Docker Registry v2 + Token Auth Server (Registry v2 认证过程)

最新推荐文章于 2024-08-19 18:08:18 发布
最新推荐文章于 2024-08-19 18:08:18 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: kubernetes 文章标签: docker registry

关于Registry

对于registry v1 --> v2中,其中的原理、优化等,这里不再做一一介绍。这里有篇文章我瞄过几眼应该是比较不错的介绍文章了: http://dockone.io/article/747  。

Registry v2 token机制

官方document: https://docs.docker.com/registry/spec/auth/token/

目前docker registry v2 认证分为以下6个步骤:


1.docker client 尝试到registry中进行push/pull操作;
2.registry会返回401未认证信息给client(未认证的前提下),同时返回的信息中还包含了到哪里去认证的信息;
3.client发送认证请求到认证服务器(authorization service);
4.认证服务器(authorization service)返回token;
5.client携带这附有token的请求,尝试请求registry;
6.registry接受了认证的token并且使得client继续操作;

然后我们来详细分解、讨论下以上的6个步骤

Step 1 ,Client 向registry 发起连接

通常,Docker Client在进行pull/push操作时,会先尝试连接docker registry。

Note: 当你访问远程的registry时,会用到tls验证域名的有效性(证书),否则会出现如下错误:

FATA[0000] Error response from daemon: v1 ping attempt failed with error:
Get https://registry.example.com/v1/_ping: tls: oversized record received with length 20527. 
If this private registry supports only HTTP or HTTPS with an unknown CA certificate,please add 
`--insecure-registry registry.example.com` to the daemon's arguments.
In the case of HTTPS, if you have access to the registry's CA certificate, no need for the flag;
simply place the CA certificate at /etc/docker/certs.d/registry.example.com/ca.crt

在docker的启动中加入下面的命令,来忽略对registry域名证书的审核:

--insecure-registry registry.example.com

Step 2 ,未认证响应(Unauthorized response)

Registry server会返回401并且会附带Authentication endpoint:

$ curl https://registry.example.com/v2 -k -IL
HTTP/1.1 301 Moved Permanently
Server: nginx/1.4.7
Date: Sun, 22 Nov 2015 09:01:42 GMT
Content-Type: text/plain; charset=utf-8
Connection: keep-alive
Docker-Distribution-Api-Version: registry/2.0
Location: /v2/

HTTP/1.1 401 Unauthorized
Server: nginx/1.4.7
Date: Sun, 22 Nov 2015 09:01:42 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 87
Connection: keep-alive
Docker-Distribution-Api-Version: registry/2.0
Www-Authenticate: Bearer realm="https://registry.example.com:5001/auth",service="Docker registry"
X-Content-Type-Options: nosniff

Authentication server返回的头信息中包含了如何去或许token,它有几个重要的查询参数:

realm: 描述了认证的enpoint。
realm="https://registry.example.com:5001/auth"
service: 描述了持有资源服务器的名称。
service="Docker registry"

scope: 描述了client端操作资源的方法(push/pull)
scope="repository:shuyun/hello:push"
account: 描述了操作的账号
account=admin

Step 3&4 ,认证endpoint通讯

这2步描述了client与认证服务2者的 验证过程 ,需要明确的是,你需要知道:client发送请求到认证服务器签署token,请求信息中包含的基本身份验证信息将于服务器中的用户列表做匹配,然后根据请求中的scope要操作的范围、方法进而进行匹配,最后服务器匹配成功后将token进行签名,并且将token返回给客户端。

