501. 【registry】docker-私有仓库实现https-访问

最新推荐文章于 2024-06-07 00:41:45 发布
最新推荐文章于 2024-06-07 00:41:45 发布
阅读量782 收藏 1
点赞数
文章标签: docker https 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36073886/article/details/131116948
版权

上一篇,我们已经成功通过 registry 搭建了一个 docker 私有仓库,但仔细点我们会发现,在拉取和推送镜像时,需要附加 --insecure-registry参数,很不方便,这次来优化一下这块。

一、生成证书

  1. 生成 CA 根证书
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=<YOUR IP>" -days 36500 -out ca.crt
  1. 生成registry ca 证书
cat > domain_ssl.cnf <<EOF
[ req ]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[ req_distinguished_name ]

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = <YOUR HOSTNAME>
IP.1 = <YOUR IP>
EOF
  • DNS.1 写成 registry 的访问域名
  • IP.1 写成 registry 所在的机器的IP
  1. 生成 key 和 crt
openssl genrsa -out domain.key 2048

openssl req -new -key domain.key -config etcd_ssl.cnf -subj "/CN=etcd-server" -out domain.csr

openssl x509 -req -in domain.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 36500 -extensions v3_req -extfile domain_ssl.cnf -out domain.crt
  1. domain.crtdomain.key复制到 /etc/docker/registry/certs/目录

二、配置systemd环境变量

systemctl edit registryd

文件内容如下:

[Service]
Environment="REGISTRY_HTTP_TLS_CERTIFICATE=/etc/docker/registry/certs/domain.crt"
Environment="REGISTRY_HTTP_TLS_KEY=/etc/docker/registry/certs/domain.key"

重启并查看服务状态:

[root@qijing0 ~]#  systemctl restart registryd && systemctl status registryd  
● registryd.service - private registry
   Loaded: loaded (/usr/lib/systemd/system/registryd.service; enabled; vendor preset: disabled)
  Drop-In: /etc/systemd/system/registryd.service.d
           └─override.conf
   Active: active (running) since Mon 2022-11-21 23:08:20 EST; 8ms ago
     Docs: https://github.com/distribution/distribution# readme
 Main PID: 15662 (registry)
    Tasks: 5
   Memory: 6.5M
   CGroup: /system.slice/registryd.service
           └─15662 /usr/bin/registry serve /etc/docker/registry/config.yml

Nov 21 23:08:20 qijing0 systemd[1]: Started private registry.

三、在客户端机器安装证书

复制 domain.crt/etc/containerd/certs.d/domain/目录下。
并重启 containerd

四、验证

推送镜像验证:

[root@k8s0 server]#  nerdctl push domain/test-server:0.0.5
INFO[0000] pushing as a reduced-platform image (application/vnd.docker.distribution.manifest.v2+json, sha256:e0f152bb79f22dcbaaf4429cf8bc3cff75d831a5bee8042acf018560f5900586) 
manifest-sha256:e0f152bb79f22dcbaaf4429cf8bc3cff75d831a5bee8042acf018560f5900586: done           |++++++++++++++++++++++++++++++++++++++| 
config-sha256:cf3c9b089da1f8120c9ee912752dd14d56d7ef769d81d6a81423dea7324a3e5b:   done           |++++++++++++++++++++++++++++++++++++++| 
elapsed: 0.1 s                                                                    total:  6.4 Ki (63.3 KiB/s)

  • 可以看到现在能正常推送镜像了

拉取镜像验证:

[root@k8s1 tmp]#  nerdctl pull registry.domain.cn/test-server:0.0.5
registry.domain.cn/test-server:0.0.5:                                          resolved       |++++++++++++++++++++++++++++++++++++++| 
manifest-sha256:e0f152bb79f22dcbaaf4429cf8bc3cff75d831a5bee8042acf018560f5900586: done           |++++++++++++++++++++++++++++++++++++++| 
config-sha256:cf3c9b089da1f8120c9ee912752dd14d56d7ef769d81d6a81423dea7324a3e5b:   done           |++++++++++++++++++++++++++++++++++++++| 
elapsed: 0.1 s                                                                    total:   0.0 B (0.0 B/s)                                         
[root@k8s1 tmp]#  date
Tue Nov 22 13:54:41 CST 2022

  • 可以看到现在能正常拉取镜像了

【附加1】、安装 konradkleine/docker-registry-frontend:v2用户界面

上一节安装的是joxit/docker-registry-ui,没升级成https之前还蛮好使用的,升级之后,就一直报 CORS 跨域错误,折腾了会,还是决定换一个用户界面程序,来支持 https:

docker run \
  -d \
  -e ENV_DOCKER_REGISTRY_HOST=registry.domain.cn \
  -e ENV_DOCKER_REGISTRY_PORT=443 \
  -e ENV_DOCKER_REGISTRY_USE_SSL=1 \
  -p 5001:80 \
  konradkleine/docker-registry-frontend:v2

