创建docker私有仓库 使用YAML、htpasswd

最新推荐文章于 2024-05-02 00:32:27 发布
最新推荐文章于 2024-05-02 00:32:27 发布
阅读量1.8k 收藏
点赞数
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hahaxu/article/details/80958227
版权

创建docker私有仓库

在一台Centos7机器上搭建docker私有仓库,TLS证书使用自签名证书(官方不推荐使用自签名证书)

docker私有仓库实际上是一个docker镜像,镜像名称为registry

一、准备工作

假设已经安装好docker(Docker version 1.13.1, build 774336d/1.13.1),并且docker daemon已启动

1、主机名及IP

主机名IP
dockerRegistry10.1.1.193

2、生成私钥和证书

请注意,Common Name为Registry服务的域名或者IP地址

创建certs文件夹,使用openssl生成证书和私钥

mkdir -p certs

openssl req \
-newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
-x509 -days 3650 -out certs/domain.crt
Generating a 4096 bit RSA private key
......................................................................++
.....++
writing new private key to 'certs/domain.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:UFS
Organizational Unit Name (eg, section) []:Dev
Common Name (eg, your name or your server's hostname) []:10.1.1.193
Email Address []:test@test.com

3、证书使用ip做为hostname的设置

当使用ip(非域名)提交镜像,如果报... because it doesn't contain any IP SANs ,需要修改openssl.cnf,该文件在/etc/pki/tls/openssl.cnf/etc/ssl/openssl.cnf。找到[v3_ca]段,注释原有subjectAltName,设置为 subjectAltName=IP:10.1.1.193 ,这里的10.1.1.193换成证书服务器IP地址,仅在Registry服务器进行设置

4、让docker信任自签名证书

之前生成好的domain.crt,拷贝到/etc/docker/<证书服务器IP地址:端口号>/ca.crt

cp domain.crt  /etc/docker/certs.d/10.1.1.193\:5001/ca.crt

以相同的方式将该文件拷贝到所有需要访问服务器的客户端上

5、关闭SELinux

Centos7默认启用SELinux,如果对SELinux设置不熟悉,建议先关闭,否则会影响docker功能,比如挂载宿主机目录有可能会报permission denied

查看
/usr/sbin/sestatus -v

SELinux status: disabled

或者

getenforce

Disabled

临时关闭
##设置SELinux 成为permissive模式
##setenforce 1 设置SELinux 成为enforcing模式
setenforce 0
永久关闭
vi /etc/selinux/config
将SELINUX=enforcing改为SELINUX=disabled 
设置后需要重启才能生效

二、创建docker私有仓库

1、拉取registry镜像

可以直接使用docker run方式拉取并启动镜像,中间可能会有网络问题,建议分开操作

docker pull registry:2

出现超时提示

Get https://registry-1.docker.io/v2/: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

一种解决的方法,请参考Docker拉镜像无法访问 registry-x.docker.io 问题

2、启动仓库(启动参数方式,不带认证)

1)启动

docker run -d \
--restart=always \
--name registry \
-v `pwd`/certs:/certs \
-e REGISTRY_HTTP_ADDR=0.0.0.0:5001 \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
-p 5001:5001 \
registry:2
  • -v `pwd`/certs:/certs 将当前目录下certs挂载到容器certs目录下
  • -e REGISTRY_HTTP_ADDR=0.0.0.0:5001 registry默认使用5000端口,可以改成其它端口,注意-p对应容器内端口修改成相应端口

2)确认容器是否启动

docker container list 或者 docker ps 

CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                              NAMES
cb64a373d0a1        registry:2          "/entrypoint.sh /e..."   6 seconds ago       Up 4 seconds        5000/tcp, 0.0.0.0:5001->5001/tcp   registry

