购买安全证书 或者 自建安全证书
自建安全证书
生成密码
安装 htpasswd
工具
sudo yum install httpd-tools
生成密码
htpasswd -Bbn 用户名 密码 >> htpasswd
开放端口
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=5000/tcp --permanent
sudo firewall-cmd --reload
sudo firewall-cmd --list-ports
pull registry 镜像
sudo docker pull registry:2
创建 docker-compose.yml
registry:
restart: always
image: registry:2
ports:
- 5000:5000
environment:
REGISTRY_HTTP_TLS_CERTIFICATE: /certs/XXXXX.XX.com.crt
REGISTRY_HTTP_TLS_KEY: /certs/XXXXX.XX.com.key
REGISTRY_AUTH: htpasswd
REGISTRY_AUTH_HTPASSWD_PATH: /auth/htpasswd
REGISTRY_AUTH_HTPASSWD_REALM: Registry Realm
volumes:
- /data/registry/data:/var/lib/registry
- /data/registry/data/certs:/certs
- /data/registry/data/auth:/auth
/data/registry/data/certs
是我的证书存放位置
XXXXX.XX.com.crt XXXXX.XX.com.csr XXXXX.XX.com.key
域名解析
这里我将域名 XXXXX.XX.com
解析到注册服务器上
mac 电脑使用
将服务器上面的证书 XXXXX.XX.com.crt
拷贝到 mac 机。
sudo mkdir -p /etc/docker/certs.d/XXXXX.XX.com:5000
sudo cp XXXXX.XX.com.crt /etc/docker/certs.d/XXXXX.XX.com/ca.crt
登录
docker login XXXXX.XX.com:5000
如果出现错误, 打开 docker 设置 -> Daemon
Insecure registries 添加 XXXXX.XX.com:5000
重启 docker
信任证书
在浏览器中 打开 https://XXXXX.XX.com/
会弹出证书提示,信任证书。在 Keychain Access
App 中信任证书
nginx 代理
nginx 配置
server {
listen 443 ssl;
server_name XXXXX.XX.com;
ssl_certificate /certs/XXXXX.XX.com.crt;
ssl_certificate_key /certs/XXXXX.XX.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_pass https://registry_docker_ip:5000;
}
}
mac docker 配置修改为
sudo mv /etc/docker/certs.d/XXXXX.XX.com:5000 /etc/docker/certs.d/XXXXX.XX.com
如果出现错误, 打开 docker 设置 -> Daemon
Insecure registries 添加 XXXXX.XX.com
使用该仓库的时候就不需要端口 5000
了.