docker registry 仓库加密

最新推荐文章于 2024-09-12 18:15:12 发布
最新推荐文章于 2024-09-12 18:15:12 发布
阅读量521 收藏 2
点赞数 10
文章标签: docker 容器 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50848244/article/details/141965793
版权

docker registry 仓库加密

1、背景

​ 公司一直用的镜像仓库是docker registry,但是有个安全问题,就是仓库从web ui的浏览到镜像的拉取都是可以直接使用的,还是放到了公网上,只需要知道你的域名那就是畅通无阻了,可以怎么方便怎么来但是这也太方便了,项目是docker跑的微服务,镜像一拉代码直接拿到手 ,前两天还看到个黑客推了个镜像上去,不能在耽误了,赶紧收拾一下。

2、问题解决

​ 在网上看了一些帖子是在仓库容器运行时加一些参数,刚测试的时候是可以的,后面重启了两次容器之后就突然不行了,这里就把配置贴一下,有需求可以搞一下,用的docker-compose

version: '3.1'
services:
  registry:
    image: registry:2
    restart: always
    container_name: registry-srv
    ports:
      - 5000:5000
    volumes:
      - /new_mount/docker/registry:/var/lib/registry
      - /home/app/registry/auth:/auth
    environment:
      REGISTRY_AUTH_HTPASSWD_PATH: /auth/htpasswd
      REGISTRY_AUTH: htpasswd
      REGISTRY_AUTH_HTPASSWD_REALM: "Registry Realm"
    networks:
      - docker_default
  registry-ui:
    image: joxit/docker-registry-ui:static
    restart: always
    container_name: registry-ui
    ports:
      - 18080:80
    environment:
      - REGISTRY_URL=http://registry-srv:5000
      - DELETE_IMAGES=true
    networks:
      - docker_default
networks:
  docker_default:
    external: true

​ registry-ui镜像默认是跑的80,改了一下映射端口,前端使用nginx代理的也是跑的容器,请求头主机配置注释掉了,一打开就报错无法验证sha,这个可以试试怎么回事,我感觉是因为换过仓库的事,htpasswd文件生成可以去网上找一下很多,下面是前端代理的配置。

server {
    listen       80;
    listen       8054;
    server_name  registry.xxx.com;
    return 301 https://$server_name$request_uri;
}
server {
    server_name  registry.xxx.com;
    include /etc/nginx/conf.d/include/ssl/oa-ssl;
    location / {
        proxy_pass http://172.26.28.122:18080/;
        add_header Access-Control-Allow-Origin *;
        #proxy_set_header Host $host;
        proxy_set_header X-Real-Ip $remote_addr;
        proxy_set_header X-Forwarded-For $remote_addr;
    }
    location /v2/ {
        proxy_pass http://172.26.28.122:5000;
        add_header Access-Control-Allow-Origin *;
        #proxy_set_header Host $host;
        proxy_set_header X-Real-Ip $remote_addr;
        proxy_set_header X-Forwarded-For $remote_addr;
    }

}

​ 按我的理解来说上面的配置是可以实现仓库加密的,但还是无法验证通过,我觉的是nginx代理的问题,加上容器是走了两层代理,可能是无法携带验证信息了,有空在研究。

​ 天无绝人之路,找到个其他的方法,直接在前端代理添加验证配置,如果是在‘/’匹配规则添加的话他只能验证web ui的访问,对镜像的推拉控制是没有用的,必须要把配置放到/v2/这个匹配规则里面,控制后端接口的访问规则才行,具体原理还不知道怎么回事,先实现了再说。这里放了之后compose文件的加密就不用加。

    environment:
      REGISTRY_AUTH_HTPASSWD_PATH: /auth/htpasswd
      REGISTRY_AUTH: htpasswd
      REGISTRY_AUTH_HTPASSWD_REALM: "Registry Realm"
      #上面这几行删掉就行

    location /v2/ {
        stub_status;
        auth_basic "Auth access Blog Input your Passwd!";
        auth_basic_user_file /etc/nginx/conf.d/htpasswd/docker.conf/htpasswd;
        proxy_pass http://172.26.28.122:5000;
        add_header Access-Control-Allow-Origin *;
        #proxy_set_header Host $host;
        proxy_set_header X-Real-Ip $remote_addr;
        proxy_set_header X-Forwarded-For $remote_addr;
    }

