,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

			
		

	



                

              
                



	

		

			

				
					
Docker --harbor --registry 私有仓库 部署与管理

				
			

			

				

					低温热源的博客
				

				

					07-26
					
					658
					
				

			

		

		

			
				
什么是Harbor
Harbor 是 VMware 公司开源的企业级 Docker Registry 项目,其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务。

Harbor以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。

Harbor 的每个组件都是以 Docker

			
		

	



                


  
              

                


	

		

			

				
					
03搭建docker私有仓库

				
			

			

				

					weixin_30848775的博客
				

				

					04-15
					
					268
					
				

			

		

		

			
				
搭建docker私仓,可以使用docker官方提供的registry镜像。该镜像目前有2.0,2.3和2.3.1版本。它只与1.6.0以上版本的docker兼容。搭建私仓的步骤如下:

一:无代理、无认证的registry
1:下载registry镜像:
docker pull  registry:2

 这里必须加上标签”:2”,否则的话,不加标签的reg...

			
		

	





	

		

			

				
					
Docker系列08—搭建使用私有docker registry

				
			

			

				

					weixin_34026484的博客
				

				

					02-19
					
					468
					
				

			

		

		

			
				
Docker系列08—搭建使用私有docker registry






1、了解Docker Registry
1.1 介绍

registry 用于保存docker 镜像,包括镜像的层次结构和元数据。
启动容器时,docker daemon会试图从本地获取相关的镜像;本地镜像不存在时,其将从registry中下载该镜像并保存到本地;
拉取镜像时,如果不知道reg...

			
		

	



		

			
		



	

		

			

				
					
Docker Registry安装使用说明

					
热门推荐

				
			

			

				

					twingao的专栏
				

				

					07-14
					
					1万+
					
				

			

		

		

			
				
一、环境准备

准备两套CentOS 7.5,一套为Docker Registry,一套为Docker Client,都请安装Docker,方法请参见:https://blog.csdn.net/twingao/article/details/80934212。


Docker Registry    ip addr: 192.168.232.25    hostname: registry
D...

			
		

	





	

		

			

				
					
docker-registry:这是“已弃用”! 请转到https

				
			

			

				

					05-19
				

			

		

		

			
				
警告
注意:不推荐使用经典的python“ Docker Registry”,而是采用新的golang实现。 这是出于历史目的保留的,不会再收到任何重大的工作或爱戴了。 您应该转到或。
Docker注册表
关于本文件
随着文档随着注册表版本的不同而发展,请确保在进一步阅读之前:
 检查您正在运行的注册表版本
切换到相应的标签以访问与您的产品版本匹配的自述文件
稳定的发行版本是。
 在报告错误之前,请也快速浏览一下 。
目录
搜索引擎选项sqlalchemy的
镜像选项
缓存选项
储存选项
储存档案永久储存
储存S3
 您自己的配置
进阶使用
车手
对于开发人员
 快速开始
最快的运行方式:
 安装泊坞窗
运行注册表: docker run -p 5000:5000 registry
 它将使用Docker集线器中的官方映像。
 这是一个稍微复杂一点的示例,该示例在端口5000上启动注册表,

			
		

	





	

		

			

				
					
Docker Registry 支持自建证书的Https访问

				
			

			

				

					Jecci
				

				

					06-22
					
					3959
					
				

			

		

		

			
				
Docker Registry 支持自建证书的Https访问,需要以下几个步骤:

一:创建一个自建域名证书。

二:创建支持HTTPS访问的Registry。

三:配置自建域名的解析

四:配置Docker 支持自建域名证书

五:效果测试

开始:

一:创建一个自建域名证书。


#我配置的域名为test.registry.net
openssl req -newkey rsa:4096 -nodes -sha256 -keyout /home/docker-certs/test.registry.

