Docker 私有仓库用户认证

已于 2022-01-28 17:19:49 修改
阅读量994 收藏 2
点赞数 1
分类专栏: # Docker 文章标签: Docker
于 2019-03-21 10:17:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42168046/article/details/88707980
版权

前言: 为了提高私有仓库的安全性,设置用户密码进行登录

私有仓库高级配置

使用Docker Compose搭建拥有认证,TLS的私有仓库
需要注意的是:下面的所有操作在一个文件夹下面进行
私有仓库地址:192.168.50.66

准备站点证书

当有一个域名,就可以使用openssl自行签发证书。
案例:搭建私有仓库地址:www.wanglhdocker.com
过程

# 创建CA私钥
openssl genrsa -out "root-ca.key" 4096

# 利用私钥创建CA根证书请求文件
openssl req -new -key "root-ca.key" \   
    -out "root-ca.csr" -sha256 \
    -subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=Your Company Name Docker Registry CA'
# -subj /C 表示国家; /ST 表示省  /L 表示城市 /O 表示组织名 /CN通用名称

# 配置CA根证书,新建root-ca.cnf
vim root-ca.cnf
[root-ca]
basicConstraints = critical,CA:TRUE,pathlen:1
keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
subjectKeyIdentifier=hash

# 签发根证书
openssl x509 -req -days 3650 -in "root-ca.csr" \
    -signkey "root-ca.key" -sha256 -out "root-ca.crt" \
    -extfile "root-ca.cnf" -extensions \
    root_ca
    
# 生成站点SSL私钥
openssl genrsa -out "www.wanglhdocker.com.key" 4096

# 使用私钥生成证书请求文件
openssl req -new -key "www.wanglhdocker.com.key" -out "site.csr" -sha256 \
    -subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=www.wanglhdocker.com'

# 配置证书,新建site.cnf文件
vim site.cnf
[server]
authorityKeyIdentifier=keyid,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage=serverAuth
keyUsage = critical, digitalSignature, keyEncipherment
subjectAltName = DNS:www.wanglhdocker.com, IP:127.0.0.1
subjectKeyIdentifier=hash

# 签署站点SSL证书
openssl x509 -req -days 750 -in "site.csr" -sha256 \
    -CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial \
    -out "www.wanglhdocker.com.crt" -extfile "site.cnf" -extensions server


##如此,就有了www.wanglhdocker.com的网站SSL私钥www.wanglhdocker.com.key和SSL证书www.wanglhdocker.com.crt及CA根证书 root-ca.crt

#将上面的三个文件 移动到一个文件,删除其他文件夹

配置私有仓库

私有仓库的默认配置文件:/etc/docker/registry/config.yml。先本地编辑,在挂载到容器

vim /etc/docker/registry/config.yml
version: 0.1
log:
  accesslog:
    disabled: true
  level: debug
  formatter: text
  fields:
    service: registry
    environment: staging
storage:
  delete:
    enabled: true
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
auth:
  htpasswd:
    realm: basic-realm
    path: /etc/docker/registry/auth/nginx.htpasswd
http:
  addr: :443
  host: https://www.wanglhdocker.com
  headers:
    X-Content-Type-Options: [nosniff]
  http2:
    disabled: false
  tls:
    certificate: /etc/docker/registry/ssl/www.wanglhdocker.com.crt
    key: /etc/docker/registry/ssl/www.wanglhdocker.com.key
health:
  storagedriver:
    enabled: true
    interval: 10s
threshold: 3

生成http认证文件

mkdir auth
docker run --rm \
    --entrypoint htpasswd \
    registry \
    -Bbn username password > auth/nginx.htpasswd
# username password替换为自己的用户密码

## 这里的username password就是之后登录到私有仓库的 用户名和密码

编辑docker-compose.yml

vim /docker-compose.yml 		#没有就创建
version: '3'

services:
  registry:
    image: registry
    ports:
      - "443:443"
    volumes:
      - ./:/etc/docker/registry
      - registry-data:/var/lib/registry

volumes:
  registry-data:

