501. 【registry】docker-私有仓库实现https-访问

最新推荐文章于 2024-04-30 17:52:05 发布
最新推荐文章于 2024-04-30 17:52:05 发布
阅读量632 收藏 1
点赞数
文章标签: docker https 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36073886/article/details/131116948
版权

上一篇,我们已经成功通过 registry 搭建了一个 docker 私有仓库,但仔细点我们会发现,在拉取和推送镜像时,需要附加 --insecure-registry参数,很不方便,这次来优化一下这块。

一、生成证书

  1. 生成 CA 根证书
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=<YOUR IP>" -days 36500 -out ca.crt
  1. 生成registry ca 证书
cat > domain_ssl.cnf <<EOF
[ req ]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[ req_distinguished_name ]

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = <YOUR HOSTNAME>
IP.1 = <YOUR IP>
EOF
  • DNS.1 写成 registry 的访问域名
  • IP.1 写成 registry 所在的机器的IP
  1. 生成 key 和 crt
openssl genrsa -out domain.key 2048

openssl req -new -key domain.key -config etcd_ssl.cnf -subj "/CN=etcd-server" -out domain.csr

openssl x509 -req -in domain.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 36500 -extensions v3_req -extfile domain_ssl.cnf -out domain.crt
  1. domain.crtdomain.key复制到 /etc/docker/registry/certs/目录

二、配置systemd环境变量

systemctl edit registryd

文件内容如下:

[Service]
Environment="REGISTRY_HTTP_TLS_CERTIFICATE=/etc/docker/registry/certs/domain.crt"
Environment="REGISTRY_HTTP_TLS_KEY=/etc/docker/registry/certs/domain.key"

重启并查看服务状态:

[root@qijing0 ~]#  systemctl restart registryd && systemctl status registryd  
● registryd.service - private registry
   Loaded: loaded (/usr/lib/systemd/system/registryd.service; enabled; vendor preset: disabled)
  Drop-In: /etc/systemd/system/registryd.service.d
           └─override.conf
   Active: active (running) since Mon 2022-11-21 23:08:20 EST; 8ms ago
     Docs: https://github.com/distribution/distribution# readme
 Main PID: 15662 (registry)
    Tasks: 5
   Memory: 6.5M
   CGroup: /system.slice/registryd.service
           └─15662 /usr/bin/registry serve /etc/docker/registry/config.yml

Nov 21 23:08:20 qijing0 systemd[1]: Started private registry.

三、在客户端机器安装证书

复制 domain.crt/etc/containerd/certs.d/domain/目录下。
并重启 containerd

四、验证

推送镜像验证:

[root@k8s0 server]#  nerdctl push domain/test-server:0.0.5
INFO[0000] pushing as a reduced-platform image (application/vnd.docker.distribution.manifest.v2+json, sha256:e0f152bb79f22dcbaaf4429cf8bc3cff75d831a5bee8042acf018560f5900586) 
manifest-sha256:e0f152bb79f22dcbaaf4429cf8bc3cff75d831a5bee8042acf018560f5900586: done           |++++++++++++++++++++++++++++++++++++++| 
config-sha256:cf3c9b089da1f8120c9ee912752dd14d56d7ef769d81d6a81423dea7324a3e5b:   done           |++++++++++++++++++++++++++++++++++++++| 
elapsed: 0.1 s                                                                    total:  6.4 Ki (63.3 KiB/s)

  • 可以看到现在能正常推送镜像了

拉取镜像验证:

[root@k8s1 tmp]#  nerdctl pull registry.domain.cn/test-server:0.0.5
registry.domain.cn/test-server:0.0.5:                                          resolved       |++++++++++++++++++++++++++++++++++++++| 
manifest-sha256:e0f152bb79f22dcbaaf4429cf8bc3cff75d831a5bee8042acf018560f5900586: done           |++++++++++++++++++++++++++++++++++++++| 
config-sha256:cf3c9b089da1f8120c9ee912752dd14d56d7ef769d81d6a81423dea7324a3e5b:   done           |++++++++++++++++++++++++++++++++++++++| 
elapsed: 0.1 s                                                                    total:   0.0 B (0.0 B/s)                                         
[root@k8s1 tmp]#  date
Tue Nov 22 13:54:41 CST 2022

  • 可以看到现在能正常拉取镜像了

【附加1】、安装 konradkleine/docker-registry-frontend:v2用户界面

上一节安装的是joxit/docker-registry-ui,没升级成https之前还蛮好使用的,升级之后,就一直报 CORS 跨域错误,折腾了会,还是决定换一个用户界面程序,来支持 https:

docker run \
  -d \
  -e ENV_DOCKER_REGISTRY_HOST=registry.domain.cn \
  -e ENV_DOCKER_REGISTRY_PORT=443 \
  -e ENV_DOCKER_REGISTRY_USE_SSL=1 \
  -p 5001:80 \
  konradkleine/docker-registry-frontend:v2

