企业实战-Docker(二)仓库

最新推荐文章于 2022-03-29 20:00:07 发布
最新推荐文章于 2022-03-29 20:00:07 发布
阅读量224 收藏
点赞数
分类专栏: 企业项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53228623/article/details/118940565
版权
本文介绍了如何搭建Docker私有仓库,包括使用Registry容器、仓库加密与认证,以及详细阐述了Harbor仓库的部署和管理。此外,还讨论了内容信任和漏洞扫描的重要性,如何启用和关闭内容信任,并进行了相关操作。
摘要由CSDN通过智能技术生成

Docker仓库

Docker 仓库是用来包含镜像的位置,Docker提供一个注册服
务器(Register)来保存多个仓库,每个仓库又可以包含多个
具备不同tag的镜像。

Docker运行中使用的默认仓库是 Docker Hub 公共仓库。

1.docker搭建私有仓库

#下载registry镜像
[root@server1 ~]# docker search registry
[root@server1 ~]# docker pull registry  
[root@server1 ~]# docker images registry
[root@server1 ~]# docker ps -a

[root@server1 ~]# docker history registry:latest

在这里插入图片描述#运行registry容器

[root@server1 ~]# docker run -d --name registry -p 5000:5000 -v /opt/registry:/var/lib/registry registry  
[root@server1 ~]# docker ps
[root@server1 ~]# netstat -antlp
[root@server1 ~]# ll -d /opt/registry/
drwxr-xr-x 2 root root 6 Jul 20 21:52 /opt/registry/

在这里插入图片描述
上传镜像到本地仓库,本地镜像在命名时需要加上仓库的ip和端口

[root@server1 ~]# docker tag registry:latest localhost:5000/registry:latest
[root@server1 ~]# docker images 
REPOSITORY                TAG                 IMAGE ID            CREATED             SIZE
registry                  latest              1fd8e1b0bb7e        3 months ago        26.2MB
localhost:5000/registry   latest              1fd8e1b0bb7e        3 months ago        26.2MB
[root@server1 ~]# docker push localhost:5000/registry

在这里插入图片描述

2.docker仓库加密、认证

[root@server1 ~]# mkdir certs -p
[root@server1 ~]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/westos.org.key -x509 -days 365 -out certs/westos.org.crt

[root@server1 ~]# mkdir -p /etc/docker/certs.d/reg.westos.org/
[root@server1 ~]# cd certs/


[root@server1 ~]#docker run -d --name registry -v /opt/registry/:/var/lib/registry -p 443:443 -v "$(pwd)"/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.org.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.org.key registry
[root@server1 ~]#docker ps
[root@server1 ~]#netstat -antlp
[root@server1 ~]#docker push reg.westos.org/nginx:latest 
[root@server1 ~]#curl -k https://reg.westos.org/v2/_catalog

请添加图片描述

[root@server1 ~]# mkdir auth
[root@server1 ~]# yum install -y httpd-tools
[root@server1 ~]# htpasswd -Bc auth/htpasswd admin
New password: 
Re-type new password: 
Adding password for user admin
[root@server1 ~]# htpasswd -B auth/htpasswd gy
New password: 
Re-type new password: 
Adding password for user gy


[root@server1 ~]# docker run -d --name registry -v /opt/registry/:/var/lib/registry -p 443:443 -v "$(pwd)"/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.org.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.org.key  -v "$(pwd)"/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd   registry
06e8c894a89dd4516623fb8104a4678f9b9704a38caae3da886856879c567ec4
[root@server1 ~]# docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                            NAMES
06e8c894a89d        registry            "/entrypoint.sh /etc…"   10 seconds ago      Up 9 seconds        0.0.0.0:443->443/tcp, 5000/tcp   registry

请添加图片描述

[root@server1 ~]# cat /root/.docker/config.json
{
	"auths": {
		"reg.westos.org": {
			"auth": "YWRtaW46d2VzdG9z"
		}
	},
	"HttpHeaders": {
		"User-Agent": "Docker-Client/19.03.15 (linux)"
	}
}

[root@server1 ~]# docker logout reg.westos.org
Removing login credentials for reg.westos.org
[root@server1 ~]# cat /root/.docker/config.json
{
	"auths": {},
	"HttpHeaders": {
		"User-Agent": "Docker-Client/19.03.15 (linux)"
	}

请添加图片描述

server2远程登陆

[root@server2 ~]# yum install -y docker-ce
[root@server2 ~]# systemctl enable --now docker