修改hosts,并启动

vim /etc/hosts
   127.0.0.1 www.wanglhdocker.com
docker-compose up -d

注意: 当没有安装docker-comopse这个命令的时候,需要进行安装。
安装方法:

curl -L https://github.com/docker/compose/releases/download/1.24.0-rc1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
mv /use/local/bin/docker-compose /usr/bin/docker-compose
chmod +x /usr/bin/docker-compose

详细请参考文档:安装Docker Compose

重新启动
docker-compose up -d

注意: 在启动docker-compose如果由于关闭了防火墙,而没有重启docker.server,会出现下面的错误

Creating network "ssl_default" with the default driver
ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule:  (iptables failed: iptables --wait -t nat -I DOCKER -i br-dc7a16c6d51f -j RETURN: iptables: No chain/target/match by that name.
 (exit status 1))

解决:

systemctl restart docker(或者service restart docker)
docker-compose up -d
 Creating network "ssl_default" with the default driver
 Creating volume "ssl_registry-data" with default driver
 Creating ssl_registry_1 ... done

这样就搭建了一个具有权限认证、TLS的私有仓库。

测试

在内部进行测试(192.168.50.66)

mkdir -p /etc/docker/certs.d/www.wanglhdocker.com
cp ssl/root-ca.crt /etc/docker/certs.d/www.wanglhdocker.com/ca.crt

docker login wanglhdocker.com

docker pull centos:7

docker tag centos:7 www.wanglhdocker.com/username/centos:7

docker push www.wanglhdocker.com/username/centos:7

docker image rm www.wanglhdocker.com/username/centos:7

docker pull www.wanglhdocker.com/username/centos:7

docker logout

docker pull www.wanglhdocker.com/username/centos:7
    Error response from daemon: Get http://www.wanglhdocker.com/v2/: dial tcp 127.0.0.1:80: connect: connection refused
    
docker tag centos:7 www.wanglhdocker.com/username/centos:7

docker push  www.wanglhdocker.com/username/centos:7
    The push refers to repository [www.wanglhdocker.com/username/centos]
    d69483a6face: Preparing 
    no basic auth credentials

说明: 从上面的测试可以看出,当使用443安全认证之后,可以用username password登录到自己的私有仓库。接下来进行下一步的认证,从内网或外网的其他机器访问这个私有仓库。

需要注意的是:由于这里是自己自行签发的CA根证书,会导致不被系统信任,所以需要下载自己自行签发的CA根证书部署到其他机器。
部署:

# 环境准备
# 1.将自行签发的CA根证书下载,并部署到192.168.50.111
# 2.私有仓库的地址为192.168.50.66(当有外网IP吗,这个IP就是外网IP)
# 3.查看私有仓库的443端口是否正常启动
# 4.在192.168.50.111上部署hosts

# 私有仓库(192.168.50.66):
scp /etc/docker/certs.d/www.wanglhdocker.com/ca.crt 192.168.50.111:/root

# 客户端(192.168.50.111):
mkdir -p /etc/docker/certs.d/www.wanglhdocker.com
mv /root/ca.crt /etc/docker/certs.d/www.wanglhdocker.com
echo "192.168.50.66 www.wanglhdocker.com" >> /etc/hosts

# 用户名 username passowrd登录到192.168.50.66
docker login www.wanglhdocker.com

# 进行测试,看能够pull到私有仓库的centos:7
docker pull www.wanglhdocker.com/username/centos:7

docker image ls     #能够看到www.wanglhdocker.com/username/centos:7就表示能够从自己创建的私有仓库读取镜像服务

在这里插入图片描述
在这里插入图片描述在这里插入图片描述

到这里,整个实验基本完成,在过程中遇到问题,欢迎评论。
不足之处 ,还望指正!