用crul简单试一下,curlInfo.txt打印证书信息

curl -kv -1 --trace curlInfo.txt 'https://10.1.1.193:5001/v2/'
[root@benserver dockercrets]# cat curlInfo.txt
== Info: About to connect() to 10.1.1.193 port 5001 (#0)
== Info:   Trying 10.1.1.193...
== Info: Connected to 10.1.1.193 (10.1.1.193) port 5001 (#0)
== Info: Initializing NSS with certpath: sql:/etc/pki/nssdb
== Info: skipping SSL peer certificate verification
== Info: SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
== Info: Server certificate:
== Info:    subject: CN=10.1.1.193,OU=Dev,O=UFS,L=Beijing,ST=Beijing,C=CN
== Info:    start date: 7月 07 08:51:35 2018 GMT
== Info:    expire date: 7月 04 08:51:35 2028 GMT
== Info:    common name: 10.1.1.193
== Info:    issuer: CN=10.1.1.193,OU=Dev,O=UFS,L=Beijing,ST=Beijing,C=CN

3)PUSH镜像

docker tag ubuntu:14.04 10.1.1.193:5001/my-ubuntu
docker push 10.1.1.193:5001/my-ubuntu

查询刚刚PUSH的镜像

curl -X GET https://10.1.1.193:5001/v2/_catalog -k
返回 {"repositories":["my-ubuntu"]}

3、启动仓库(YAML方式,htpasswd认证)

可以使用YAML方式配置Registry服务,它有提供默认值,可根据需要覆盖默认值。
使用YAML配置可以自定义存储、健康监控以及通知等功能。
本例需要创建两个文件,config.yml(Registry服务配置文件)、htpasswd(认证信息文件)

创建htpasswd

htpasswd是apache http的基本认证文件,使用htpasswd命令生成用户及密码文件

安装htpasswd

yum install -y httpd-tools

创建两个用户testUser1、testUser2

htpasswd -Bc htpasswd testUser1
htpasswd -B htpasswd testUser2

htpasswd文件创建在当前目录下,查看刚才创建的两个用户

cat htpasswd
testUser1:$2y$05$5yZ0eyiLNTEcpKoJmB2Niedn8tTTiTCHn/wXuCgOGQPIj6fDpevFy
testUser2:$2y$05$WDUY1vaid5VfyeqpA8sm9.qIdp0OYCXbYgm8ajSV.VTF48crtL1Ua

创建config.yml文件

本例只定义tls和用户认证

version: 0.1
log:
  level: debug
storage:
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
auth:
  htpasswd:
    realm: basic-realm
    path: /etc/docker/registry/htpasswd
http:
  addr: :5001
  host: https://10.1.1.193:5001
  tls:
    certificate: /certs/domain.crt
    key: /certs/domain.key
  secret: asecretforlocaldevelopment
  headers:
    X-Content-Type-Options: [nosniff]

启动registry

当前目录结构

├── certs
│   ├── domain.crt
│   └── domain.key
├── config.yml
└── htpasswd

执行创建命令

docker run -d -p 5001:5001 --restart=always --name registry \
-v `pwd`/config.yml:/etc/docker/registry/config.yml \
-v `pwd`/certs:/certs \
-v `pwd`/htpasswd:/etc/docker/registry/htpasswd \
registry:2