这个破问题还搞了三天

Dragon_qu·x
关注
  • 10
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker仓库】部署Docker Registry web-ui管理镜像仓库
jks212454的博客
11-10 2461
Docker仓库】部署Docker Registry web-ui管理镜像仓库
Docker指南⑧〗Docker私有镜像仓库|阿里云|Registry|Harbor
梵高
05-13 2778
Docker私有镜像仓库|阿里云|Registry|Harbor
docker镜像仓库详解(Docker Registry
weixin_67596609的博客
01-04 7168
本片文章主要是对docker的镜像仓库进行了详解。其中包含了一些常用了 docker 指令,通过举例进行详解。也详细解释了镜像仓库的工作机制和常见的镜像仓库。也实际拉去和运行了一些镜像。希望本篇文章会对你有所帮助!
dockerregistry加密仓库及其访问控制
RainingCostaRiga的博客
08-06 772
一、registry私有仓库实现加密仓库 在/media目录下创建目录registry,用于存放registry私有仓库的镜像数据 [root@server1 ~]# cd /media/ [root@server1 media]# mkdir registry 配置服务端(server1): 1、创建certs证书,生成服务器私钥 [root@server1 ~]# cd /mnt/docke...
Docker registry镜像仓库,私有仓库及harbor管理详解
qq_51545656的博客
01-17 2112
Docker私有仓库是指企业内部使用的仓库,用于存放自身开发的企业级应用的镜像。私有仓库的主要优点包括节省网络带宽和提供镜像资源的有效利用。通过搭建本地私有仓库,企业可以在内部网络中快速下载和上传镜像,不受外网带宽等因素的影响。此外,私有仓库还可以配置仓库认证功能,以确保只有授权的人员可以访问和使用其中的镜像。Harbor是一个由VMware公司开源的企业级Docker Registry项目。它的目标是帮助用户快速搭建一个企业级的Docker Registry服务。
Docker registry 搭建
博客
05-30 1667
etc/sysconfig/docker 添加 --insecure-registry 127.0.0.1:5000或 /etc/docker/daemon 里加 {"insecure-registries":["127.0.0.1:5000"]},可以通过http的方式连接docker-registry,然后重启docker。curl http://127.0.0.1:5000/v2/_catalog 测试下服务是否 OK。通过 docker images 查看本地镜像。
Docker Registry Server TLS 的私有仓库
good7ob的博客
07-24 140
通过本文的介绍,你已经了解了如何为Docker Registry配置TLS证书,确保私有仓库的通信安全。我们详细介绍了生成TLS证书的步骤,以及如何在Docker Registry中配置TLS。使用TLS证书加密Docker Registry的通信可以增强镜像的安全性和可信度,确保镜像的传输和存储过程中的机密性和完整性。希望通过本文的指导,你能够更好地理解和应用Docker Registry的TLS配置,为你的私有镜像仓库提供更高的安全保障。愿你在容器化应用开发的旅程中取得更大的成功!
docker registry的搭建并结合k8s使用
宫凯宁的博客
07-26 4232
一、搭建docker registry 1、安装docker 由于使用docker容器安装docker registry: yum install -y yum-utils yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo yum -y install dock...
docker私有仓库registry工作原理 / 搭建私有仓库/ docker仓库加密 / docker仓库用户认证功能 / 搭建docker-registry-web端
滴水穿石浅谈
08-28 1263
######1.registry工作原理###### 一次docker pull 背后的发生的事情: 下载一个镜像----->在index服务上做认证,查找镜像所在的registry的地址-----> 放回docker客户端----->从registry下载镜像----->去index校验客户端token的合法性 ----->返回registry仓库拉取镜像-...
docker基本介绍