Step 5&6 ,最后沟通

Client尝试与registry连接(这次带了token信息),registry接到请求后验证token,继而开始pull/push操作。

详细参考:http://dockone.io/article/845



大飞哥2
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker registry v2认证备忘
mofiu的博客
08-11 1531
docker registry v2认证过程https://docs.docker.com/registry/spec/images/v2-registry-auth.png1、尝试从docker regisry中push/pull镜像 2、如果docker registry需要授权,将会返回401 Unauthorized的http响应,并在返回的头信息中提供到哪认证的信息 3、客户端向授权服务请
docker_auth:Docker Registry 2的身份验证服务器
04-06
Docker Registry 2身份验证服务器 原始Docker Registry服务器(v1)不提供对身份验证或授权的任何支持。 访问控制必须在外部执行,通常是通过具有基本身份验证或其他类型身份验证的反向代理模式部署Nginx。 尽管执行简单的用户身份验证非常简单,但是执行更细粒度的访问控制却很麻烦。 Docker Registry 2.0引入了一种新的基于令牌的身份验证和授权协议,但未发布生成它们的服务器。 因此,在Internet上找到的大多数指南仍然描述了使用反向代理执行访问控制的设置。 该服务器填补了空白,并实现了描述的协议。 支持的身份验证方法: 静态用户列表 Google登录(包括Google for Work /域的GApp)() LDAP绑定() MongoDB用户集合 MySQL / MariaDB,PostgreSQL,SQLite数据库表 支持的授权方式
Docker Registry v2 + Token Auth Server (Registry v2 认证)实例。
weixin_34032827的博客
11-22 130
关于Registry对于registry v1 --> v2中,其中的原理、优化等,这里不再做一一介绍。这里有篇文章我瞄过几眼应该是比较不错的介绍文章了:http://dockone.io/article/747。Registry v2 token机制官方document:https://docs.docker.com/registry/spec/auth/token...
Docker Registry V2 开启auth查询或获取私有仓库(registry)中的镜像列表catalog错误--Bearer realm insufficient_scope
guoguangwu的专栏
03-28 1705
首先是在conf/registry/config.yml该文件中开启了auth认证并且使用的是token类型,此类安全系数较高。 配置如下: auth: token: realm: http://ip:50000/api/auth service: ip:5000 issuer: 'admin' rootcertbundle: /path/registry/auth.cert 我之前参考的搭建的博客是这个链接:docker 搭建私有仓库&用户密码认证&
从源码看Docker Registry v2中的Token认证实现机制
容器技术爱好者
06-13 1万+
Docker Registry v2认证方面提供了基于Token认证方式,允许用户使用自己的认证服务来进行认证,这就使得在企业内部利用现有的认证系统来实现对访问Docker Registry的用户进行认证成为可能。那么该如何使用企业内部的已有的认证系统来实现Token认证,本文将从阅读源码的角度来对Token认证的实现过程进行说明。本次分析的Docker Registry版本号:v2.4.0。
【云计算】docker registry v2简介
weixin_33733810的博客
03-07 126
ubuntu docker方式部署docker registry v2 2016-03-03 17:36 by JackieHan, 4 阅读, 0 评论, 收藏,  编辑 生成自己签名的证书 生成签名的过程需要根据提示输入一些参数,需要注意的时Common Name的时候需要输入一个自己需要的域名,如果时内部域名记得访问的时候需要修改hosts。 mkdir /data/cert...
docker registry 镜像同步的实现思路
09-29
主要介绍了docker registry 镜像同步的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
docker私有仓库(registry V1和registry V2)操作
01-20
仓库v1和v2版本的镜像包: 链接:https://pan.baidu.com/s/1T4snL6ntNqCtxkF4eiUPcA  提取码:jpfe    registry V1版本私有仓库操作 1、查看registry V1仓库是否可用curl “http://192.168.23.100:5001” 2、查看...
为什么有了Dockerregistry还需要Harbor?
