Linux下docker私有仓库registry之实现加密仓库的访问控制(三)(docker版本:18.06.1-ce)

最新推荐文章于 2022-10-16 12:09:45 发布
最新推荐文章于 2022-10-16 12:09:45 发布
阅读量400 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42303254/article/details/88710299
版权

续我的上篇博文:https://mp.csdn.net/postedit/88696003

 

registry私有仓库实现加密仓库的访问控制(在上篇博文的基础上,也就是证书已经生成,server和物理机的解析已经做好,物理机已经得到证书)


实现访问限制的最简单方法是通过基本身份验证(这非常类似于其他Web服务器的基本身份验证机制)。

 

配置服务端(server1):

 

1、创建certs证书,生成服务器私钥:(因为是接着上篇博文,上篇博文已经做过)

 

2、生成鉴权密码文件

 

[root@server1 ~]# cd /mnt/docker/
[root@server1 docker]# mkdir auth    #在哪个目录下创建auth都可以,该目录的名字随意给
[root@server1 docker]# docker run --entrypoint htpasswd registry:2.3.1 -Bbn xjj xjj > auth/htpasswd   #用户xjj(第一个),密码xjj(第二个)。必须在auth目录的上一层目录执行(由命令决定的)。其中auth/htpasswd名字可以随便给,但是--entrypoint后面必须是htpasswd。这里>表示重定向,如果还要添加,需要用>>,否则会覆盖之前的。

##参数说明:
--entrypoint string:覆盖镜像默认的ENTRYPOINT,之前我们说过,ENTRYPOINT是不可以被覆盖的,如果实在要覆盖需要使用此参数
-B:强制密码加密
-b:使用命令行中的密码而不是提示输入密码
-n:不更新加密文件,只将加密后的用户名密码显示在屏幕上
  • 查看生成的认证密码

  • 查看生成的容器(没有在运行)

 

补充:

###从上面的图片,我们可以看到,当认证密码生成以后,会生成一个没有运行的容器,这个容器是没有任何作用的。那么可以使用下面的方法,使得容器生成认证密码之后,自动删除。
[root@server1 docker]# docker run --rm --entrypoint htpasswd registry:2.3.1 -Bbn admin xjj >> auth/htpsswd   #用户admin,密码xjj。--rm指定容器运行之后,自动删除。这里使用的是>>表示追加。如果使用>,那么将把原来生成的用户名(xjj)和密码(xjj)覆盖掉。如果是第一次生成认证密码,那么可以使用>。
  • 查看生成的认证密码

  • 查看容器,看到没有生成相应的容器。

 

3、删除上篇博文创建的仓库registry1(映射到本地主机的443端口),并删除之前存放registry私有仓库的镜像数据的目录(/media/registry)下的数据,防止冲突。

 

[root@server1 auth]# docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                            NAMES
ea3602dd0021        registry:2.3.1      "/bin/registry /etc/…"   13 hours ago        Up 24 minutes       0.0.0.0:443->443/tcp, 5000/tcp   registry1
[root@server1 auth]# docker rm -f registry1

[root@server1 auth]# cd /media/registry/
[root@server1 registry]# ls
docker
[root@server1 registry]# rm -rf docker/
[root@server1 registry]# ls

 

4、启动registry1

 

[root@server1 registry]# cd /mnt/docker
[root@server1 docker]# docker run -d \   #必须在certs目录的上一层目录执行(由命令决定的)
> --restart=always \
> --name registry1 \
> -v "$(pwd)"/certs:/certs \
> -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
> -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/xin.org.crt \
> -e REGISTRY_HTTP_TLS_KEY=/certs/xin.org.key \
> -p 443:443 \
> -v /media/registry:/var/lib/registry \
> -v "$(pwd)"/auth:/auth \   #新增加的内容
> -e "REGISTRY_AUTH=htpasswd" \   #新增加的内容
> -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \   #新增加的内容
> -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \   #新增加的内容
> registry:2.3.1