安装完之后,也不是一帆风顺,刚开始也获取不到镜像列表,我从浏览器访问,按f12之后,发现解析不了域名,于是手动进入容器内部,在 /etc/hosts中添加了域名:

[root@qijing0 ~]#  docker exec -it 6d /bin/bash
root@6d48c37a52c5:/#  cat >>/etc/hosts<<EOF
> 192.168.3.1 registry.domain.cn
> EOF

ok!,现在可以了,通过浏览器能顺利访问到镜像列表了,足够了。
用户界面首页
镜像列表

七镜全栈成长
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker-registry:这是“已弃用”! 请转到https
05-19
警告 注意:不推荐使用经典的python“ Docker Registry”,而是采用新的golang实现。 这是出于历史目的保留的,不会再收到任何重大的工作或爱戴了。 您应该转到或。 Docker注册表 关于本文件 随着文档随着注册表版本的不同而发展,请确保在进一步阅读之前: 检查您正在运行的注册表版本 切换到相应的标签以访问与您的产品版本匹配的自述文件 稳定的发行版本是。 在报告错误之前,请也快速浏览一下 。 目录 搜索引擎选项sqlalchemy的 镜像选项 缓存选项 储存选项 储存档案永久储存 储存S3 您自己的配置 进阶使用 车手 对于开发人员 快速开始 最快的运行方式: 安装泊坞窗 运行注册表: docker run -p 5000:5000 registry 它将使用Docker集线器中的官方映像。 这是一个稍微复杂一点的示例,该示例在端口5000上启动注册表,
五、Docker仓库httpsregistry搭建(二)
margu_168的博客
05-25 1461
新建 /root/registry/ssl文件夹并将 docker.domain.com.key docker.domain.com.crt root-ca.crt 这三个文件移入,其他文件也可以移进去。由于自行签发的 CA 根证书不被系统信任,所以我们需要将 CA 根证书 ssl/root-ca.crt 移入 /etc/docker/certs.d/docker.margu.com 文件夹中。这样我们就搭建好了一个具有权限认证、TLS 的私有仓库,接下来我们测试其功能是否正常。web界面登录也是正常的。
一文搞定docker创建私有镜像仓库(配置启动httphttps方式私有仓库服务,查询、删除私有仓库镜像)
phoenix339的博客
06-29 8563
       docker除了使用公共镜像仓库之外,也可以创建私有镜像仓库。对于内部开发、测试、部署环境来说,是很有必要的。        如何创建私有镜像仓库服务呢?当然是以容器的方式啦! 1.拉取官方registry镜像到本地 docker pull re...
Docker registry 、网络类型、跨主机访问 --3
Jerry00713的博客
09-06 986
9、Docker构建私有registry 9.1 启动registry 他是一个服务,类似一个nginx,把他运行成一个容器,也就是说镜像也在容器中。 依赖 registry镜像,--restart=always意思:默认不写就是不加,如果没有这个参数,dockers 重启后,所以容器都down。 对于服务容器是不允许,所以,在docker启动,就把我容器拉起来 docker run -d -p 5000:5000 --restart=always --...
Docker Registry搭建私有镜像仓库(干货)http/https
小学徒
05-26 948
########先安装docker,此处不做叙述######### 1、docker pull registry 2、docker run -d -v /opt/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest 参数说明   -d:在后台运行;   -v:把宿主机的/opt/registry目录绑到容器/var/lib/registry目录(这个目录是registry容器中.
Docker Registry 支持自建证书的Https访问
Jecci
06-22 3999
Docker Registry 支持自建证书的Https访问,需要以下几个步骤: 一:创建一个自建域名证书。 二:创建支持HTTPS访问Registry。 三:配置自建域名的解析 四:配置Docker 支持自建域名证书 五:效果测试 开始: 一:创建一个自建域名证书。 #我配置的域名为test.registry.net openssl req -newkey rsa:4096 -nodes -sha256 -keyout /home/docker-certs/test.registry.
搭建带httpsdocker 私有镜像仓库(registry)
stefan1240的专栏
12-09 2492
前言: 需要在阿里云服务器上搭建自己的私有docker镜像仓库,1)、pull和push时需要登录才能操作;2)、传输通过https保证安全性;下面把操作步骤进行了记录。 一、pull registry镜像 执行命令: docker pull registry:2 二、创建账号和密码,并且通过docker加密 1、创建几个文件夹,用于启动容器的时候挂载上去 mkdir -p /data/docker-registry/ cd /data/docker-registry &...
docker搭建RegistryHTTPS协议私有仓库
勿念勿扰,相安静好