安装完之后,也不是一帆风顺,刚开始也获取不到镜像列表,我从浏览器访问,按f12之后,发现解析不了域名,于是手动进入容器内部,在 /etc/hosts中添加了域名:

[root@qijing0 ~]#  docker exec -it 6d /bin/bash
root@6d48c37a52c5:/#  cat >>/etc/hosts<<EOF
> 192.168.3.1 registry.domain.cn
> EOF

ok!,现在可以了,通过浏览器能顺利访问到镜像列表了,足够了。
用户界面首页
镜像列表

七镜全栈成长
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
registry.tar docker 私有仓库基础镜像
07-06
docker_registry私有仓库基础镜像 registry:2 registry:latest
搭建一个支持HTTPS私有DOCKER Registry
热门推荐
xcjing的博客
04-19 1万+
搭建一个支持HTTP的私有DOCKER Registry 可参考文章: http://blog.csdn.net/fgf00/article/details/52040492 测试可以用HTTP访问一下: http://IP:PORT/v2/ 如果要搭建一个支持HTTPS私有DOCKER Registry,可参考文章: http://www.cnblogs.co
Docker Registry 支持自建证书Https访问
Jecci
06-22 4186
Docker Registry 支持自建证书Https访问,需要以下几个步骤: 一:创建一个自建域名证书。 二:创建支持HTTPS访问Registry。 三:配置自建域名的解析 四:配置Docker 支持自建域名证书 五:效果测试 开始: 一:创建一个自建域名证书。 #我配置的域名为test.registry.net openssl req -newkey rsa:4096 -nodes -sha256 -keyout /home/docker-certs/test.registry.
蓝易云 - 如何配置Docker Docker Registry以支持http请求(替代默认https请求)
最新发布
高性价比服务器就选:蓝易云
06-07 318
另外,你把保护性的设施去掉以后,Docker的数据交换就完全暴露在你的内网或者公网上,那些有心人甚至可能会伺机而动。所以,除非必要,或者你确保自己的Registry服务器只在安全的内网环境运行,否则你还是尽量按照官方推荐的方式——使用HTTPS,来安全地执行你的操作。这段JSON代码就跟它的名字一样直白,告诉Docker:“管他三七二十一,你遇到'my-registry.my-domain.com'这个地址,就别拿https给我扣帽子,我就想赤脚走路。接着,打开的这个文件中,就可以放入你的配置了。
五、Docker仓库httpsregistry搭建(二)
margu_168的博客
05-25 1605
新建 /root/registry/ssl文件夹并将 docker.domain.com.key docker.domain.com.crt root-ca.crt 这三个文件移入,其他文件也可以移进去。由于自行签发的 CA 根证书不被系统信任,所以我们需要将 CA 根证书 ssl/root-ca.crt 移入 /etc/docker/certs.d/docker.margu.com 文件夹中。这样我们就搭建好了一个具有权限认证、TLS 的私有仓库,接下来我们测试其功能是否正常。web界面登录也是正常的。
搭建带httpsdocker 私有镜像仓库(registry)
stefan1240的专栏
12-09 2801
前言: 需要在阿里云服务器上搭建自己的私有docker镜像仓库,1)、pull和push时需要登录才能操作;2)、传输通过https保证安全性;下面把操作步骤进行了记录。 一、pull registry镜像 执行命令: docker pull registry:2 二、创建账号和密码,并且通过docker加密 1、创建几个文件夹,用于启动容器的时候挂载上去 mkdir -p /data/docker-registry/ cd /data/docker-registry &...
Docker Registry搭建私有镜像仓库(干货)http/https
小学徒
05-26 1010
########先安装docker,此处不做叙述######### 1、docker pull registry 2、docker run -d -v /opt/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest 参数说明   -d:在后台运行;   -v:把宿主机的/opt/registry目录绑到容器/var/lib/registry目录(这个目录是registry容器中.
Dockerfile Registry 配置HTTPS服务
键盘上流淌的日子
11-13 2233
  某些场景下,为了保证私有仓库的安全,可能会期望将Docker Registry基于HTTPS协议开放。   1) 通过docker search搜索registry镜像。 docker search registry   2) 拉取registry最新镜像。 docker pull registry   3) 查看镜像信息。 docker images   4) 使用OpenSSL创建证书文件。   ① 确认OpenSSL是否已安装。 openssl version   ② 若为安装,
docker-registry.helm:Docker注册表的Helm图表。 稳定的docker-registry图表的后继者
04-27
实施Docker注册表部署安装图表首先,添加仓库: $ helm repo add twuni https://helm.twun.io 要安装图表,请使用以下命令: $ helm install twuni/docker-registry配置下表列出了docker-registry图表的可配置参数...
docker-nginx-auth-registry:通过nginx对私有仓库的安全认证
07-06
docker-nginx-auth-registry通过nginx对私有仓库的安全认证1.在宿主机上用htpasswd生成用户名和密码,作为nginx basic auth 的用户名和密码htpasswd -b -c -d docker-registry.htpasswd kiss test2.在宿主机上做好...
docker容器化+图形界面portainer+镜像私有仓库registry+docker-registry-ui成功
08-19