02-25
事实上,Habor是在DockerRegistry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制,AD/LDAP集成以及审计日志等。容器的核心在于镜象的概念,由于...
实战Docker+Jenkins+Git+Registry构建持续集成环境
04-26
实战 Docker+Jenkins+Git+Registry 构建持续集成环境 本文将详细介绍如何使用 Docker、Jenkins、Git 和 Registry 构建持续集成环境,实现自动化的 Java 项目发布流程。 知识点 1: Jenkins 简介 Jenkins 是一个...
bitnami-docker-oauth2-proxy:用于OAuth2代理的Bitnami Docker映像
04-04
什么是OAuth2代理? 反向代理和静态文件服务器,使用提供程序(Google,GitHub和其他提供商)提供身份验证,以通过电子邮件,域或组验证帐户。 TL; DR $ docker run --name oauth2-proxy bitnami/oauth2-proxy:latest 为什么要使用Bitnami Images? Bitnami密切跟踪上游源代码变化,并使用我们的自动化系统及时发布该图像的新版本。 对于Bitnami映像,将尽快提供最新的错误修复和功能。 Bitnami容器,虚拟机和云映像使用相同的组件和配置方法-可以轻松地根据项目需求在格式之间进行切换。 我们所有的映像都基于是一个基于Debian的极简容器映像,它为您提供了一个小的基本容器映像,并且熟悉领先Linux发行版。 Docker Hub中可用的所有Bitnami映像均已使用签名。 您可以使用DO
Docker快速上手+19v2+.html
02-02
docker简化命令,使用它我们可以快速上手,对于docker的每一个命令以及彼此之间的关系有一个较深的理解。
docker私有仓库创建,忽略https认证
qq_39864833的博客
03-01 7647
部署镜像仓库 Docker Registry | Docker Documentation ## 使用docker镜像启动镜像仓库服务 $ docker run -d -p 5000:5000 --restart always --name registry registry:2 ## 默认仓库不带认证,若需要认证,参考https://docs.docker.com/registry/deploying/#restricting-access 推送本地镜像到镜像仓库中 $ ..
Docker私有仓库RegistryAuth-server认证搭建
weixin_34203832的博客
08-10 1344
前言: 首先,Docker Hub是一个很好的用于管理公共镜像的地方,我们可以在上面找到想要的镜像(Docker Hub的下载量已经达到数亿次);而且我们也可以把自己的镜像推送上去。但是,有的时候我们的使用场景需要拥有一个私有的镜像仓库用于管理自己的镜像,这个时候我们就通过Registry来实现此目的。本文详细介绍了本地镜像仓库Docker RegistryAuth ...
使用OAuth打造webapi认证服务供自己的客户端使用
weixin_34060299的博客
10-28 809
一、什么是OAuth OAuth是一个关于授权(Authorization)的开放网络标准,目前的版本是2.0版。注意是Authorization(授权),而不是Authentication(认证)。用来做Authentication(认证)的标准叫做openid connect,我们将在以后的文章中进行介绍。 二、名词定义 理解OAuth中的专业术语能够帮助你理解其流程模式,OAuth中常用的名...
docker registry v2 API的使用
kan2016的博客
01-08 1万+
1.获取用户认证信息 对用户名和密码,进行base64编码。 格式:echo -n "用户名:密码" | base64 执行命令,得到认证信息。 2.查询镜像是否存在以及标签列表 方法:GET  /v2/<name>/tags/list 其中<name>为镜像名 (1)携带认证信息发起请求 格式:curl -v -H "Authorization: Ba...
Docker学习笔记 — Docker私有仓库搭建
热门推荐
Just for fun
03-10 11万+
Docker仓库简介以及私有仓库的搭建方法
Linux安装最新版Docker完整教程
最新发布
weixin_58286934的博客
08-19 632
linux安装dockerdocker仓库是用来保存镜像的地方。镜像构建完成后,可以直接在当前宿主机上运行,但是如果需要在其它服务器上使用这个镜像,就需要一个集中存储、分发镜像的服务,docker仓库就是这样的一个服务。
Docker+Jenkins+Git+Registry:打造全自动持续集成环境
"本文将介绍如何使用Docker、Jenkins、Git和Registry构建持续集成环境,以实现自动化软件开发流程。我们将探讨各个组件的作用以及它们如何协同工作,以提高效率和减少手动操作。" 在现代软件开发中,持续集成(CI)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值