docker registry v2认证备忘

最新推荐文章于 2024-09-18 14:56:50 发布
最新推荐文章于 2024-09-18 14:56:50 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: docker 文章标签: docker registry auth v2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mofiu/article/details/77094255
版权

docker registry v2认证过程

https://docs.docker.com/registry/spec/images/v2-registry-auth.png

1、尝试从docker regisry中push/pull镜像
2、如果docker registry需要授权,将会返回401 Unauthorized的http响应,并在返回的头信息中提供到哪认证的信息
3、客户端向授权服务请求获取token。
4、认证服务到数据库或ldap中验证用户信息,跟据验证结果生成token
5、docker client携带token令牌再次尝试访问docker registry.
6、docker registry验证用户提交的token,判断是否有有权限进行操作,如果有则进行相应的pull或push。

docker registry 配置文件中的auth

auth:
  silly:
    realm: silly-realm
    service: silly-service
  token:
    realm: token-realm
    service: token-service
    issuer: registry-token-issuer
    rootcertbundle: /root/certs/bundle
  htpasswd:
    realm: basic-realm
    path: /path/to/htpasswd

过程

例如当用户尝试向registry push镜像samalba/my-app时,为了完成当前操作,
用户需要对repository samalba/my-app具有push的权限,registry将会返回401 Unuthorized信息
例如我们执行命令curl -i  https://docker.test/v2/_catalog
1、
HTTP/1.1 401 Unauthorized
Server: nginx
Date: Fri, 11 Aug 2017 02:43:09 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 134
Connection: keep-alive
Docker-Distribution-Api-Version: registry/2.0
Www-Authenticate: Bearer realm="https://auth.docker.io/token",service="container_registry",scope="registry:catalog:*"
X-Content-Type-Options: nosniff

{"errors":[{"code":"UNAUTHORIZED","message":"authentication required","detail":[{"Type":"registry","Name":"catalog","Action":"*"}]}]}
2、
Docker Client提供用户输入用户名和密码后向auth server发送请求:
https://auth.docker.io/token?service=registry.docker.io&scope=repository:samalba/my-app:pull,push
同时在http head中包含用户相关的登录信息
authorized: Basic YWtaW46cGzc3dvmcQ=
3、
auth server只需要从http head中通过base64获取登录的用户名和密码,并且验证登录信息的合法性,
同时根据业务数据返回用户的实际权限(pull, push)即可.
4、
当docker client获取到token之后,client会将得到的token作为http请求头信息再次尝试访问registry,registry使用公钥解密并验证token内容,并根据token包含的权限信息完成实际的操作

加密

通过公钥私钥加密
auth:
  token:
    realm: https://auth.docker.io/token
    service: Docker registry
    issuer: Auth Service
    rootcertbundle: /certs/auth.crt

token的生成

JWT(Json web token)的构成
第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).
1、生成jwt的Header信息
{
    "typ": "JWT",
    "alg": "ES256",
    "kid": "PYYO:TEWU:V7JH:26JV:AQTZ:LJC3:SXVJ:XGHA:34F2:2LAQ:ZRMK:Z7Q6"
}

typ: 当使用JWT时,typ固定为“JWT”
alg: 对应私钥文件的加密方式,本示例中即对应auth.key文件的加密方式,可以通过代码读取私钥文件获取
kid: 根据docker提供的规则生成公钥文件的kid,registry会根据同样的算法获取公钥的kid,如果匹配失败则认证失败
2、设置jwt的payload信息
{
    "iss": "Auth Service", //需要注意必须与auth.token.issuer配置保持一致
    "sub": "some id", //根据业务系统的规则自定义生成即可
    "aud": "Docker registry",// 从请求的service参数获取
    "exp": 1415387315, //过期时间
    "nbf": 1415387015, // not before 可选参数
    "iat": 1415387015, // 正式发行时间
    "jti": "tYJCO1c6cnyy7kAn0c7rKPgbV1H1bFws", //随机生成即可
    // access根据请求的scope获取,当然业务系统要判断用户的实际权限并在actions中放回
    "access": [
        {
            "type": "repository",
            "name": "samalba/my-app",
            "actions": [
                "pull",
                "push"
            ]
        }
    ]
}
3、使用私钥进行签名

