docker搭建私有仓库(加密功能)13

最新推荐文章于 2023-11-14 21:11:37 发布
最新推荐文章于 2023-11-14 21:11:37 发布
阅读量183 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/westos_yanzheng/article/details/117394767
版权

开源软件直奔官方文档

加密功能

在这里插入图片描述

[root@server9 yum.repos.d]# systemctl status docker.service 
● docker.service - Docker Application Container Engine
   Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled)
   Active: active (running) since Sun 2021-05-30 16:16:25 CST; 1h 30min ago

设置的docker 引擎开机自启
–restart=always 官方的文档中 当你的docker 引擎启动的时你的容器自动起来

仓库的认证功能
在这里插入图片描述

[root@server9 ~]# mkdir -p certs
[root@server9 ~]# ls
certs
[root@server9 ~]# cd certs/
[root@server9 certs]# ls

在这里插入图片描述
在这里插入图片描述

 openssl req   -newkey rsa:4096 -nodes -sha256 -keyout certs/yan.org.key -addext "subjectAltName = DNS:reg.yan.org" -x509 -days 365 -out certs/domain.crt/yan.org.crt
unknown option -addext
这个代码用不成

版本不同 没有这个-addext这个选项
删掉,因为都是自签名证书

[root@server9 ~]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/westos.org.key  -x509 -days 365 -out certs/westos.org.crt
用这个代码

Generating a 4096 bit RSA private key
.......................................................++
........................++
writing new private key to 'certs/westos.org.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:shanxi
Locality Name (eg, city) [Default City]:xian
Organization Name (eg, company) [Default Company Ltd]:westos
Organizational Unit Name (eg, section) []:linux
Common Name (eg, your name or your server's hostname) []:reg.westos.org
Email Address []:2441477086@qq.com


[root@server9 ~]# ls
certs
[root@server9 ~]# cd certs
[root@server9 certs]# ls
westos.org.crt  westos.org.key

自签名证书生成了

-v 一定要写绝对路径
/opt/registry:/var/lib/registry 挂载这个目录是因为这个目录是我们的仓库目录,仓库里的数据都在这个目录上
-p 443:443 -v /opt/registry:/var/lib/registry registry 告诉它这个仓库通过这个镜像运行起来

[root@server9 ~]# docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
[root@server9 ~]# docker run -d \
> --restart=always \
> --name registry \
> -v "$(pwd)"/certs:/certs \
>  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
> -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.org.crt \
> -e REGISTRY_HTTP_TLS_KEY=/certs/westos.org.key \
> -p 443:443 -v /opt/registry:/var/lib/registry registry
e76e3d22283be4aa504326b72a45a2ed0448e72e060729e819ebdd190921e7e2
仓库已经已容器的方式起来了
-v "$(pwd)"/certs:/certs 把当前目录挂载到容器内的目录
-v /opt/registry:/var/lib/registry  把容器里的仓库目录挂出来
registry仓库的镜像通过这个镜像运行



[root@server9 ~]# docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                            NAMES
e76e3d22283b        registry            "/entrypoint.sh /etc…"   11 seconds ago      Up 10 seconds       0.0.0.0:443->443/tcp, 5000/tcp   registry

参数说明

-v “$(pwd)”/certs:/certs 显示当前目录底下的certs
可以改成绝对路径,写死这个目录。添加链接描述参考这个
/opt/registry自动创建
加了-v以后docker不会自动给你创建一个卷(自动创建会创建名字很长的卷不便于访问)挂载到这个目录上,会覆盖这个目录
-p 443:443 -v /opt/registry:/var/lib/registry registry 把这个宿主机上的/opt/registry挂载到容器里的/opt/registry
:后面都是容器

访问这个仓库

这个仓库已经做了443端口映射了,不管远端还是本地访问,都要做一个解析

 vim /etc/hosts
172.25.138.9   server9 reg.westos.org

客户端用法上传

docker tag nginx:latest reg.westos.org/nginx:latest
docker push reg.westos.org/nginx
The push refers to repository [reg.westos.org/nginx]
Get https://reg.westos.org/v2/: x509: certificate signed by unknown authority


[root@server9 certs]# cd /etc/docker/  运行容器时自动扫描这个文件
[root@server9 docker]# mkdir certs.d
[root@server9 docker]# cd certs.d
[root@server9 certs.d]# mkdir reg.westos.org
[root@server9 certs.d]# cd reg.westos.org/
[root@server9 reg.westos.org]# cp ~/certs/westos.org.crt ca.crt

如果想访问其它仓库的话
/etc/docker/certs.d/仓库名 然后在这个目录里面放入证书
当访问这个仓库就会到这个/etc/docker/certs.d/仓库名这个目录

[root@server9 reg.westos.org]# docker push reg.westos.org/rhel7
The push refers to repository [reg.westos.org/rhel7]
An image does not exist locally with the tag: reg.westos.org/rhel7
[root@server9 reg.westos.org]# docker push reg.westos.org/nginx
The push refers to repository [reg.westos.org/nginx]
075508cf8f04: Pushed 
5c865c78bc96: Pushed 
134e19b2fac5: Pushed 
83634f76e732: Pushed 
766fe2c3fc08: Pushed 
02c055ef67f5: Pushed 
latest: digest: sha256:61191087790c31e43eb37caa10de1135b002f10c09fdda7fa8a5989db74033aa size: 1570