10-22 1153
搭建企业私有的镜像仓库,满足从开发环境推送和拉取镜像。当我们使用k8s来编排和调度容器时,操作的基本单位是镜像,所以需要从仓库去拉取镜像到当前的工作节点。本来使用公共的docker hub完全可以满足我们的需求,也非常方便,但是上传的镜像任何人都可以访问,其次docker hub的私有仓库又是收费的,所以从安全和商业两方面考虑,企业必须搭建自己的私有镜像仓库 为了保证镜像传输安全,从开发环境向私...
docker 20.10 局域网自建registryhttps访问
qq_23123417的专栏
09-19 98
docker registry 在内网的部署方法,用于https push/pull
Dockerfile Registry 配置HTTPS服务
键盘上流淌的日子
11-13 2047
  某些场景下,为了保证私有仓库的安全,可能会期望将Docker Registry基于HTTPS协议开放。   1) 通过docker search搜索registry镜像。 docker search registry   2) 拉取registry最新镜像。 docker pull registry   3) 查看镜像信息。 docker images   4) 使用OpenSSL创建证书文件。   ① 确认OpenSSL是否已安装。 openssl version   ② 若为安装,
registry.tar docker 私有仓库基础镜像
07-06
docker_registry私有仓库基础镜像 registry:2 registry:latest
docker-registry.helm:Docker注册表的Helm图表。 稳定的docker-registry图表的后继者
04-27
实施Docker注册表部署安装图表首先,添加仓库: $ helm repo add twuni https://helm.twun.io 要安装图表,请使用以下命令: $ helm install twuni/docker-registry配置下表列出了docker-registry图表的可配置参数...
docker-nginx-auth-registry:通过nginx对私有仓库的安全认证
07-06
docker-nginx-auth-registry通过nginx对私有仓库的安全认证1.在宿主机上用htpasswd生成用户名和密码,作为nginx basic auth 的用户名和密码htpasswd -b -c -d docker-registry.htpasswd kiss test2.在宿主机上做好...
Docker Registry搭建私有镜像仓库实现方法
09-29
主要介绍了Docker Registry搭建私有镜像仓库实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
docker容器化+图形界面portainer+镜像私有仓库registry+docker-registry-ui成功
08-19
docker容器化+图形界面portainer+镜像私有仓库registry+docker-registry-ui+以及springboot+vue部署示例,安装文档自己部署了好几次,绝对可执行!!!
04 Docker练习赛从0开始到 docker 镜像提交
最新发布
在科技的浪潮中,我们寻找着创新的火种,在代码的海洋里,我们编织着智慧的网。腾飞开源,就是这样一个由技术精英汇聚而成的博客平台,我们致力于分享在Java、Python、IoT和人工智能等领域的最新研究成果和实战经验。 在腾飞开源的博客上,你会看到紧跟技术前
04-30 985
创建 Dockerfile这里 FROM 后面跟的是 baseimg 这里选择的是天池 baseimg 帖子里的第一个ADD ./ 是把当前文件夹里的文件构建到镜像的根目录下WORKDIR / 指定默认工作目录为跟目录(这里要注意指定后,需要把 run.sh 和生成的结果文件都存放在该文件夹下,否则提交会运行失败)第四句话是安装软件包,这里不需要,注释掉最后一句 CMD 就是镜像启动时执行什么命令,这里统一为 sh run.sh 不需要改动。
Docker单独安装xiaoya-alist
wbsu2004的博客
04-29 1840
小雅是资源聚合站,通过自己的阿里云盘中转缓存资源,可以实现大量的资源在线播放。
[docker] docker 安全知识 - docker 系统性简介
GoldenaArcher的博客
04-27 955
今年的 security training 选的 topic 就是 docker 了,为了过这个 training 于是先把 docker 过了一遍(笑死之前干啃的时候确实觉得不太能看下去,不过走了一遍实践之后发现就比较好理解。
DockerDocker的网络与资源控制
Mo_nor的博客
04-26 966
直接使用bridge模式,是无法支持指定IP运行docker的,例如执行以下命令就会报错可以先定义网络,再使用指定IP运行docker#docker1 为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。#mynetwork 为执行 docker network list 命令时,显示的bridge网络模式名称。
docker-harbor仓库
08-29
- *2* *3* [Docker私有仓库与Harbor](https://blog.csdn.net/weixin_48861962/article/details/121726836)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值