用户安全认证的registry server

最新推荐文章于 2023-03-16 07:28:43 发布
最新推荐文章于 2023-03-16 07:28:43 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gguxxing008/article/details/52413440
版权
创建registry server端

1.下载registry2.2镜像
docker pull registry:2.2
2.生成自签名证书,如果是购买的证书就不用了,直接用购买的证书即可。假如域名是:test.docker.com
创建目录:
mkdir registry && cd registry && mkdir certs && cd certs
openssl req -x509 -days 3650 -subj '/CN=test.docker.com/' -nodes -newkey rsa:2048 -keyout registry.key -out registry.crt
3.生成用户和密码
cd .. && mkdir auth
docker run --entrypoint htpasswd registry:2.2 -Bbn testuser password > auth/htpasswd
用户:testuser 密码:password 可随便填写自己想填写的
4.启动registry server
docker run -d –p 5000:5000 --restart=always --name registry -v `pwd`/auth:/root/registry/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/root/registry/auth/htpasswd -v `pwd`/certs:/root/registry/certs -e REGISTRY_HTTP_TLS_CERTIFICATE=/root/registry/certs/registry.crt -e REGISTRY_HTTP_TLS_KEY=/certs/registry.key -v /data:/var/lib/registry registry:2.2

确认registry server是UP状态,docker ps | grep registry

配置docker client端

同registry server在同一台服务器上配置:

1.创建证书目录(没有此目录自己创建,注意端口号)
mkdir -p /etc/docker/certs.d/test.docker.com:5000
2.下载证书
cp  /root/registry/certs/registry.crt   /etc/docker/certs.d/test.docker.com:5000
3.域名解析,如果有DNS解析无需做此步骤(registry-server-ip=192.168.1.10)

echo 192.168.1.10  test.docker.com >> /etc/hosts

其他主机配置:
1.创建证书目录(没有此目录自己创建,注意端口号)
mkdir -p /etc/docker/certs.d/test.docker.com:5000
2.下载证书
scp -r root@192.168.1.10:~/registry/certs/registry.crt   /etc/docker/certs.d/test.docker.com:5000
3.域名解析,如果有DNS解析无需做此步骤(registry-server-ip=192.168.1.10)
echo 192.168.1.10  test.docker.com >> /etc/hosts


验证测试

1.登陆(注意加端口号)
docker login  test.docker.com:5000
2.输入用户testuser,密码password以及邮箱
3.更改镜像tag
docker tag busybox  test.dockercom:5000/busybox:1.0
4.push镜像

docker push  test.docker.com:5000/busybox:1.0


docker registry v1 与docker registry v2的区别:

一、版本内容上的改进

1、registry v1 通过 id 来判断镜像是否存在,客户需不需要重新 push,而由于镜像内容和 id 无关,再重新 build 后 layer 在内容不变的情况下很可能 id 发生变化,造成无法利用 registry 中已有 layer 反复 push 相同内容。服务器端也会有重复存储造成空间浪费。
2、尽管 id 由 32 字节组成但是依然存在 id 碰撞的可能,在存在相同 id 的情况下,后一个 layer 由于 id 和仓库中已有 layer 相同无法被 push 到 registry 中,导致数据的丢失。用户也可以通过这个方法来探测某个 id 是否存在。
3、同样是由于这个原因如果程序恶意伪造大量 layer push 到 registry 中占位会导致新的 layer 无法被 push 到 registry 中。
二、安全性改进
除了对 image 内容进行唯一性哈希外,新版 registry 还在鉴权方式以及 layer 权限上上进行了大幅度调整。
三、鉴权方式改进
旧版本的服务鉴权模型如下图所示:
 
该模型每次 client 端和 registry 的交互都要多次和 index 打交道,新版本的鉴权模型去除了上图中的第四第五步,如下图所示:
 