[root@server1 ~]# scp -r /etc/docker/certs.d/ root@server2:/etc/docker/

[root@server2 docker]# docker login reg.westos.org
Username: gy
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
[root@server2 docker]# docker pull reg.westos.org/nginx
Using default tag: latest
latest: Pulling from nginx
b4d181a07f80: Pull complete 
66b1c490df3f: Pull complete 
d0f91ae9b44c: Pull complete 
baf987068537: Pull complete 
6bbc76cbebeb: Pull complete 
32b766478bc2: Pull complete 
Digest: sha256:1c70a669bbf07f9862f269162d776c35144b116938d1becb4e4676270cff8f75
Status: Downloaded newer image for reg.westos.org/nginx:latest
reg.westos.org/nginx:latest

请添加图片描述

3.harbor仓库

准备文件

harbor-offline-installer-v1.10.1.tgz
docker-compose-Linux-x86_64-1.27.0

[root@server1 ~]# tar zxf harbor-offline-installer-v1.10.1.tgz 
[root@server1 ~]# cd harbor/
[root@server1 harbor]# vim harbor.yml       #修改配置文件相关信息
hostname: reg.westos.org                    #主机名
  certificate: /data/certs/westos.org.crt   #密钥
  private_key: /data/certs/westos.org.key
harbor_admin_password: westos               #登陆密码

[root@server1 ~]# mkdir /data
[root@server1 ~]# mv certs/ /data/

[root@server1 ~]# mv   docker-compose-Linux-x86_64-1.27.0  /usr/local/bin/docker-compose
[root@server1 ~]# chmod +x /usr/local/bin/docker-compose
[root@server1 ~]# cd harbor/
[root@server1 harbor]# ./install.sh

请添加图片描述

浏览器访问172.25.14.1/harbor,用户admin、密码westos
请添加图片描述

查看到默认仓库
请添加图片描述

server打标签并上传nginx至library中

[root@server1 ~]# docker tag nginx:latest reg.westos.org/library/nginx:latest
[root@server1 ~]# docker push reg.westos.org/library/nginx:latest 
The push refers to repository [reg.westos.org/library/nginx]
9d1af766c818: Pushed 
d97733c0a3b6: Pushed 
c553c6ba5f13: Pushed 
48b4a40de359: Pushed 
ace9ed9bcfaf: Pushed 
764055ebc9a7: Pushed 
latest: digest: sha256:1c70a669bbf07f9862f269162d776c35144b116938d1becb4e4676270cff8f75 size: 1570

请添加图片描述

server2通过library安装nginx
请添加图片描述
docker info 查看到

 Registry Mirrors:
  https://reg.westos.org/
 Live Restore Enabled: false

请添加图片描述
网页中查看到相关日志
请添加图片描述
启动
请添加图片描述
查看容器相关信息,访问发现nginx启动成功

[root@server2 docker]# docker inspect demo 
                    "IPAddress": "172.17.0.2",
[root@server2 docker]# curl 172.17.0.2

请添加图片描述
添加仓库westos
请添加图片描述
server1上传game2048至westos中
请添加图片描述
创建用户gy
请添加图片描述
设置权限为westos仓库的访客(只能下载不能上传)
请添加图片描述

[root@server2 docker]# docker login reg.westos.org
Username :gy
Password:    #上面设置的密码
Login Succeeded

#下载成功
[root@server2 docker]# docker pull reg.westos.org/westos/game2048:latest
latest: Pulling from westos/game2048
534e72e7cedc: Pull complete 
f62e2f6dfeef: Pull complete 
fe7db6293242: Pull complete 
3f120f6a2bf8: Pull complete 
4ba4e6930ea5: Pull complete 
Digest: sha256:8a34fb9cb168c420604b6e5d32ca6d412cb0d533a826b313b190535c03fe9390
Status: Downloaded newer image for reg.westos.org/westos/game2048:latest
reg.westos.org/westos/game2048:latest

请添加图片描述

4.添加内容信任和扫描参数

扫描漏洞

清理环境
[root@server1 harbor]# docker-compose down

扫描漏洞
[root@server1 harbor]# ./install.sh --with-notary --with-clair --with-chartmuseum
[root@server1 harbor]# docker-compose ps

请添加图片描述

请添加图片描述

请添加图片描述

启用docker内容信任

[root@server1 harbor]# docker images game2048
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
game2048            latest              19299002fdbe        4 years ago         55.5MB
[root@server1 harbor]# docker tag game2048:latest reg.westos.org/library/game2048:latest
[root@server1 harbor]# docker push reg.westos.org/library/game2048:latest 
The push refers to repository [reg.westos.org/library/game2048]
88fca8ae768a: Mounted from westos/game2048 
6d7504772167: Mounted from westos/game2048 
192e9fad2abc: Mounted from westos/game2048 
36e9226e74f8: Mounted from westos/game2048 
011b303988d2: Mounted from westos/game2048 
latest: digest: sha256:8a34fb9cb168c420604b6e5d32ca6d412cb0d533a826b313b190535c03fe9390 size: 1364
[root@server1 harbor]# export DOCKER_CONTENT_TRUST=1
[root@server1 harbor]# export DOCKER_CONTENT_TRUST_SERVER=https://reg.westos.org:4443