登录、提交验证

docker login -u testUser1 -p test 10.1.1.193:5001
Flag --email has been deprecated, will be removed in 1.14.
Login Succeeded
hahaxu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搭建docker registry (htpasswd 认证)
diejigu8268的博客
10-10 1339
1,拉取docker registry 镜像 docker pull registry 2,创建证书存放目录 mkdir -p /home/registry 3,生成CA证书Edit your /etc/ssl/openssl.cnf on the logstash host - add subjectAltName = IP:10.1.10.1 in...
docker registry安装简单命令实现
01-10
本文计划使用3条命令来运行一个Docker registry私服,其实很简单 环境准备: docker 1.11.2 compose文件docker-compose.yml version: '2' services: registry: image: registry:2.5.1 hostname: registry ports: - 5000:5000 environment: - TZ=Asia/Shanghai - REGISTRY_AUTH=htpasswd - REGISTRY_AU
使用Docker轻松生成SSL证书和htpasswd文件
danpob13624的博客
04-06 668
因此,您没有在笔记本电脑上安装OpenSSL或apache2-utils,但是您已经安装了Docker,并且想生成SSL(自签名或不自签名)证书和htpasswd文件进行基本身份验证? 遵循那些简单的步骤! 从Docker容器生成SSL证书 我从Digital Ocean的这篇不错的文章(如何在Ubuntu 12.04的nginx上创建SSL证书)中收集了这些步骤,并对其进行了修改以在...
Docker本地私有仓库Docker--harbor私有仓库部署与管理
最新发布
zzzxxx520369的博客
05-02 1549
Docker本地仓库,存放镜像,本地的机器上传和下载,pull或者pushHarbor 是 VMware 公司开源的企业级 Docker Registry 项目其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务Harbor以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。
YAML入门
u598975767的专栏
12-17 612
YAML 是 "YAML Ain't a Markup Language"(YAML 不是一种标记语言)的递归缩写。在开发的这种语言时,YAML 的意思其实是:"Yet Another Markup Language"(仍是一种标记语言)。 YAML 的语法和其他高级语言类似,并且可以简单表达清单、散列表,标量等数据形态。它使用空白符号缩进和大量依赖外观的特色,特别适合用来表达或编辑数据结构、各...
linux安装yaml-cpp,YAML开源库yaml-cpp简介及使用
weixin_36118049的博客
05-25 1079
关于YAML的介绍可以参考:https://blog.csdn.net/fengbingchun/article/details/88090609yaml-cpp是用c++实现的用来解析和生成yaml文件的,源码地址在https://github.com/jbeder/yaml-cpp ,这里使用的是最新发布的稳定版0.6.2.解析和产生yaml文件的测试代码如下:#include "funset...
手把手docker registry配置登录名/密码及registry-web配置
weixin_38251332的博客
02-28 6878
我们的Docker私有仓库Registry服务只有加了认证机制之后我们的Registry服务才会更加的安全可靠
详解docker私有仓库搭建与使用实战
09-29
主要介绍了详解docker私有仓库搭建与使用实战,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker私有仓库的搭建和使用详解
09-30
主要介绍了docker私有仓库的搭建和使用详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
4. Docker私有仓库使用域名和限制登录1
08-04
使用Docker私有仓库时,可以使用域名和限制登录来提高仓库的安全性和可维护性。 在使用Docker私有仓库时,默认情况下使用Host:Port形式来代表仓库名称,但这容易暴露Registry使用的IP和端口。为了解决这个问题,...
Docker搭建私有镜像仓库的方法
01-10
和Mavan的管理一样,Dockers不仅提供了一个中央仓库,同时也允许我们使用registry搭建本地私有仓库使用私有仓库有许多优点: 节省网络带宽,针对于每个镜像不用每个人都去中央仓库上面去下载,只需要从私有仓库...
【应用】Docker Registry
情绪瓜皮皮丶的学习之路
12-04 1857
整理总结了通过 docker registry 镜像搭建本地私有仓库的流程
docker容器三之docker仓库(hub、registry和harbor)
L*YUE的博客
08-19 2万+
docker仓库介绍 docker hub docker hub介绍 docker hub公共仓库使用 私有仓库搭建(registry) 为什么需要搭建私有仓库 registry工作原理 私有仓库部署 私有仓库部署(添加证书加密功能) 私有仓库部署(添加用户认证功能) harbor仓库 harbor仓库介绍 harbor仓库部署(基础) harbor仓库部署(添加用户及项目) harbor仓库部署(添加功能)