#参数解释:
REGISTRY_AUTH:验证方式,固定写法
REGISTRY_AUTH_HTPASSWD_REALM:验证域名,固定写法
REGISTRY_AUTH_HTPASSWD_PATH:容器中验证文件的路径,要写文件的路径
  • 查看运行的registry1容器

  • 查看443端口(https)

 

5、编写/etc/hosts文件,增加域名解析:(因为是接着上篇博文,上篇博文已经做过)

 

6、用户登录

登录认证成功后,才可进行push等操作

 

[root@server1 docker]# docker login xin.org
Username: xjj   #用户xjj
Password:    #密码xjj
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
  • 登陆成功之后,会生成,相应的认证文件。以保证,下次不用再登录。

 

7、上传xin.org/rhel7:nginx4(上传的镜像随意选,但是/前面必须是前面设定的域名xin.org

 

[root@server1 docker]# docker tag rhel7:nginx4 xin.org/rhel7:nginx4

 

[root@server1 .docker]# docker push xin.org/rhel7:nginx4 
The push refers to repository [xin.org/rhel7]
9fd85e6ca660: Pushed   #显示Pushed表示上传成功
668afdbd4462: Pushed 
nginx4: digest: sha256:96f12a4c433231a0c36d20af593dba0c135fed0aa2d3c180c2c00ac2a9cd5867 size: 739
  • 我们可以看到/media/registry目录下有相应的registry私有仓库的镜像数据(分层存储)

 

客户端测试(物理机):

 

1、在物理机上编写/etc/hosts文件,增加域名解析——(上篇博文已经做过);获取证书——(上篇博文已经做过)。登录进行认证,并进行测试:下载xin.org/rhel7:nignx4

 

下载之前,

1.我们需要先获取registry仓库类的镜像:(值的注意的是:必须在浏览器中进行测试:因为https必须在web界面进行安全认证)

在web界面:User Name:xjj;Password:xjj。

 

2.我们需要获取某个镜像的标签列表:

在web界面进行安全认证之后,得到下面的结果

 

<1>登录进行认证

 

[root@foundation83 kiosk]# docker rmi rhel7:nginx4   #删除上次实验pull的镜像
[root@foundation83 kiosk]# docker login xin.org   #或docker login -u xjj -p xjj 172.25.83.1
Username: xjj   #用户xjj
Password:       #密码:xjj
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

#补充:能够登录xin.org,那么当然也能退出xin.org
命令为:docker logout xin.org   #退出登录之后/root/.docker/config.json文件中也就不再有xin.org的认证记录了。当然那下一次要push或pull镜像的时候,需要重新执行login的操作。
  • 登陆成功之后,会生成,相应的认证文件。以保证,下次不用再登录。

 

<2>下载xin.org/rhel7:nignx4

[root@foundation83 kiosk]# docker pull xin.org/rhel7:nginx4

 

 

##如果看不惯镜像xin.org/rhel7:nginx4这个名字,可以改名字
[root@foundation83 ~]# docker tag xin.org/rhel7:nginx4 rhel7:nginx4
[root@foundation83 ~]# docker rmi xin.org/rhel7:nginx4

 

服务端可以上传镜像,也可以下载镜像(这里不再演示,通客户端的pull);客户端如果有证书,能够通过认证,当然可以上传镜像(这里不再演示,同服务端的push),也可以下载镜像。

 