请添加图片描述

[root@server1 ~]# cd .docker/
[root@server1 .docker]# mkdir tls/reg.westos.org:4443 -p
[root@server1 .docker]# cd tls/reg.westos.org\:4443/
[root@server1 reg.westos.org:4443]# cp /data/certs/westos.org.crt ca.crt

[root@server1 ~]# docker push reg.westos.org/westos/game2048:latest

请添加图片描述

请添加图片描述

关闭内容信任并清理缓存,重新安装

[root@server1 ~]# export DOCKER_CONTENT_TRUST=0
[root@server1 ~]# cd harbor/
[root@server1 harbor]# docker-compose down 

[root@server1 harbor]# ./install.sh --with-chartmuseum

请添加图片描述

热到想喝冰阔落
关注
专栏目录
docker(3):Docker 仓库docker-harbor仓库
weixin_43803940的博客
10-05 566
一、docker-harbor仓库 先把旧的registry删除 docker rm -f registry 1.软件包 docker-compose-Linux-x86_64-1.27.0 harbor-offline-installer-v1.10.1.tgz tar zxf harbor-offline-installer-v1.10.1.tgz cd harbor/ mv /root/docker-compose-Linux-x86_64-1.27.0...
企业运维实战docker仓库
Puuwuuchao的博客
07-21 297
目录什么是docker仓库构建私有仓库Registry为Docker仓库添加证书加密功能为Docker仓库添加用户认证功能 什么是docker仓库Docker 仓库是用来包含镜像的位置,Docker提供一个注册服务器 (Register)来保存多个仓库,每个仓库又可以包含多个具备不同 tag的镜像。 • Docker运行中使用的默认仓库Docker Hub 公共仓库 构建私有仓库Registry 首先从Docker Hub公共仓库下载Registry docker pull registry do
解决Docker开启内容信任导致docker run失败的问题
运维@小兵的博客
09-11 676
解决Docker开启内容信任导致docker run失败的问题 参考文章:Docker 生产环境之使用可信镜像 - Docker 中的内容信任(content trust) export DOCKER_CONTENT_TRUST=0
Docker 生产环境之使用可信镜像 - Docker 中的内容信任(content trust)
xuguokun1986的博客
08-10 747
https://blog.csdn.net/kikajack/article/details/79600066
Docker 生产环境之使用可信镜像 - 在内容信任(content trust)沙盒中演示
kikajack的博客
03-18 1699
原文地址本页面介绍了如何设置和使用沙盒(sandbox)进行信任实验。沙盒允许你在本地配置和尝试信任操作,而不会影响生产镜像。在开始这个沙盒实验之前,应该仔细阅读 信任概述。1. 先决条件这些说明假定你正在 Linux 或 macOS 中运行。可以在本地机器或虚拟机上运行此沙箱。需要拥有在本地机器或虚拟机上运行 docker 命令的权限。此沙箱需要安装两个 Docker 工具:Docker Engi
运维实操——docker容器(四)搭建远程容器仓库harbor、漏洞扫描和内容信任
qq_40764171的博客
07-22 462
搭建远程容器仓库harbor1、harbor简介2、harbor的安装 1、harbor简介 (1)虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。 (2)Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。 (3)它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制
docker仓库
fengzhilaoling的博客
11-13 278
实例图
企业入门实战- - dockerdocker本地仓库加密认证 harbor仓库的搭建
鱼子酱
07-22 322
企业入门实战- - dockerdocker本地仓库加密认证 harbor仓库的搭建一.本地容器仓库加密认证加密认证上传.harbor仓库的搭建配置由server1向harbor仓库上传资源创建一个新项目证书匹配 一.本地容器仓库加密认证 加密 创建加密认证的密钥 创建目录,保存认证和钥匙 mkdir -p certs openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/westos.org.key -x509 -days 365 -out
企业实战-Docker(一)docker的安装及镜像等
weixin_53228623的博客
07-22 422
Docker1.安装 开启 配置game2048mario2.镜像镜像的分层结构镜像的构建3.镜像封装4.镜像优化使用多阶段构建镜像选择最精简的基础镜像5.docker常用命令 1.安装 开启 配置 配置仓库并安装docker [root@server1 yum.repos.d]# vim docker.repo [docker] name=docker baseurl=ftp://172.25.14.250/pub/docs/docker/docker-ce/ gpgcheck=0 [root@serv
企业运维实战--Docker三剑客三之docker swarm小规模集群搭建、图形化管理docker集群
Rabbit_hyl的博客
07-24 634