Richie-Hao
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Docker仓库认证registry
Le_Anny的博客
08-23 1044
证书 [root@foundation41 docker]# docker run -d --restart=always --name registry -v `pwd`/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt -e REGISTRY_...
docker-compose + elasticsearch7.6(配置密码及证书) + kibana7.6 + elasticsearch-head搭建集群
qq_20280007的博客
09-02 3057
目录描述制作自定义elasticsearch7.6镜像制作自定义elasticsearch-head镜像elasticsearch.yml配置kibana.yml配置docker-compose.yml配置启动容器配置密码登陆 kibana 和 elasticsearch-head 描述 最近研究了一下docker-compose发布elasticsearch7.6,虽然网上有一些教程,但是根据教程操作,最后根本跑不起来或者有三个节点的集群,配置密码后只有一个节点是活的,其他节点无法跟这个节点通信。踩了不少
详解Docker私有仓库Registry的搭建验证
09-30
主要介绍了详解Docker私有仓库Registry的搭建验证,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
搭建Docker私有仓库(自签名方式)
01-10
为了能集中管理我们创建好的镜像,方便部署服务,我们会创建私有Docker仓库。通读了一遍官方文档,Docker为了确保安全使用TLS,需要CA认证认证时间长的要钱啊,免费过期时间太短,还是用自签名比较简单。 准备环境 环境:两台Centos 7 虚拟机   》服务器IP:10.57.220.244 ,作为Docker仓库使用   》客户端IP:10.57.220.220 ,作为客户端来上传或拉取镜像   》域名:lpxxn.com 两台机器上均已安装好Docker 版本为 17.03.0-ce 如果你和我一样没有用真域名,只需要在客户机上修改一下hosts文件 生成自签名证书 在服务器
Docker7】Docker安全及https安全认证
最新发布
m0_71593537的博客
03-09 1036
Docker安全及https安全认证
docker私有仓库配置手册
01-20
以下操作都基于centos7,在选择ISO镜像或装系统时,可以选择centos7。
Docker(三)官方仓库的搭建、仓库的加密和认证
Gong_yz的博客
03-05 2464
当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给docker客户端,docker客户端再从registry下载镜像,在下载过程中 registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上。客户端向index请求删除,index向客户端返回允许delete和token,然后客户端访问仓库,校验完成后在仓库中删除,仓库完成删除后和index之间同步信息。
Docker私有仓库搭建与使用
欲川
08-31 1827
文章目录1. Docker Registry2. Docker私有Registry2.1 使用docker-distribution自建Registry2.2 使用官方镜像自建Registry 1. Docker Registry 网上有很多的Registry服务器都支持第三方用户注册,而后基于用户名去做自己的仓库,但是使用互联网上的Registry有一个缺陷,那就是我们去推送和下载镜像时都不会很快,而在生产环境中很可能并行启动的容器将达到几十、上百个,而且很有可能每个服务器本地是没有镜像的,此时如果通
docker-registry设置验证机制
梵修
06-24 763
默认情况下直接使用docker官方的registry镜像启动的容器是没有验证机制的,不需要docker login就可以上传和下载镜像。可以通过下面的步骤为docker-registry设置验证机制 生成用户名密码信息 启动registry 测试 首先设置一下允许访问的非安全镜像仓库,编辑/etc/docker/daemon.json,内容如下 测试在不登录的情况下上传镜像 测试登录之后上传镜像...
Docker 私有镜像仓库的搭建及认证
哈喽沃德先生的博客
09-02 791
DockerHub 为我们提供了很多官方镜像和个人上传的镜像,我们可以下载机构或个人提供的镜像,也可以上传我们自己的本地镜像,但缺点是: 由于网络的原因,从 DockerHub 下载和上传镜像速度可能会比较慢; 在生产上使用的 Docker 镜像可能包含我们的代码、配置信息等,不想被外部人员获取,只允许内网的开发人员下载。 为了解决以上问题,Docker 官方提供了一个叫做 registry 的镜像用于搭建本地私有仓库使用。在内部网络搭建的 Docker 私有仓库可以使内网人员下载、上传都非常快速,不