新版本的鉴权模型需要 registry 和 authorization service 在部署时分别配置好彼此的信息,并将对方信息作为生成 token 的字符串,已减少后续的交互操作。新模型客户端只需要和 authorization service 进行一次交互获得对应 token 即可和 registry 进行交互,减少了复杂的流程。同时 registry 和 authorization service 一一对应的方式也降低了被攻击的可能。
四、权限控制
旧版的 registry 中对 layer 没有任何权限控制,所有的权限相关内容都由 index 完成。在新版 registry 中加入了对 layer 的权限控制,每个 layer 都有一个 manifest 来标识该 layer 由哪些 repository 共享,将权限做到 repository 级别。
五、Pull 性能改进
旧版 registry 中镜像的每个 layer 都包含一个 ancestry 的 json 文件包含了父亲 layer 的信息,因此当我们 pull 镜像时需要串行下载,下载完一个 layer 后才知道下一个 layer 的 id 是多少再去下载
六其他改进
全新的 API
push 和 pull 支持断点
后端存储的插件化
notification 机制


SpringBoot为WebSocket添加安全认证与授权功能
AI天才研究院
07-29 2796
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
云原生之容器编排实践-在K8S集群中使用Registry2搭建私有镜像仓库
最新发布
Heartsuit的博客
02-18 1733
基于前面搭建的3节点 Kubernetes 集群,今天我们使用 Registry2 搭建私有镜像仓库,这在镜像安全性以及离线环境下运维等方面具有重要意义。作为测试环境,本次使用 Registry2 搭建了私有镜像仓库,实际生产环境建议使用 Harbor;创建了一个 local-storage 的 StorageClass ,并使用本地磁盘的方式创建使用 PV ,实际建议使用 NFS 。
Docker Registry Server 搭建,配置免费HTTPS证书,及拥有权限认证、TLS 的私有仓库
weixin_34075268的博客
01-05 508
上一篇文章搭建了一个具有基础功能的私有仓库,这次来搭建一个拥有权限认证、TLS 的私有仓库。 环境准备 系统:Ubuntu 17.04 x64 IP:198.13.48.154 域名:hub.ymq.io,此域名需要dns 解析到198.13.48.154 作为私有仓库地址 本文出现的所有:hub.ymq.io 域名。使用时候请替换成自己的域名 Docker 环境 在部署私有仓库之前,需要在主...
创建一个Registry Server
自得其乐的崔秉正
07-03 2131
在安装完ClearCase后,还需要创建一个Registry ServerRegistry Server可以是任何安装了ClearCase的机器,不一定是Server端,安装了ClearCase客户端也可以;Windows下,以机器的Administrators组成员登入,停止ClearCase服务,在控制面板中ClearCase的Registry选项卡中选中Use local host as
用户认证安全
04-17 826
Windows系统巨涌很完善的安全认证机制,称作访问控制机制。程序的执行主体线程在访问对象(文件、事件等)时,系统会根据线程的权限和线程需要访问的对象所具有的访问控制列表ACL中的“安全描述符”是否匹配来进行认证,决定一个线程是否可以操作一个对象。 基本概念:     A需要访问B,A就是访问的主体,B就是访问的客体。A的“访问令牌”和B的安全描述符共同决定了A是否可以访
本地docker registry server的搭建
pengrui18的专栏
12-08 624
服务器端搭建 拉取docker #registry server docker pull registry #registry web docker pull hyper/docker-registry-web 生成SSH KEY,用于https访问 mkdir conf openssl req -new -newkey rsa:4096 -days 365 -subj "/CN=localh...
【HCIA安全用户认证
qq_40733491的博客
07-26 2118
Authentication(认证你是谁)-------->Authorization(授权你能做什么)--------->Accounting(审计你做了什么)1、Authentication认证的方式包括我知道用户所知道的信息(如密码、个人识别号PIN等)我拥有用户所拥有的信息(如令牌卡、智能卡或银行卡)我具有用户所具有的生物特征(如指纹、声音、视网膜、DNA等)2、Authorization授权包括用户能访问的资源用户能使用的命令用户角色包括。...
spring cloud-给Eureka Server加上安全用户认证详解
08-28
其次,在配置文件中加入安全认证。我们需要在 application.yml 文件中添加以下配置: ```yaml server: port: 8764 security: basic: enabled: true user: name: chhliu password: chhliu123456 eureka: ...
docker镜像仓库的建立(安全证书和用户认证
柠檬精哒博客
08-22 6038
便于镜像的直接拉取 将已经暂停的容器都删除 创建钥匙,在创建仓库后,拥有证书钥匙的用户才能使用镜像仓库 安全证书的仓库建立 删除所有关闭的容器 [root@foundation23 docker]# docker container prune WARNING! This will remove all stopped containers. Are you sure you wan...