参考资料

https://docs.docker.com/registry/spec/auth/token/#how-to-authenticate
https://yunlzheng.github.io/2016/11/29/docker-registry-details/
誠寜
关注
专栏目录
Docker仓库】Docker私有仓库Registry开启用户认证
jks212454的博客
05-06 1718
Docker仓库】Docker私有仓库Registry开启用户认证
企业级docker registry v2认证服务器搭建
schzrj的专栏
06-30 583
       目前较为流行的搭建私有镜像仓库的方式是通过部署开源项目harbor来实现,该开源项目中带有镜像仓库认证服务,但使用的是自带的数据库,也就是说如果要对接到一个已有的系统中,需要将用户数据以及角色同步到harbor的系统中,虽然不会存在什么数据安全的问题(生产环境中肯定是内网部署,数据安全还是比较有保障的),但是数据同步是个很麻烦的问题,很容易出现数据同步不一致的问题,因此最好的方式就是...
阿里云 registry 401 UNAUTHORIZED
小单的博客专栏
06-05 6964
需求:请求阿里云的镜像仓库,读取镜像的信息,直接读取肯定返回错误,毕竟仓库是私有的嘛。 既然是私有的,请求的时候,肯定要带上账号密码或者Token等这样的信息才可以。那么如何携带这些内容呢? 几经周折,过程不在赘述,下面直接给出方法: 一、现状(问题) 1、请求目标 https://registry.cn-shanghai.aliyuncs.com/v2/nuggets/nuggets-docke...
docker 异常: failed to fetch oauth token: Post “https://auth.docker.io/token“: dial tcp 148.163.48.
最新发布
fwzzzzz的博客
09-18 2230
【代码】docker 异常: failed to fetch oauth token: Post “https://auth.docker.io/token“: dial tcp 148.163.48.
registry登录认证
爱吃鱼的小明的博客
09-24 1423
server(ubuntu 20.04) centos7.7(client) 10.0.0.55 10.0.0.45 myrepo.com docker 版本(server) 镜像版本(server) 19.03.13 registry:2.6.2 1.环境部署 #新建目录 root@ylm-ubuntu:~# mkdir -p /opt/docker/certs root@ylm-ubuntu:~# cd /opt/docker/ root@ylm-ubunt...
部署 Docker Registry 并配置认证登录
以梦为马|越骑越傻
05-15 2177
文章目录搭建 Docker Registry创建本地映射目录启动 Docker Registry配置 Docker Registry配置 Docker Registry 认证启动带认证Docker Registry配置 Docker Registry登录 Docker Registry测试 Docker Registry Docker Registry 官网 Docker Registry 需要 Docker 版本高于等于 1.6.0 Registry是一个无状态、高度可扩展的服务器侧应用程序,用于存
登录阿里云Docker Registry提示unauthorized: authentication required
@dongyu的博客
03-12 3767
    未经授权:身份验证要求,我估摸着也就是密码错误了,不记得之前有设置密码,作为初学者,研究这些大牛网站,感觉很吃力,东西太多了。。。 设置固定密码 设置完用这个密码登录就可以了 ...
docker registry 镜像同步的实现思路
09-29
主要介绍了docker registry 镜像同步的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
docker-registry-2.0-ui:一个非常基本的Docker Registry 2.0设置,带有用于查看存储库和标签的UI
05-02
带有UI的Docker Registry v2 它是什么? 这是一个由docker-compose组成的安装程序,在端口443上运行v2注册表,在端口80上运行nginx,为列出存储库及其标签的最小UI提供服务。 您可以使用docker-compose up -d来启动...
docker私有仓库(registry V1和registry V2)操作
01-20
仓库v1和v2版本的镜像包: 链接:https://pan.baidu.com/s/1T4snL6ntNqCtxkF4eiUPcA  提取码:jpfe    registry V1版本私有仓库操作 1、查看registry V1仓库是否可用curl “http://192.168.23.100:5001” 2、查看...
image-syncer:用于基于Docker Registry V2的服务的Docker映像同步工具
05-11
支持基于Docker Registry V2Docker注册表服务(例如,阿里云容器注册表服务,Docker Hub,Quay.io,Harbor等) 仅网络和内存,不依赖大磁盘存储,快速同步 增量同步,使用磁盘文件记录同步的图像blob的信息 并发...