Docker学习五《仓库三、私有仓库高级配置》
后青春诗ing
03-09 308
一、前言 1、上一节我们搭建了一个具有基础功能的私有仓库,本小节我们来使用 Docker Compose 搭建一个拥有权限认证、TLS 的私有仓库。 二、准备工作 1、创建账号。 sudo useradd -m udocker sudo passwd udocker 2、添加sudo权限 机器 centos 下操作 sudo chmod u+w /etc/sudoers sudo vim /etc/sudoers chmod u-w /etc/sudoers 3、在 udocker 用户下,添加到 d
Docker私有仓库的搭建和界面化管理详解
09-29
主要给大家介绍了关于Docker私有仓库的搭建和界面化管理的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
CentOS7.2服务器上搭建Docker私有镜像仓库操作示例
01-20
本文实例讲述了CentOS7.2服务器上搭建Docker私有镜像仓库操作。分享给大家供大家参考,具体如下: 鉴于国内pull镜像的速度较慢,很有必要搭建docker私有或者本地镜像仓库。 安装docker # yum -y install docker #...
Docker封装+Docker镜像仓库搭建+Docker Compose+Docker Swarm
Wielun
10-28 2967
docker的安装参考博客:https://blog.csdn.net/Dream_ya/article/details/81122200 一、容器封装 镜像也可以自己拉取阿里云的docker镜像!!! 1、导入镜像 [root@server1 ~]# docker load -i rhel7.tar [root@server1 ~]# docker images REPOSITORY ...
Docker CheatSheet | Docker 配置与实践清单
weixin_34218579的博客
09-18 196
使用 Docker-Compose部署JavaWeb项目并运行JavaWeb项目
weixin_48258934的博客
06-26 485
启动完成之后,访问http://localhost:8080/jpress,就可以看到jpress的页面了。创建一个新的composeJava目录,将war包放入该目录下,并且以下操作都在 该目录下进行。进入到docker-compose.yml的目录下,执行以下命令。其中tomcat的路径要跟虚拟机的tomcat路径一致。以上操作全是在 composeJava文件夹下运行的。其中localhost是自己的ip地址。然后需要jpress的war包。创建server.xml。
DockerDocker compose实战
World哥
06-02 542
DockerDocker compose使用简介Why docker架构详解三要素工作原理为什么比虚拟机快centos安装docker卸载旧版本安装所需的依赖包配置国内源(阿里云)更新yum缓存安装docker-ce配置阿里云镜像加速设置开启自启docker使用帮助命令镜像命令容器命令docker-compose安装docker-composedocker-compose.yml模板文件docker-compose常用命令 简介 Docker是一个开源的容器引擎,它有助于更快地交付应用。Docker可将应
Docker(三)--Docker仓库--工作原理及私有仓库的搭建
qwerty1372431588的博客
01-26 317
Docker仓库1. 仓库简介2. docker hub2.1 概念2.2 搭建私有仓库2.2.1 注册docker hub账户2.2.2 上传镜像2.3 简单的本地仓库搭建3. Registry 工作原理 1. 仓库简介 - Docker 仓库是用来包含镜像的位置,Docker提供一个注册服务器(Register)来保存多个仓库,每个仓库又可以包含多个具备不同tag的镜像。 - Docker运行中使用的默认仓库Docker Hub 公共仓库。 2. docker hub 2.1 概念 - dock
docker registry删除远程仓库镜像
因上努力,果上随缘。但行好事,莫问前程。
02-07 3320
当集群内使用registry做为镜像仓库时,镜像长期积累会导致本地和远程仓库镜像占用大量的磁盘空间,这时我们需要对一些无用镜像进行定期清理。
docker 私有仓库添加认证功能
07-27
要为Docker私有仓库添加认证功能,你可以按照以下步骤进行操作: 1. 创建一个认证文件:在私有仓库所在的服务器上,创建一个文件用于存储用户名和密码的认证信息。可以使用以下命令创建文件并添加认证信息: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Richie-Hao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值