openshift集成(内部)镜像仓库暴露安全访问地址

最新推荐文章于 2023-01-17 19:51:52 发布
最新推荐文章于 2023-01-17 19:51:52 发布
阅读量1.2k 收藏
点赞数
分类专栏: k8s&openshift
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kk3909/article/details/104884414
版权

1. 获取镜像仓库 cluster ip

oc project default
oc get svc/docker-registry
NAME              TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)    AGE
docker-registry   ClusterIP   172.30.31.74   <none>        5000/TCP   8d

2.生成证书

hostnames需要把服务的cluster ip、服务域名、路由主机地址填写正确,多个域名用逗号分隔,注意全角半角,不要带引号,官方文档hostnames值有单引号包裹
该oc adm ca create-server-cert命令生成一个有效期为两年的证书。可以通过–expire-days选项修改默认值

oc adm ca create-server-cert \
    --signer-cert=/etc/origin/master/ca.crt \
    --signer-key=/etc/origin/master/ca.key \
    --signer-serial=/etc/origin/master/ca.serial.txt \
    --hostnames =172.30.31.74,docker-registry.default.svc.cluster.local,docker-registry.default.svc,docker-registry-default.app.ocp.yourdomain.com \
    --cert=/etc/secrets/registry.crt \
    --key=/etc/secrets/registry.key

3.根据证书创建secret

  • 创建新的secret
oc create secret generic registry-certificates \
    --from-file=/etc/secrets/registry.crt \
    --from-file=/etc/secrets/registry.key
  • 存在则替换
oc create secret generic registry-certificates \
   --from-file=/etc/secrets/registry.crt \
   --from-file=/etc/secrets/registry.key\
   -o json --dry-run | oc replace -f -

4.将secret链接到serviceaccount

oc secrets link registry registry-certificates
oc secrets link default  registry-certificates

5.更新dc,添加volume,把新创建的secret挂进去,-m 表示要挂载容器的哪个目录

oc volume dc/docker-registry --add --type=secret \
    --name=docker-registry --secret-name=registry-secret -m /etc/secrets

6.更新镜像仓库环境变量

oc set env dc/docker-registry \
    REGISTRY_HTTP_TLS_CERTIFICATE=/etc/secrets/registry.crt \
    REGISTRY_HTTP_TLS_KEY=/etc/secrets/registry.key

7.更新健康监测检查 HTTP->HTTPS

oc patch dc/docker-registry -p '{"spec": {"template": {"spec": {"containers":[{
    "name":"registry",
    "livenessProbe":  {"httpGet": {"scheme":"HTTPS"}}
  }]}}}}'

oc patch dc/docker-registry -p '{"spec": {"template": {"spec": {"containers":[{
      "name":"registry",
      "readinessProbe":  {"httpGet": {"scheme":"HTTPS"}}
    }]}}}}'

8.验证证书是否配置正确

oc logs dc/docker-registry  | grep tls
time="2018-09-08T04:08:24.508752009Z" level=info msg="listening on :5000, tls" go.version=go1.9.7 instance.id=252143b6-1514-4146-965c-126c82e8d4a8

9.添加服务路由,类型为passthrough

oc create route passthrough registry --service=docker-registry --hostname=docker-registry-default.app.ocp.yourdomain.com

10.客户端证书下载

  • 10.1 将证书复制到Docker证书目录 (针对集群节点)

docker会实时检测/etc/docker/certs.d目录下以crt结尾的文件,并放入证书池中。该ca.crt文件的副本/etc/origin/master/ca.crt上的主。必须在集群中的所有节点上执行此操作:

# docker 证书目录
export dcertsdir=/etc/docker/certs.d
# 创建目录,根据创建证书时指定的hostname生成对应的目录
export destdir_name1=$dcertsdir/172.30.31.74:5000\/
export destdir_name2=$dcertsdir/docker-registry.default.svc.cluster.local:5000\/
export destdir_name3=$dcertsdir/docker-registry.default.svc:5000\/
export destdir_name3=$dcertsdir/docker-registry-default.app.ocp.yourdomain.com\/
mkdir -p $destdir_name1 $destdir_name2 $destdir_name3 $destdir_name4
cp ca.crt $destdir_name1    
cp ca.crt $destdir_name2
cp ca.crt $destdir_name3    
cp ca.crt $destdir_name4
  • 10.2 docker客户端需要通过openssl下载证书 (针对非集群环境下的docker镜像管理)