Docker Registry V2 开启auth查询或获取私有仓库(registry)中的镜像列表catalog错误--Bearer realm insufficient_scope
guoguangwu的专栏
03-28 1836
首先是在conf/registry/config.yml该文件中开启了auth认证并且使用的是token类型,此类安全系数较高。 配置如下: auth: token: realm: http://ip:50000/api/auth service: ip:5000 issuer: 'admin' rootcertbundle: /path/registry/auth.cert 我之前参考的搭建的博客是这个链接:docker 搭建私有仓库&用户密码认证&
Docker Registry v2 + Token Auth Server (Registry v2 认证过程)
kozazyh的专栏
04-02 1814
关于Registry对于registry v1 --> v2中,其中的原理、优化等,这里不再做一一介绍。这里有篇文章我瞄过几眼应该是比较不错的介绍文章了:http://dockone.io/article/747 。Registry v2 token机制官方document:https://docs.docker.com/registry/spec/auth/token/目前docker r...
Docker Registry部署镜像私有仓库及鉴权认证
03-13 4400
Docker Registry是基于Apache 许可证开源的,它是目前应用最广泛的镜像仓库管理程序,所有的源码在github上开源,如果感兴趣的话可以clone相关的代码进行深层次的学习。Docker Registry是一个中央存储和分发Docker镜像的服务器,其支持多种鉴权和认证机制,包括基本认证、Bearer Token认证、AWS认证和LDAP认证等。以上是常用的几种Docker Registry的鉴权和认证机制,不同的认证机制在配置文件中的参数有所不同。参数指定了要上传和下载的镜像名称。
docker私有镜像仓库的搭建及认证
weixin_37562883的博客
05-30 1171
在生产上使用的 Docker 镜像可能包含我们的代码、配置信息等,不想被外部人员获取,只允许内网的开发人员下载。Docker 官方提供了一个叫做 registry 的镜像用于搭建本地私有仓库使用。在内部网络搭建的 Docker 私有仓库可以使内网人员下载、上传都非常快速,不受外网带宽等因素的影响,同时不在内网的人员也无法下载我们的镜像,并且私有仓库也支持配置仓库认证功能。接下来详细讲解 registry 私有仓库的搭建过程。
【云计算】docker registry v2简介
weixin_33733810的博客
03-07 145
ubuntu docker方式部署docker registry v2 2016-03-03 17:36 by JackieHan, 4 阅读, 0 评论, 收藏,  编辑 生成自己签名的证书 生成签名的过程需要根据提示输入一些参数,需要注意的时Common Name的时候需要输入一个自己需要的域名,如果时内部域名记得访问的时候需要修改hosts。 mkdir /data/cert...
curl 访问 private registry 的 api 获取所有镜像
chenhongloves的博客
10-28 2656
司用 harbar 搭建了dockerregistry,想一目了然的知道有哪些镜像,但是又不想登录到 harbar 的 ui 在 n 个项目中一个一个看, 故采用 curl 命令来参看所有的镜像,结果告知UNAUTHORIZED, 用户名和密码不用怀疑,肯定对的哈。 $ curl -s --user "$U" 172.30.3.149/v2/_catalog | jq { "errors": [ { "code": "UNAUTHORIZED", ...
docker push 报错unauthorized: authentication required
jwpaxx的博客
06-28 1365
然后 insecure-registries设置http访问登录也没有问题的时候考虑可能是服务器开启了https而证书不对应,这个是真坑,谁能想到 insecure-registries设置为http访问后,还会去访问https。出现这个问题第一个考虑 docker login。解决办法: 关掉https端口。
通过OAuth方式与docker hub v2 API交互
weixin_34349320的博客
09-05 1083
缘由 Docker hub提供V2版本接口后,使用了新的认证授权方式,需要通过OAuth认证授权方式来调用其API。本文主要是演示获取某个镜像的tag的列表过程,其它接口调用方式类似本例子使用了httpie工具,如果在mac下可以用过brew方式安装 brew install httpie 交互过程 先直接调用需要的资源 这里以查询nginx的tag列...
Ubuntu14.04搭建私有Docker Registry全攻略
“如何在Ubuntu14.04上搭建私有dockerregistry” 在本文中,我们将探讨如何在Ubuntu 14.04上搭建一个私有的Docker Registry,以保护你的Docker镜像不被公开访问。Docker Registry是存储和分发Docker镜像的中心仓库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值