docker镜像管理仓库搭建加密认证及负载均衡仓库的搭建

最新推荐文章于 2024-04-19 16:08:48 发布
最新推荐文章于 2024-04-19 16:08:48 发布
阅读量982 收藏 1
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dreamer_xixixi/article/details/81974852
版权

1.镜像管理:

Docker 仓库:
Docker 官方已经把仓库封装为镜像,直接通过启动容器就可以部署完成仓库:

# docker run -d --name registry -p 5000:5000 -v /opt/registry:/var/lib/registry registry:2.3.1
目录 /var/lib/registry 是仓库存放镜像的位置。除了使用数据卷做镜像存储之外,Registry
还支持将镜像存储到 亚马逊的 S3,OpenStack 的 Swift/Glance 等存储后端。
# docker tag nginx localhost:5000/nginx:latestDocker 镜像的命名规则 localhost:5000/nginx:latest 中,localhost:5000 表示 Registry 的地
址和端口。
# docker push localhost:5000/nginx:latest
推送镜像到 localhost:5000 仓库
# docker rmi localhost:5000/nginx:latest 删除本地 nginx 镜像的 TAG
# docker pull localhost:5000/nginx:latest 拉取镜像到本地

1.1>制作安装httpd的镜像

登陆测试:在另一个bash测试安装命令是否正确
docker run -it --name vm1 rhel7 bash
cd /etc/yum.repos.d/
vi dev.repo
yum repolist
yum install -y httpd
在docker目录下编辑安装脚本进行编译
vim Dockerfile

FROM rhel7
MAINTAINER weiwei@westos.org
ENV HOSTNAME server1
EXPOSE 80
COPY dvd.repo /etc/yum.repos.d/dvd.repo
RUN  rpmdb --rebuilddb && yum install -y httpd && yum clean all
VOLUME ["/var/www/html"]
CMD ["/usr/sbin/httpd", "-D", "FOREGROUND"]

[dvd]
name=rhel7.3
baseurl=http://172.25.30.250/rhel7.3
gpgcheck=0

docker build -t rhel7:v1 . #在本地编译构建镜像



1.2>制作安装ssh的镜像:

制作镜像之前我们需要将操作测试一下看看是否正确
cd /etc/docker
mkdir ssh 
cd ssh 
cp ../dvd.repo .
vim Dockerfile 

FROM rhel7
MAINTAINER weiwei@westos.org
ENV HOSTNAME server2
EXPOSE 22
COPY dvd.repo /etc/yum.repos.d/dvd.repo
RUN  rpmdb --rebuilddb && yum install openssh-server openssh-client -y && ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -N "" &&  ssh-keygen -q -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -N "" && ssh-keygen -q -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N "" &&  echo root:westos | chpasswd
CMD ["/usr/sbin/sshd", "-D"]


docker build -t rhel7:v2 .
docker run -d –name vm4 rhel7:v2


查看镜像:

删除镜像:
docker rmi rhtl7:v2

2. 在镜像内部封装静态信息

构建一个nginx镜像:

cd /tmp/docker/test
mkdir nginx
mkdir /tmp/docker/test/nginx/html
vim /tmp/docker/test/nginx/html/index.html
<h1>www.westos.org</h1>
<h1>www.westos.org</h1>
<h1>www.westos.org</h1>
<h1>www.westos.org</h1>
<h1>www.westos.org</h1>
<h1>www.westos.org</h1>

tar cf html.tar nginx #打包静态文件到html
tar tf html.tar nginx #查看

nginx/
nginx/html/
nginx/html/index.html
vim /tmp/docker/test/Dockerfile

FROM rhel7
ADD html.tar /usr/share/
VOLUME ["/usr/share/nginx/html"]

docker build  -t rhel7:v4 . #构建一个v4的镜像内部封装了静态页面
docker create  --name vol rhel7:v4 bash
docker run -d --name vm1 --volumes-from vol nginx
curl 172.17.0.2 #访问容器内部


搭建nginx仓库
docker push westos.org:5000/nginx
docker tag nginx localhost:5000/nginx
docker push localhost:5000/nginx