柒️星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
搭建私有Docker Registry
weixin_30496751的博客
07-27 130
搭建私有Docker Registry Docker官方提供了用于搭建私有registry的镜像,并配有详细文档。 官方Registry镜像:https://hub.docker.com/_/registry 官方文档:https://docs.docker.com/registry 根据文档快速搭建的私有registry,只支持http。但是...
手把手docker registry配置登录名/密码及registry-web配置
weixin_38251332的博客
02-28 6764
我们的Docker私有仓库Registry服务只有加了认证机制之后我们的Registry服务才会更加的安全可靠
Docker笔记之私有仓库
zhoudatianchai的专栏
03-17 435
Docker仓库分为公有仓库私有仓库。 公有仓库值的是Docker Hub(官方库)等开放给用户使用的仓库私有仓库指的是由用户自行搭建的存放镜像的环境。 Docker Hub一般情况下,都是从上边下拉对应的环境,其他的用的不太多。这里主要做一下私有仓库的各种笔记。 在搭建之前必须安装docker,然后从docker hub 下拉registryregistry是一个特殊的镜像,主要用来搭建仓库。 0. 搭建无认证私有仓库 # 第一步: 在仓库的服器上运行registry docker r
docker-compose搭建私有docker registry
qq314000558的专栏
05-19 798
docker hub注册后只可以免费上传一个镜像,不过我们也可以使用其他免费docker仓库,比如腾讯云的免费docker仓库,不受上传限制。 当然我们也可以创建我们自己的私有仓库,再也不用担心上传速度受到影响,并且也更加安全。 示例说明 使用的是win10自带的docker 服务器使用的是centos系统 服务器ip地址以182.61.60.219为例(该IP只是示例,并不可用哦) 仓库端口以8050为例 仓库访问端口以5000为例 仓库UI访问端口以5051为例 本地局域网地址以19..
【K8S 二】搭建Docker Registry私有仓库(自签发证书+登录认证)(K8S和非K8S环境下)
刘元林的博客
11-19 5925
Go 1.15 版本开始废弃 CommonName,因此推荐使用 SAN 证书 docker run -d -e REGISTRY_AUTH="htpasswd" -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \ -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \ -v /opt/registry/images:/var/lib/registry \
docker私有仓库搭建
a80C51的博客
10-16 1176
建立docker私有仓库方便使用。
docker-18.06.1-ce.tar.gz
03-13
一键离线安装与卸载dockerdocker-compose,执行 tar -zxvf docker-18.06.1-ce.tar.gz 和 sh install.sh 命令即可。
Docker私有仓库Registry部署的实现
09-29
主要介绍了Docker私有仓库Registry部署的实现私有仓库最常用的就是Registry、Harbor两种,本文详细介绍如何搭建registry私有仓库,感兴趣的可以了解一下
docker-registry-ui:您的私有注册表的最简单,最完整的UI
02-02
您可以在两个版本之间进行选择,即标准接口( joxit/docker-registry-ui:latest )和静态接口( joxit/docker-registry-ui:static )。 在标准界面中,没有默认注册表,您需要在UI中添加自己的注册表。 使用此版本...
docker-18.06.1-ce.zip
06-05
"docker-18.06.1-ce.zip"是Docker的特定版本安装包,其中包含了Docker的安装组件以及相关的配置和服务文件。 在压缩包中,我们看到有以下几个关键文件: 1. **docker.service**:这是一个Systemd服务单元文件,...
Docker问题——安装过程中问题Errors were encountered while processing: docker-ce
01-07
docker-ce安装时出现错误: dpkg: error processing package docker-ce (--configure): subprocess installed post-installation script returned error exit status 1 Processing triggers for libc-bin (2.23-0...
部署 Docker Registry 并配置认证登录
以梦为马|越骑越傻
05-15 1979
文章目录搭建 Docker Registry创建本地映射目录启动 Docker Registry配置 Docker Registry配置 Docker Registry 认证启动带认证的 Docker Registry配置 Docker Registry登录 Docker Registry测试 Docker Registry Docker Registry 官网 Docker Registry 需要 Docker 版本高于等于 1.6.0 Registry是一个无状态、高度可扩展的服务器侧应用程序,用于存