weixin_61255403的博客
09-09 800
docker是一个开源的容器平台,用于开发、交付和部署 运行应用程序简单来说 也就是docke他允许开发者将自己的操作环境以及依赖关系打包成一个容器,移动到其他机器上可以供其他人使用,还可以打包成镜像,上传到网络,如果想使用可以随时拉下来。虚拟化: 就是将多个相同的物理硬件或软件、虚拟成逻辑的一个整体从而提高资源的利用率并打破物理设备不可分割的情况容器:将应用程序包含运行环境整体打包成一个标准的应用单元实现应用的交付和部署容器技术: 就是一种应用程序打包技术。
如何使用Docker快速启动Nginx服务器
一起coding,一起嗨。
09-07 845
如何使用Docker快速启动Nginx服务器
Docker Swarm管理(Docker技术集群与应用)
2401_85084312的博客
09-12 432
通过查看命令可以看出,于compose中的概念基本相同,都是以服务的方式运行一组容器;但是在worker节点查看服务会提示该节点不是swarm的manager;然后在任意一个节点创建集群,在哪个节点创建,哪个节点就是manager;其他节点也可以查看相关的信息,只不过会显示不是manager;如果想要容器运行在指定的节点上,那么就要针对该节点打一个标签;drain:新调度的容器不接收,且原有的容器迁移到其他节点。同一个服务中的两个副本的数据不能共享;查看docker主机的信息,从中找到集群的信息;
Docker 部署 Redis (图文并茂超详细)
水蓝
09-05 860
使用 Docker 部署 Redis 是一种快速且高效的方式,可以轻松管理和运行 Redis 实例。首先,用户需要从 Docker Hub 拉取 Redis 的官方镜像。接着,通过命令行启动容器,可以指定端口、数据持久化路径等配置。Docker 提供了隔离的运行环境,使 Redis 容器能够独立于主机系统运行,避免了软件依赖的冲突。为了保证数据的持久性,可以将 Redis 数据库的数据目录挂载到主机的文件系统中,这样即使容器停止或重启,数据也不会丢失。Docker 部署 Redis 特别适合开发
第十章 【后端】环境准备(10.5)——Docker
qdbest的专栏
09-08 971
Docker 安装文档:https://docs.docker.com/install/linux/docker-ce/centos/测试 docker 常用命令,注意切换到 root 用户下。配置 docker 镜像加速。安装 Docker-CE。
Docker Compose
最新发布
prcyang的专栏
09-12 197
如果主机时区和docker 需要不一致 ,则修改为。
深入解读Docker核心原理:Namespace资源隔离机制详解
qq_39241682的博客
09-09 766
在Linux操作系统中,namespace是用于隔离系统资源的一种机制。通过namespace,每个进程可以拥有独立的资源视图,不会与其他进程共享,类似于一种“容器化”的资源管理方式。每种namespace负责隔离特定的系统资源,包括进程ID、网络、挂载点、用户ID等。对于Docker容器而言,namespace是实现资源隔离的基础技术。每个容器都会有自己独立的namespace,确保不同容器之间不会共享敏感资源,提升安全性和稳定性。
二个命令解决docker 拉取镜像超时的问题
qq_35757427的博客
09-10 438
由于某些原因,今年6月1日后国内服务器拉取docker镜像时会报超时错误:error pulling image configuration: download failed after attempts=6: dial tcp 162.125.18.133:443: i/o timeout解决办法就是设置国内的一些镜像源,然后重启docker服务就可以了1.输入下面命令,按如下编辑文件保存vim /etc/docker/daemon.json{ “registry-mirrors”:[
docker_快速部署flask架构下的web容器
qq_43527128的博客
09-12 374
这个文件包含了构建 Docker 镜像所需的指令和配置。Dockerfile 定义了如何从基础镜像开始,逐步添加应用程序所需的所有组件(例如安装依赖、复制文件、设置环境变量等)。这是一个配置文件,通常用于存储应用的配置设置,比如数据库连接信息、应用环境(开发、测试、生产)等。在包含Dockerfile目录下 : 末尾的 . 表示当前目录下 通过Dockerfile文件来构建一个名为my-flask的容器。这是你的项目根目录,包含了所有与 Flask 应用相关的文件和配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值