3. 远程加密

搭建nginx仓库5000端口做法只能实现本地用户登陆,远程登陆根本无法登陆;我们希望可以通过加密也可以实现远程从仓库下载镜像;因此我们做了443的端口映射和加密证书

cd /tmp/docker/
mkdir certs
openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key -x509 -days 365 -out certs/domain.crt
#生成制作证书在certs目录下面
docker run -d --restart=always --name registry -v `pwd`/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key -p 443:443 registry:2 #生成443加密端口以便远程登陆
docker tag nginx westos.org/nginx #建立nginx仓库
cd /etc/docker/
mkdir -p certs.d/westos.org
cd certs.d/westos.org/
cp /tmp/docker/certs/domain.crt ./ca.crt #copy证书
docker push westos.org/nginx #推送nginx镜像生成443---
>5000的端口映射


5. 添加认证

添加认证:建立认证用户并添加用户密码
为了保证环境的干净我们把之前的volume删除

docker volume rm d81c6c2a8a60ba5d997da08e4c555101ca1eb1ce9217db115e9824cdfe9d7025 
d81c6c2a8a60ba5d997da08e4c555101ca1eb1ce9217db115e9824cdfe9d7025
docker volume ls
DRIVER              VOLUME NAME
 cd .. #注意`pwd`表当前路径所以加密认证要在/tmp/docker执行   
添加认证用户及密码wei;westos
docker run --entrypoint htpasswd registry:2 -Bbn wei westos > auth/htpasswd
cat auth/htpasswd  #生成信息记录在当前目录下的auth/htpasswd文件中
添加两个认证用户
docker run --entrypoint htpasswd registry:2 -Bbn admin admin >> auth/htpasswd
cat auth/htpasswd 
docker ps -a #查看用户进程
[root@foundation30 docker]# htpasswd -cm htpaswd  wei #创建用户新建用户c;再次创建用户不需要加c否则会被覆盖
htpasswd -m htpaswd  admin
docker container prune #暂停容器服务

docker run -d --restart=always --name registry -v `pwd`/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key -v `pwd`/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm"  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd  -p 443:443 registry:2 #添加加密认证,证书位置密钥路径443端口映射
docker push westos.org/rhel7 #推送
docker tag nginx westos.org/nginx #上传镜像
docker login -u wei -p westos westos.org #登陆认证登陆,登陆成功之后下次登陆不用认证


生成认证信息记录在~.docker/config.json文件中

6 .Docker-compose整合实现负载均衡

安装docker-compose即下即使用 

cd /tmp/docker/
mkdir compose
vim docker-compose.yml
cp -r web/ compose/
ls compose/
mv docker-compose.yml compose/
cd compose/
mkdir haproxy
cd haproxy/
vim haproxy.cfg #haproxy实现负载均衡

global #全局变量
        log 127.0.0.1 local0 
        log 127.0.0.1 local1 notice
defaults
        log global
        mode http
        option httplog
        option dontlognull
        timeout connect 5000ms
        timeout client 50000ms
        timeout server 50000ms
        stats uri /status
frontend balancer
        bind 0.0.0.0:80
        default_backend web_backends
backend web_backends
        balance roundrobin
        server web1 apache:80 check
        server web2 nginx:80 check

[root@foundation30 haproxy]# vim /tmp/docker/compose/docker-compose.yml #构建整个均衡负载镜像


访问8080代理端口测试是否实现:

dreamer_xixixi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
15.镜像安全-镜像加密
王羲之的之的博客
06-26 3016
容器安全可以归纳分类如下:本文主要讨论第四点——镜像保密性。社区目前对于镜像保密性的工作主要由IBM公司的Brandon Lum和Harshal Patil主导进行。由于镜像加密特性会改动OCI标准中的镜像格式部分:the Image Specification image-spec,因此在详细介绍镜像加密原理之前有必要先了解一下OCI(Open Container Initiative)由 Docker,CoreOS以及容器行业中的其他领导者在2015年6月启动,致力于围绕容器格式和运行时创建开放的行业标
12 个优化 Docker 镜像安全性的技巧
梁桂钊的博客
03-28 282
点击上方“服务端思维”,选择“设为星标”回复”669“获取独家整理的精选资料集回复”加群“加入全国服务端高端社群「后端圈」作者 | Marius出品| http://u6.gg/k7fa1本文介绍了 12 个优化 Docker 镜像安全性的技巧。每个技巧都解释了底层的攻击载体,以及一个或多个缓解方法。这些技巧包括了避免泄露构建密钥、以非 root 用户身份运行,或如何确...
『containerd 系列』一文了解 containerd 中的镜像加解密
最新发布
云原生Serverless的专栏
04-19 1079
内容节选自《containerd 原理剖析与实战》,新书内购中,点击阅读原文,业界第一本系统介绍 containerd 的书籍,CNCF 首推的书籍。本书的出版也得到了 CNCF、浙江大学计算机系 SEL 实验室、火山引擎边缘云、边缘计算社区、kata containerd 架构委员会等专家的倾力推荐。
docker容器安全规则
君幻的博客
05-28 1558
1.仅在容器中运行必要的服务,像ssh等服务绝对不能开启 2.docker远程api访问控制,至少应该限制外网访问, 3.限制流量流向,使用iptables过滤器显示docker容器的源ip地址范围和外界通信 4.使用普通用户启动docker, 5.文件系统限制,挂载的容器根目录绝对只读,而且不同容器对应的文件目录权限分离,最好是每个容器在宿主上都有自己的独立分区。 6.镜像安全,对下载...
docker(容器)——创建镜像的私有仓库+设置加密认证+远程主机使用容器
qq_46089299的博客
06-04 1571
一、Docker 仓库简介 仓库是集中存放镜像文件的场所。有时候会把仓库仓库注册服务器(Registry)混为一谈,并不严格区分。;实际上,仓库注册服务器上往往存放着多个仓库,每个仓库中又包含了多个镜像,每个镜像有不同的标签(tag)。 仓库分为公开仓库(Public)和私有仓库(Private)两种形式。最大的公开仓库Docker Hub,存放了数量庞大的镜像供用户下载 国内的公开仓库包括 Docker Pool等,可以提供大陆用户更稳定快速的访问;当然,用户也可以在本地网络内创建一个私有仓库;当用
docker之创建镜像的私有仓库以及设置加密认证
yrx420909的博客
04-08 3196
1.什么是Docker 仓库 仓库是集中存放镜像文件的场所。有时候会把仓库仓库注册服务器(Registry)混为一谈,并不严格区分。 实际上,仓库注册服务器上往往存放着多个仓库,每个仓库中又包含了多个镜像,每个镜像有不同的标签(tag)。 仓库分为公开仓库(Public)和私有仓库(Private)两种形式。最大的公开仓库Docker Hub,存放了数量庞大的镜像供用户下载 国内的公开仓库包...
Docker搭建私有镜像仓库的方法
01-10
和Mavan的管理一样,Dockers不仅提供了一个中央仓库,同时也允许我们使用registry搭建本地私有仓库。 使用私有仓库有许多优点: 节省网络带宽,针对于每个镜像不用每个人都去中央仓库上面去下载,只需要从私有仓库...
离线搭建docker私有镜像仓库软件包
04-19
离线搭建docker私有镜像仓库软件包 教程参见https://blog.csdn.net/qq_38120778/article/details/124277294
docker创建私有镜像仓库搭建教程
01-10
镜像仓库:v2 首先在10.211.55.30机器上下载registry镜像 $ docker pull registry 也可以进行镜像导入的方法进行离线的安装。可以去我的网盘中下载:https://pan.baidu.com/s/1jHZlz2u 然后进入Docker中进行导入 ...
Docker私有仓库搭建和界面化管理详解
01-20
官方的Docker hub是一个用于管理公共镜像的好地方,我们可以在上面找到我们想要的镜像,也可以把我们自己的镜像推送上去。 但是有时候我们的使用场景需要我们拥有一个私有的镜像仓库用于管理我们自己的镜像。这个...
记录一次使用docker 模拟负载均衡配置
Bergman
08-19 239
1、系统环境 服务器底层系统:centos8.3 2、安装docker # 更新yum yum update # 安装docker yum install docker-ce # 查看是否安装成功,输出版本号信息视为安装成功 docker -v # 配置阿里云景象仓库 sudo mkdir -p /etc/docker sudo tee /etc/docker/daemon.json <<-'EOF' { "registry-mirrors": ["https://你自己的景象服务链