执行以下脚本后,将将/etc/docker/certs.d创建域名目录并下载证书,无需重启docker即可使用docker pull/push/login命令

export DOMAIN_NAME=internal-registry.yourdomain.com
export TCP_PORT=443
export dcertsdir=/etc/docker/certs.d
export destdir_name=$dcertsdir/$DOMAIN_NAME\/
mkdir -p $destdir_name 
echo ''|openssl s_client -connect $DOMAIN_NAME:$TCP_PORT -servername $DOMAIN_NAME  -showcerts 2>/dev/null \
| sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p'>$destdir_name/registry.crt
  • 10.3 例外

使用身份验证时,某些版本docker还要求您将群集配置为信任操作系统级别的证书,上个步骤的操作不行时再执行再执行以下操作。

cp /etc/origin/master/ca.crt /etc/pki/ca-trust/source/anchors/docker-registry-default.app.ocp.yourdomain.com.crt
update-ca-trust enable
systemctl daemon-reload && systemctl restart docker

11 验证客户端证书配置是否正确

可以使用以下命令测试上一步配置是否正确,密码也可以登录registry-console控制台在首页最下面查看

docker login -u admin -p `oc whoami -t` docker-registry-default.app.ocp.yourdomain.com

参考:

  1. https://docs.openshift.com/container-platform/3.10/install_config/registry/securing_and_exposing_registry.html

  2. https://stackoverflow.com/questions/7885785/using-openssl-to-get-the-certificate-from-a-server

  3. https://github.com/xiaoping378/blog/blob/master/posts/openshift%E5%AE%9E%E8%B7%B5-%E9%95%9C%E5%83%8F%E7%AE%A1%E7%90%86.md