Harbor 源码分析之registry v2认证(三)
柳清风的专栏
05-18 3353
其实harbor涉及的部分远不止和docker registry认证,但这里管理比较紧密,而大家对这部分可能不太熟悉的地方。docker registry v1大家估计都还记得,最大的问题莫过于镜像不能删除和没有安全认证的问题。v2就集成了一个安全认证功能,但个人觉得这个安全认证是在扔包袱,把安全丢到外面,让外面去完成,下面就细细分析一下。 这里首先盗用一下官网的图,介绍一下步骤1.docker
Docker-Compose.yml详解
qq_36306519的博客
05-26 3391
docker-compose.yml详解
Harbor 私有镜像仓库详细记录
Jeacean的博客
04-29 1180
harbor官网:官网 github地址:项目地址 文档:v1.10-release 介绍 Harbor,是一个英文单词,意思是港湾,港湾是干什么的呢,就是停放货物的,而货物呢,是装在集装箱中的,说到集装箱,就不得不提到Docker容器,因为docker容器的技术正是借鉴了集装箱的原理。所以,Harbor正是一个用于存储Docker镜像的企业级Registry服务。 Registry是Dcoker...
Docker Compose Yaml(Yml)
fbbqt的博客
10-20 5766
docker compose yaml yml
Caliper中config.yaml的配置详解
公众号:【伤心的辣条】
05-20 932
本文将详细解释config.yaml文件的每个字段,包括测试名称、测试描述、客户端类型、测试轮次、测试标签、测试描述、测试交易数量、速率控制、测试回调函数、监控信息等。同时,还将介绍如何根据不同的测试需求来修改和调整config.yaml文件。
【云原生 | 44】Docker搭建Registry私有仓库之管理访问权限
热门推荐
小鹏linux的博客
11-17 5万+
Docker搭建Registry私有仓库请看上一篇文章《【云原生 | 43】快速搭建Docker Registry私有仓库》 通常在生产场景中,对私有仓库还需要进行访问代理,以及提供认证和用户管理。
docker搭建harbor私有仓库yaml文件
05-23
以下是一个示例的 Docker Compose YAML 文件,用于搭建 Harbor 私有仓库: ```yaml version: '2' services: # 数据库服务 database: image: vmware/harbor-db:v2.1.2 container_name: harbor-db restart: always volumes: - /data/harbor/database:/var/lib/postgresql/data environment: - POSTGRES_PASSWORD=harbor_db_password - POSTGRES_USER=harbor_db_user - POSTGRES_DB=registry # 存储服务 storage: image: vmware/harbor-registryctl:v2.1.2 container_name: harbor-registryctl restart: always volumes: - /data/harbor/registryctl:/data environment: - REGISTRY_STORAGE_DELETE_ENABLED=true - REGISTRY_STORAGE_REDIRECT_DISABLE=true - REGISTRY_STORAGE_MAINTENANCE_READONLY=true - REGISTRY_STORAGE_MAINTENANCE_DISABLED=true - REGISTRY_STORAGE_MAINTENANCE_SKIP_REPLICATION=true # Web 服务 web: image: vmware/harbor-adminserver:v2.1.2 container_name: harbor-adminserver restart: always depends_on: - database - storage ports: - 80:80 - 443:443 volumes: - /data/harbor/cert:/etc/harbor/cert - /data/harbor/data:/data environment: - HARBOR_ADMIN_PASSWORD=harbor_admin_password - HARBOR_NOTARY_DB_PASSWORD=harbor_notary_db_password - HARBOR_REDIS_PASSWORD=harbor_redis_password - HARBOR_DB_PASSWORD=harbor_db_password - HARBOR_DB_USER=harbor_db_user - HARBOR_DB_NAME=registry - HARBOR_TOKEN_SERVICE_URL=http://web/token # Redis 服务 redis: image: redis:4.0.14-alpine container_name: harbor-redis restart: always volumes: - /data/harbor/redis:/data # 日志服务 log: image: vmware/harbor-log:v2.1.2 container_name: harbor-log restart: always volumes: - /data/harbor/log:/var/log environment: - LOG_LEVEL=warn ``` 请注意,这只是一个示例文件,需要根据您的实际情况进行修改。此外,您还需要根据您的环境配置 Harbor 的证书和其他设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值