docker容器化+图形界面portainer+镜像私有仓库registry+docker-registry-ui+以及springboot+vue部署示例,安装文档自己部署了好几次,绝对可执行!!!
docker-registry:这是“已弃用”! 请转到https
05-19
警告 注意:不推荐使用经典的python“ Docker Registry”,而是采用新的golang实现。 这是出于历史目的保留的,不会再收到任何重大的工作或爱戴了。 您应该转到或。 Docker注册表 关于本文件 随着文档随着注册表版本的不同而发展,请确保在进一步阅读之前: 检查您正在运行的注册表版本 切换到相应的标签以访问与您的产品版本匹配的自述文件 稳定的发行版本是。 在报告错误之前,请也快速浏览一下 。 目录 搜索引擎选项sqlalchemy的 镜像选项 缓存选项 储存选项 储存档案永久储存 储存S3 您自己的配置 进阶使用 车手 对于开发人员 快速开始 最快的运行方式: 安装泊坞窗 运行注册表: docker run -p 5000:5000 registry 它将使用Docker集线器中的官方映像。 这是一个稍微复杂一点的示例,该示例在端口5000上启动注册表,
Docker Registry搭建私有镜像仓库实现方法
09-29
主要介绍了Docker Registry搭建私有镜像仓库实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
docker搭建RegistryHTTPS协议私有仓库
勿念勿扰,相安静好
10-22 1186
搭建企业私有的镜像仓库,满足从开发环境推送和拉取镜像。当我们使用k8s来编排和调度容器时,操作的基本单位是镜像,所以需要从仓库去拉取镜像到当前的工作节点。本来使用公共的docker hub完全可以满足我们的需求,也非常方便,但是上传的镜像任何人都可以访问,其次docker hub的私有仓库又是收费的,所以从安全和商业两方面考虑,企业必须搭建自己的私有镜像仓库 为了保证镜像传输安全,从开发环境向私...
docker 20.10 局域网自建registryhttps访问
qq_23123417的专栏
09-19 112
docker registry 在内网的部署方法,用于https push/pull
配置Insecure Docker Registry支持http请求 (更改默认的https请求)
scruffybear的专栏
10-17 2051
本文记录了如何配置`Insecure http docker registry`,也就是使用`http`请求 (更改默认的https请求)`Docker Registry`仓库
深度解析 Docker Registry:构建安全高效的私有镜像仓库
weixin_65175398的博客
11-23 1284
Docker Registry是一个服务,用于存储、管理和分发Docker镜像。它可以是公共的,比如Docker Hub,也可以是私有的,用于组织内部或特定用户群体。Docker镜像通过Registry进行版本控制、存储和共享。Docker Registry是支持Docker生态系统的重要组件之一,构建私有Registry对于一些特殊需求的项目至关重要。
docker registry仓库转移及https启动
椰汁菠萝
07-16 870
一、docker registry私有仓库搭建 docker肯定是必备环境 docker run -d -p 5000:5000 registry 该命令会到docker hup上拉取最新registry镜像启动,映射端口为5000 访问:http://localhost:5000/v2/_catalog 查看镜像库里有哪些镜像,刚启动当然是空的,这样一个简单的私有仓库就搭建好了 二、上传镜像 docker tag registry 127.0.0.1:5000/registry docker push
docker-harbor仓库
08-29
Docker Harbor是一个开源的企业级容器镜像仓库,它可以帮助用户管理和分发Docker镜像。通过搭建Docker Harbor仓库,用户可以自己创建和维护私有的镜像仓库,并使用https认证方式进行安全访问。 要搭建Docker Harbor仓库,首先需要下载和安装Docker Compose工具。可以使用以下命令下载和安装Docker Compose: ``` curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose chmod +x /usr/local/bin/docker-compose ``` 接着,可以使用以下命令检查Docker Compose是否安装成功: ``` docker-compose -v ``` 下载完Docker Compose后,需要维护和管理Harbor仓库。首先,需要下载registry镜像并创建本地私有仓库。可以使用以下命令下载registry镜像: ``` docker pull registry ``` 接着,在daemon.json文件中添加私有镜像仓库地址。可以使用以下命令编辑daemon.json文件: ``` vim /etc/docker/daemon.json ``` 并在文件中添加如下内容: ``` { "registry-mirrors": ["https://3c7tpzyf.mirror.aliyuncs.com"], "insecure-registries": ["192.168.122.10:5000"] } ``` 然后,重启Docker服务以使更改生效: ``` systemctl restart docker.service ``` 最后,使用以下命令运行registry容器来启动私有仓库: ``` docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest ``` 以上就是搭建Docker Harbor仓库的过程。通过这个仓库,您可以方便地管理和分发Docker镜像。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [docker-harbor2.4.2-https私有仓库-有验证和web](https://download.csdn.net/download/qq_34953582/87952076)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Docker私有仓库与Harbor](https://blog.csdn.net/weixin_48861962/article/details/121726836)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值