  4. https://github.com/moby/moby/issues/8849

  5. https://github.com/docker/distribution-library-image/issues/35

kk3909
关注
专栏目录
镜像仓库安全配置
Tommy Xiao
10-28 244
OpenShift — 架构设计
烟云的计算
11-27 2097
目录 文章目录目录分层架构基础架构层容器引擎层容器编排层PaaS 服务层界面及工具层核心组件核心概念容器(Container)和镜像(Image)用户(User)项目(Project)Pod部署(Deployment)服务(Service)路由(Router)模板(Template)构建(Build)和镜像OpenShift 与 Kubernetes 的差异以应用为中心默认安全 分层架构 OpenShift 采用分层架构,自下而上包含了以下几个层次: 基础架构层 容器引擎层 容器编排层 PaaS 服务层
Docker/OPENSHIFT 应用程序实现外部访问暴露端口,创建服务svc,创建路由route。解决问题:无法访问容器POD,应用程序不可用
qq_42409015的博客
04-09 1089
Docker/OPENSHIFT 实现外部访问,以及出现应用程序不可用,无法访问容器POD解决 当你编辑好Dockerfile创建一个POD应用程序以后,如何让它被外部访问呢,一共有三层需要设置,分别是1.Dockerfile 2.SVC(服务) 3 ROUTE(外部路由) 1.Dockerfile的Expose,为创建的项目暴露端口 这里是我的Dockerfile,一个Java后台项目,可以看到最后一行代码的EXPOSE 8080就是为创建的应用暴露可供容器外部访问的端口,这个8080端口要记住,后面用
镜像仓库工具、镜像下载加速工具、安全扫描工具理解镜像存储和镜像安全
qiaotl的博客
07-19 482
镜像仓库工具、本地镜像加速工具、镜像安全扫描工具三方面来理解镜像存储和下载。
Docker容器镜像安全最佳实践指南
最新发布
神棍之路
01-17 1306
0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置为info2.3 允许 docker 更改iptables2.4 不使用不安全镜像仓库2.5 建议不使用aufs存储驱动程序。
使用Openssl生成自签证书
罗小爬的技术宝书
08-21 9180
graph LR S[开始]-- openssl genrsa-->A1[ca.key] A1-- openssl req --> B(ca.csr) B --openssl ca--> C(ca.cert) C --> D
云计算与云原生—OpenShift 的架构设计
ma_xiao_qi的博客
05-10 776
前言 从 红帽云平台业务部产品副总裁 Joe Fernandes(乔·费尔南德斯)的访谈回顾 OpenShift 的发展历程。 OpenShift v3 — 将 Kubernetes “企业” 化 选择 Kubernetes 2011 年 Redhat 首次推出 OpenShift 产品,OpenShift v1、v2 都依赖 Linux 原生的 Container 技术来部署用户应用。2013 年,红帽做出了一项决定,支持 Docker 开源项目,帮助推动容器运行时和容器镜像包装格式的标准,这
OpenShift实战:自动化部署与管理指南
4. **自动化构建流程**:利用webhook将OpenShift与Git仓库连接,实现在代码更改时自动触发构建,提高持续集成和持续部署(CI/CD)的效率。 5. **配置和秘密管理**:将应用的配置和敏感信息作为项目资源添加到容器中,...
IT运维面试问题总结-LVS、Keepalived、HAProxy、Kubernetes、OpenShift
empty_csx的博客
05-08 3523
文章目录1.简述ETCD及其特点2、简述ETCD适应的场景?3、简述HAProxy及其特性 1.简述ETCD及其特点 etcd 是 CoreOS 团队发起的开源项目,是一个管理配置信息和服务发现(service discovery)的项目,它的目标是构建一个高可用的分布式键值(key-value)数据库,基于 Go 语言实现。 特点: 简单:支持 REST 风格的 HTTP+JSON API 安全:支持 HTTPS 方式的访问 快速:支持并发 1k/s 的写操作 可靠:支持分布式结构,基于 Raft 的一
快速部署OpenShift应用
weixin_33739627的博客
03-26 3914
本文介绍了使用Service Catalog和OC命令部署OpenShift应用、部署基本概念和流程、扩展存储、清理OpenShift对象等。以Angular 6集成Spring Boot 2,Spring Security,JWT和CORS中的Spring Boot和Angular项目为例,详细讲解了S2I和Pipeline两种部署方式。 OKD版本3.11,Spring Boot项目源码her...
OCP培训笔记
yingwei13mei的博客
06-25 2824
Openshift是什么?能干什么? 所谓得Paas者得天下,Openshift**是红帽的云开发平台即服务(PaaS)。 IT发展方向:容器化所有应用,目的实现DEVOPS,目前的几种实现方式: 1)AWS Devops 参考:https://www.sohu.com/a/213232086_411876 2)Openshift 3)RunC和Podman (Openshift4.1) Run...
kubectl 命令详解(二十八):create secret tls
youzhouliu的博客
05-07 3598
kubectl create secret tls命令详解。
route命令_深入学习OpenShift系列1/7 : 网络之 Router 和 Route
weixin_39622891的博客
12-06 1926
1. OpenShift 为什么需要 Router 和 Route?顾名思义,Router 是路由器,Route 是路由器中配置的路由。OpenShift 中的这两个概念是为了解决从集群外部(就是从除了集群节点以外的其它地方)访问服务的需求。不晓得为什么OpenShift 要将Kubernetes 中的 Ingress 改为 Router,我倒是觉得 Ingress 名字更贴切。从外部通...
openshift/origin工作记录(7)——持久化openshift内部镜像仓库
个人学习记录
01-04 3526
openshift内部镜像仓库Registry组件默认是非持久化的。之前重启过一次openshift集群,导致重启前通过s2i构建的镜像都不能用了。所以需要持久化openshift内部镜像仓库。 有状态的应用如果未配置持久化卷,容器一旦意外退出,容器内部所有的镜像、配置、数据都将消失殆尽。 本部分参考《开源容器云OpenShift》一书129-133页以及官方文档https://doc...
OpenShift推送本地镜像镜像仓库
qqnbsp的博客
07-29 646
直接跳转 ->转自:https://blog.csdn.net/u012371097/article/details/83746111
openshift webconsole不用直接用地址访问
xiaofeng_yan的专栏
06-11 1818
一直以为openshift webconsole可以通过lb的IP地址可以访问,修改了很多配置文件。没有成功。问了社区的开发者才知道webconsole也是个pod,也要通过router,必须用域名访问。初学者不知道的太多了。等研究FQDN就知道了。 ...
SpringBoot与Docker集成:两种构建镜像部署方法详解
这部分指定了镜像的基础,将应用复制到容器,设置工作目录,安装依赖,暴露端口8010(对应Spring Boot应用的端口),以及指定启动命令。 总结: 本文详细阐述了Spring Boot与Docker的集成,涉及了Docker的容器化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值