Docker Registry采用token认证实践
wangyijie11的博客
03-21 6416
Docker Registry的Token认证token认证过程图解详细介绍6个步骤Step 1,Client 向registry 发起连接Step 2,未认证响应(Unauthorized response)Step 3&4,认证endpoint通讯Step 5&6,最后沟通方案实践目录层级说明CA创建mongodb存储mongodb容器启动配置建库并写入数据auth_serve...
16.用户管理、安全认证
12-14 466
1 创建用户1.1 创建一个管理员用户先切换到admin数据库下> use admin switched to db admin然后添加一个全局的管理员用户> db.addUser("boss","password") { "n" : 0, "connectionId" : 1, "err" : null, "ok" : 1 } { "user" : "boss",
registry】CentOS7.x上 registry server的安装使用
michaelwoshi的博客
11-02 652
一、实验背景 当执行 docker pull 的时候,你可能会比较好奇,docker 会去哪儿查找并下载镜像呢? 它实际上是从 registry.hub.docker.com 这个地址去查找,这就是Docker公司为我们提供的公共仓库,上面的镜像,大家都可以看到,也可以使用。所以,我们也可以带上仓库地址去拉取镜像,如:docker pull registry.hub.docker.com/l...
【TARS】理解RegistryServer
Edidaughter的博客
03-11 2100
1.源码与可执行程序 /home/muten/module/TARS/TarsFramework/RegistryServer /usr/local/app/tars/tarsregistry/bin/tarsregistry
安全认证
weixin_46837396的博客
08-30 1036
文章目录一、 安全认证1、访问控制概述客户端2、认证、授权与准入控制二、认证管理HTTPS认证大体分为3个过程:四、授权管理1、Role、ClusterRole需要详细说明的是,rules中的参数:2、RoleBinding、ClusterRoleBinding3、RoleBinding引用ClusterRole进行授权4、实战:创建一个只能管理dev空间下Pods资源的账号1、创建账号2、 创建Role和RoleBinding,为devman用户授权3、切换账户,再次验证五、准入控制 一、 安全认证 1、
安全L2-2.1-用户认证概述
Knowledge warehouse
09-17 1714
一、用户认证的需求背景 (1)身份风险:非法“用户”和“终端”采用非法方式接入网络; (2)外来人员可轻易接入组织内网,窃取内部核心资料,甚至破坏内部网络; (3)不安全终端接入网络,给内网环境带来极大的威胁,如导致病毒内网疯狂传播。 如何唯一确定一个用户?????? 用户认证简单定义:需要知道这个IP当前是谁在使用 二、常见的用户认证技术 1、认证要素: ...
使用Docker启动私有Docker镜像服务器(Registry)
Kubernetes云原生学习笔记
03-16 460
在部署 registry 之前需要现在主机上安装 Docker。registry 实际上就是运行在 Docker 中的 registry 镜像的实例。为了在本地保存自定义的Docker镜像,往往需要在本地启动一个私有Docker镜像服务器-Registry Server。而不是每次都从docker.io拉取镜像。
Docker Registry 安装及安全加固
baidu_38844729的博客
09-27 659
默认安装 拉取镜像运行 docker run -d -p 5000:5000 --name registry registry:2 使用举例 docker pull busybox 拉取镜像 docker tag busybox localhost:5000/bosybox:v1.0 打标签 docker push localhost:5000/bosybox:v1.0 推送给registry docker pull localhost:5000/bosybox:v1.0 通过自建的registr
docker-registry server部署
weixin_34323858的博客
11-18 285
2019独角兽企业重金招聘Python工程师标准>>> ...
Registry私有仓库搭建及认证
weixin_30421809的博客
11-10 405
本节内容: Registry相关概念 Registry V1和V2 安装Docker 搭建本地registry v2 搭建外部可访问的Registry 添加认证 更高级的认证 registry web ui 一、Registry相关概念 前面的文章讲过Docker的组成部分,我们一般在使用Docker的过程中更为常用的是pull image、run image、b...
AZ-204认证:构建Microsoft Azure解决方案深度解析
1. **Azure计算服务**:理解如何使用虚拟机(如案例中的Windows Server 2016 VM运行BizTalk Server 2016)、Web应用、函数应用、容器服务(例如Docker支持)以及Azure Kubernetes Service (AKS)来构建和管理云应用。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值