			
		

	





	

		

			

				
					
501. 【registrydocker-私有仓库实现https-访问

				
			

			

				

					七镜的博客
				

				

					06-08
					
					604
					
				

			

		

		

			
				
上一篇,我们已经成功通过 registry 搭建一个 docker 私有仓库,但仔细点我们会发现,在拉取和推送镜像时,需要附加参数,很不方便,这次来优化一下这块。

			
		

	





	

		

			

				
					
五、Docker仓库之httpsregistry搭建(二)

				
			

			

				

					margu_168的博客
				

				

					05-25
					
					1438
					
				

			

		

		

			
				
新建 /root/registry/ssl文件夹并将 docker.domain.com.key docker.domain.com.crt root-ca.crt 这三个文件移入,其他文件也可以移进去。由于自行签发的 CA 根证书不被系统信任,所以我们需要将 CA 根证书 ssl/root-ca.crt 移入 /etc/docker/certs.d/docker.margu.com 文件夹中。这样我们就搭建好了一个具有权限认证、TLS 的私有仓库,接下来我们测试其功能是否正常。web界面登录也是正常的。

			
		

	





	

		

			

				
					
如何在Ubuntu14.04上搭建私有dockerregistry

				
			

			

				

					02-26
				

			

		

		

			
				
本文将指导你如何搭建私有dockerregistry,并确保其安全性。在本教程的最后,你将亲身体验上传自制的docker镜像到私有registry,并在不同的机器上安全的将该其拉取下来。本教程不包含如何容器化应用服务的内容,而是...

			
		

	





	

		

			

				
					
Docker Registry搭建私有镜像仓库的实现方法

				
			

			

				

					09-29
				

			

		

		

			
				
主要介绍了Docker Registry搭建私有镜像仓库的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

			
		

	





	

		

			

				
					
详解Docker私有仓库Registry搭建验证

				
			

			

				

					09-30
				

			

		

		

			
				
主要介绍了详解Docker私有仓库Registry搭建验证,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

			
		

	





	

		

			

				
					
神经网络与量子计算的交叉研究.pptx

				
			

			

				

					04-19
				

			

		

		

			
				
神经网络与量子计算的交叉研究.pptx

			
		

	





	

		

			

				
					
非线性端口 MEMS 麦克风的 Simscape 模型.zip

				
			

			

				

					04-19
				

			

		

		

			
				
1.版本:matlab2014/2019a/2021a

 2.附赠案例数据可直接运行matlab程序。 

3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 

4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 



			
		

	





	

		

			

				
					
用于超声成像和仿真的 MATLAB 工具箱.zip

					
最新发布

				
			

			

				

					04-19
				

			

		

		

			
				
1.版本:matlab2014/2019a/2021a

 2.附赠案例数据可直接运行matlab程序。 

3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 

4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 



			
		

	





	

		

			

				
					
HFI高频注入仿真—matlab.zip

				
			

			

				

					04-19
				

			

		

		

			
				
1.版本:matlab2014/2019a/2021a

 2.附赠案例数据可直接运行matlab程序。 

3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 

4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 



			
		

	





	

		

			

				
					
北京工商大学上网登陆版源码.zip

				
			

			

				

					04-19
				

			

		

		

			
				
android 源码学习.
资料部分来源于合法的互联网渠道收集和整理,供大家学习参考与交流。本人不对所涉及的版权问题或内容负法律责任。如有侵权,请通知本人删除。感谢CSDN官方提供大家交流的平台


			
		

	





	

		

			

				
					
攻击离开优化器 (ALO)matlab代码.zip

				
			

			

				

					04-19
				

			

		

		

			
				
1.版本:matlab2014/2019a/2021a

 2.附赠案例数据可直接运行matlab程序。 

3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 

4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 



			
		

	





	

		

			

				
					
帮我搭建一个支持多架构的私有docker registry

				
			

			

				

					03-22
				

			

		

		

			
				
好的,我可以为您提供一些关于搭建支持多架构的私有docker registry的建议。首先,您需要选择一个适合您的docker registry软件,比如Docker Hub、Harbor、Nexus等。然后,您需要在服务器上安装docker,并创建一个...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值