docker 私人仓库 设置密码报错(已解决)
m0_61209018的博客
12-03 2125
rhel7.9 搭建docker registry 的时候,需要密码登录,x509 证书认证,在htpasswd 生成密码的时候报错: $ docker run --entrypoint htpasswd registry:latest -Bbn test 123456 >> /opt/docker/registry/auth/htpasswd docker: Error response from daemon: OCI runtime create failed: container_l.
docker搭建本地免密仓库私有仓库registry加密访问控制(身份验证)
qq_41830712的博客
05-30 2190
前言: 本篇博客是在做了阿里云镜像仓库和加速器的环境 什么是仓库 Docker 仓库是用来包含镜像的位置,Docker提供一个注册服 务器(Register)来保存多个仓库,每个仓库又可以包含多个 具备不同tag的镜像。 Docker运行中使用的默认仓库Docker Hub 公共仓库。 首先在https://cloud.docker.com/网站注册一个账号 docker hub为...
利用docker registry搭建私有仓库(自签发证书+登陆认证)
lilygg的博客
03-21 4463
构建自定义镜像实现一键源码编译部署nginx服务 … 搭建私有仓库 1.配置阿里云镜像加速器 2.从阿里云拉取registry镜像 [root@foundation66 ~]# docker pull registry [root@foundation66 ~]# docker images 3.创建私有仓库registry容器) #创建容器(私有仓库) [root@foundation66...
LinuxDocker(五)搭建registry私有仓库、设置加密以及认证、为私有仓库添加web界面
qq_36016375的博客
08-15 2287
概念讲解 1.仓库分为公开仓库(Public)和私有仓库(Private)两种形式。最大的公开仓库Docker Hub,存放了数量庞大的镜像供用户下载。 国内的公开仓库包括 Docker Pool等,可以提供大陆用户更稳定快速的访问。 2.当然,用户也可以在本地网络内创建一个私有仓库。当用户创建了自己的镜像之后就可以使用 push 命令将它上传到公有或者私有仓库,这样下次在另外一台机器上使用这...
搭建docker registry (htpasswd 认证)
diejigu8268的博客
10-10 1337
1,拉取docker registry 镜像 docker pull registry 2,创建证书存放目录 mkdir -p /home/registry 3,生成CA证书Edit your /etc/ssl/openssl.cnf on the logstash host - add subjectAltName = IP:10.1.10.1 in...
猿创征文|docker本地私人仓库快速搭建后的安全优化(用户鉴权和简易的web界面开启)
zsk_john的技术分享专用博客
09-02 1276
web端也是没有密码验证的,两个容器是一对的哦。
搭建docker私有仓库 配置用户名密码
weixin_42743410的博客
08-03 4375
1、系统配置 服务端:centos 7 客户端:Windows 10 2、搭建服务端 # 下载 registry docker pull registry # 挂载相关的配置 mkdir -p /docker/registry/auth # 生成账号密码:name password123 docker run --entrypoint htpasswd registry:latest -Bbn name password123 >> /docker/registry/auth/htpass..
docker私有仓库registry可视化
最新发布
08-19
Docker中,可以通过使用Portus来实现docker私有仓库Registry的可视化。Portus是一个带有UI管理功能的仓库管理软件,它可以与Registry一起使用,提供更方便的图形化用户界面来浏览、检索和管理Docker镜像仓库。通过Portus,用户可以通过浏览器来管理项目和命名空间,进行权限管理,进行镜像的复制和同步,以及记录和追踪所有对镜像仓库的操作,用于审计管理。同时,Portus还支持与企业现有的AD/LDAP进行集成,方便进行鉴权认证管理。总之,使用Portus可以使docker私有仓库Registry的管理更加简单和直观。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Docker仓库之企业级可视化私有仓库Harbor(安装、快速、入门)](https://blog.csdn.net/qq_41417660/article/details/106809535)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [docker私有镜像仓库registry及其可视化系统Portus的搭建【转】](https://blog.csdn.net/weixin_33898876/article/details/85966303)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值