containerized-guacamole:Apache Guacamole开箱即用Nginx反向代理,让加密进行设置。 使用Docker Compose可以轻松轻松地进行部署。 仅使用官方鳄梨酱Docker映像
05-23
带有TLS的容器中的Apache Guacamole 此Docker Compose设置非常容易(仅3个cli命令)在通过Let's Encrypt保护的NGINX反向代理TLS后面运行 。 尽管此回购协议已有3年历史,但由于使用了最新的官方图片,因此至今仍然有效并且是最新的。 独特的功能 与其他解决方案不同,此设置更易于设置,并且符合docker / docker-compse最佳实践。 在这里,我们使用官方的Apache Guacamole Docker映像始终是最新的。 在Guacamole服务之前自动创建和配置Nginx反向代理。 使用“让我们为您的公共领域加密”对TLS进行加密的流量。 仅需两个必需的环境变量的最小配置。 跑步 在启动服务之前,请定义三个必需变量。 最简单的方法是在工作目录中创建一个.env文件,例如: 步骤1-定义您的域和数据库密码 cut > .e
docker搭建镜像仓库并设置账密登录
m0_50932526的博客
01-11 1209
在工作过程中,有时候会碰到需要把docker镜像放到另外一台机器上运行,提交到公网的docker hub太慢,如果每次导出文件传输再导入又太麻烦,还不方便进行版本控制、自动部署等操作。于是docker官方提供了一套简单的实现方案,就是Registry镜像。然后重启docker
docker工具之构建集群实现负载均衡
love_sunshine_999的博客
08-23 1592
构建集群: 实验环境:rhel7.3 test1: 主节点 test2: test3: 排错: scp报错怎么办? [root@foundation52 kiosk]# scp docker-engine-* 172.25.52.33: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING:...
Docker 生产环境之使用可信镜像 - 为内容信任(content trust)管理密钥
kikajack的博客
03-18 1093
原文地址通过使用密钥来管理镜像标签的信任。Docker 的内容信任使用五种不同类型的密钥: 密钥 描述 root key 镜像标签的内容信任根。启用内容信任后,将创建一次 root 密钥。也称为脱机密钥,因为它应该脱机保存。 targets 此密钥允许签署镜像标记,以管理 delegation,包括 delegations 密钥或允许的 delegations 路径。也称为存储
将一个简单的python程序打包成加密docker镜像并对外提供接口
热门推荐
uncle_yiba的博客
04-23 2万+
环境:python2.7   docker:一、一个简单的python程序既然是一个简单的python程序,那我们就实现一个简单的加法功能即可。#coding=utf-8 import random def add(aStr,bStr):     map={}     try:         a=float(aStr)         b=float(bStr)         sum=a+...
SEAL同态加密docker镜像创建和使用
在风中寻找 从清晨到日暮
04-04 783
SEAL同态加密docker镜像创建和使用 SEAL是微软开发的支持同态密码库,支持CKKS和BFV同态密码算法,这里基于ubuntu 18.04和SEAL 3.4版本创建docker镜像镜像已经上传至dockerhub,可以直接pull使用 docker pull xueyumusic/seal:3.4 Dockerfile: FROM ubuntu:18.04 COPY ./ /roo...
容器镜像加密-containerd imgcrypt实践
qq_38264240的博客
03-15 5323
容器镜像加密-containerd imgcrypt实践
Docker(三)--Docker仓库--工作原理及私有仓库搭建
qwerty1372431588的博客
01-26 337
Docker仓库1. 仓库简介2. docker hub2.1 概念2.2 搭建私有仓库2.2.1 注册docker hub账户2.2.2 上传镜像2.3 简单的本地仓库搭建3. Registry 工作原理 1. 仓库简介 - Docker 仓库是用来包含镜像的位置,Docker提供一个注册服务器(Register)来保存多个仓库,每个仓库又可以包含多个具备不同tag的镜像。 - Docker运行中使用的默认仓库Docker Hub 公共仓库。 2. docker hub 2.1 概念 - dock
docker镜像仓库搭建
07-29
搭建本地仓库的步骤包括:搭建仓库仓库加密仓库认证。\[1\] 私有仓库是指搭建一个企业内部的私有镜像仓库,用于存储和管理企业项目的镜像。私有仓库搭建方式有多种,其中比较常见的是使用Docker Harbor。搭建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值