文章目录前言-docker swarm简介Docker swarm实践docker swarm实现小规模集群负载均衡图形化集群管理 前言-docker swarm简介 在 Docker 1.12 版本发布之后,swarm合并到了 Docker 中,成为 Docker 的一个子命令。Swarm 是 Docker 社区提供的唯一一个原生支持 Docker 集群管理的工具,它可以把多个 Docker 主机组成的系统转换为单一的虚拟 Docker 主机,使得容器可以组成跨主机的子网网络。 Docker swarm
5.Docker技术入门与实战 --- 访问 Docker 仓库
enlyhua的专栏
03-29 881
第5章 访问 Docker 仓库 5.1 Docker Hub 公共镜像市场 docker login 5.2 第三方镜像市场 5.3 搭建本地私有仓库 1.使用registry镜像创建私有仓库 可以通过官方提供的registry镜像来简单搭一套本地私有仓库环境: docker run -d -p 5000:5000 -v /data/registry:/var/lib/registry registry:2 2.管理私有仓库 docker tag ubuntu:18.0.
Docker实战-Docker Daemon
热门推荐
DWWWWWEI的博客
10-20 3万+
一、修改Docker Daemon    Docker Daemon是Docker的守护进程,Docker Client通过命令行与Docker Damon通信,完成Docker相关操作    Docker Daemon有不同的修改方式:命令行修改,修改启动项,修改配置文件。其中仅仅只是研究或一次使用Docker Daemon的不同选项时,可以通过命令行的方式,此时Docker Daemon运行在前
Docker 生产环境之使用可信镜像 - 自动化内容信任(content trust)
kikajack的博客
03-18 1724
原文地址获取并构建镜像的自动化系统也可以使用内容信任。任何自动化环境都必须在处理镜像前手动或通过脚本方式设置 DOCKER_CONTENT_TRUST。1. 绕过密码请求要允许工具打包 docker 并推送可信内容,有两个环境变量允许你提供不需要脚本的密码,或者直接输入密码到: DOCKER_CONTENT_TRUST_ROOT_PASSPHRASE DOCKER_CONTENT_TRUST_REP
企业实战-Zabbix
weixin_53228623的博客
07-16 608
Zabbix1.Zabbix安装2.手动添加自动发现自动注册 1.Zabbix安装 添加 Zabbix 软件仓库 安装 Server/proxy/前端 [root@server1 yum.repos.d]# yum install zabbix-server-mysql [root@server1 yum.repos.d]# yum install -y mariadb-server 创建数据库 root@server1 yum.repos.d]# systemctl start mariadb.serv
企业实战-Kubernetes(一)Kubernetes部署
weixin_53228623的博客
07-26 494
这里写自定义目录标题1.Kubernetes部署1.1systemd1.2禁用swap分区1.3安装部署软件kubeadm1.4拉取镜像1.5初始化集群 1.Kubernetes部署 1.1systemd 关闭节点的selinux和iptables防火墙 所有节点部署docker引擎 server2 3 4相同部署 [root@server2 ~]# vim /etc/docker/daemon.json { "registry-mirrors": ["https://reg.westos.org"
企业实战-Kubernetes(十一)Kubernetes监控
weixin_53228623的博客
08-05 485
Kubernetes监控1 k8s容器资源限制内存限制CPU限制为namespace设置资源限制2 kubernetes资源监控Metrics-Server部署 1 k8s容器资源限制 Kubernetes采用request和limit两种限制类型来对资源进行分配。 request(资源需求):即运行Pod的节点必须满足运行Pod的最基本需求才能运行Pod。 limit(资源限额):即运行Pod期间,可能内存使用量会增加,那最多能使用多少内存,这就是资源限额。 资源类型: CPU 的单位是核心数,内存的单位
企业实战-saltstack(三)
weixin_53228623的博客
07-19 459
saltstack+zabbix远程安装zabbix安装mysql 远程安装zabbix [root@server1 salt]# pwd /srv/salt [root@server1 salt]# mkdir zabbix-server [root@server1 salt]# cd zabbix-server/ [root@server1 zabbix-server]# vim init.sls zabbix-server: pkgrepo.managed: - name: zabbix
企业实战-saltstack(
weixin_53228623的博客
07-19 435
1.keepalived模块 1 server2安装keepalived并将配置文件传给server1 [root@server2 ~]# yum install -y keepalived [root@server2 ~]# cd /etc/keepalived/ [root@server2 keepalived]# scp keepalived.conf server1:/srv/salt/keepalived server1 cd /srv/salt/ mkdir keepalived cd kee
"深度学习:云原生培训-Docker实战技巧
3. Docker镜像管理:掌握Docker镜像的构建和管理技术,了解Docker镜像的分层结构和优化方法,学会使用Docker Hub和私有仓库来管理镜像。 4. Dockerfile和Docker Compose:学会编写Dockerfile来定制化镜像,使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

热到想喝冰阔落

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值