客户端上传成功

[root@server9 certs]# docker run -d \
> --restart=always \
> --name registry \
> -v "$(pwd)"/certs:/certs \
> -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
> -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.org.crt \
> -e REGISTRY_HTTP_TLS_KEY=/certs/westos.org.key \
> -p 443:443 -v /opt/registry:/var/lib/registry registry
a104df364489a595572f2ec0f3b19a9808bbf921027268e9a097566cf0c1f46e
[root@server9 certs]# docker ps 
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                         PORTS               NAMES
a104df364489        registry            "/entrypoint.sh /etc…"   15 seconds ago      Restarting (1) 4 seconds ago                       registry
[root@server9 certs]# docker push reg.westos.org/nginx
The push refers to repository [reg.westos.org/nginx]
Get https://reg.westos.org/v2/: dial tcp 172.25.138.9:443: connect: connection refused

这个问题是容器没有网络问题,在docker ps 没有5000和443
重启系统让它分配一个ip

redhat_yan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker(三)官方仓库搭建仓库加密和认证
Gong_yz的博客
03-05 2629
当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给docker客户端,docker客户端再从registry下载镜像,在下载过程中 registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上。客户端向index请求删除,index向客户端返回允许delete和token,然后客户端访问仓库,校验完成后在仓库中删除,仓库完成删除后和index之间同步信息。
Docker私有仓库搭建
虚幻私塾
08-12 479
Harbor是由VMWare在Docker Registry的基础之上进行了二次封装,加进去了很多额外程序,而且提供了一个非常漂亮的web界面。Project Harbor 是一个开源的可信云原生注册表项目,用于存储、签名和扫描上下文。Harbor 通过添加用户通常需要的功能(如安全性、身份和管理)来扩展开源 Docker 分发版。Harbor 支持高级功能,例如用户管理、访问控制、活动监控和实例间复制。...
kubernetes1.5.2版本 yum install 方式安装部署 认证授权机制 安全模式 完整版
码农崛起
08-18 2700
此次是kubernetes1.5的版本 认证相关参数: •anonymous-auth参数:是否启用匿名访问,可以选择true或者false,默认是true,表示启用匿名访问。 •authentication-token-webhook参数:使用tokenreviewAPI来进行令牌认证。 •authentication-token-webhook-cache-ttl参数:webhook令牌认证缓存响应时长。 •client-ca-file参...
Docker 生产环境之安全性 - 用证书验证仓库客户端
kikajack的博客
03-17 2268
原文地址在 通过 HTTPS 运行 Docker 中可以知道,默认情况下 Docker 通过非联网的 Unix 套接字运行,为了使 Docker 客户端和守护进程可以安全的通过 HTTPS 通信,必须开启 TLS。TLS 可以认证 registry 端点,并将进出 registry 的流量加密。本文演示如何确保 Docker registry 服务器与 Docker 守护进程之间的流量经过加密,并
open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no such file or directory
秋天的博客
12-24 1960
其中最主要的问题是:details: (open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no such file or directory) 解决方案: 查看/etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt 是一个软链接,但是链接过去后并...
解决docker harbor镜像上传失败的问题
云深海阔专栏
03-25 2712
问题报错情况: root@git-server:/etc/docker/certs.d# systemctl restart docker root@git-server:/etc/docker/certs.d# docker pull registry.yunson.com/hahamall/java:8 Error response from daemon: Get https://registry.yunson.com/v2/: x509: certificate is valid for yu.
Docker搭建私有仓库
johnhan9的博客
04-29 252
系统版本:CentOs 7.6 Docker版本:1.13.1 1、拉取仓库镜像 [root@test ~]# docker pull registry Using default tag: latest Trying to pull repository docker.io/library/registry ... latest: Pulling from docker.io/librar...
Docker搭建私有镜像仓库的方法
01-10
和Mavan的管理一样,Dockers...现在Docker用处越来越多了,所以今天就想着搭建一个私有镜像仓库来维护内部我们自己的镜像。 环境 CentOS 7.x Docker 1.12.6 安装 docker-distribution $ sudo yum install -y docker
Docker 搭建私有仓库(registry、harbor)
09-30
主要介绍了Docker 搭建私有仓库(registry、harbor),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker搭建私有仓库之Harbor的步骤
01-09
 Harbor是构建企业级私有docker镜像的仓库的开源解决方案,它是Docker Registry的更高级封装, 它除了提供友好的Web UI界面,角色和用户权限管理,用户操作审计等功能外,它还整合了K8s的插件(Add-ons)仓库,即Helm...
containerized-guacamole:Apache Guacamole开箱即用Nginx反向代理,让加密进行设置。 使用Docker Compose可以轻松轻松地进行部署。 仅使用官方鳄梨酱Docker映像
05-23
带有TLS的容器中的Apache Guacamole 此Docker Compose设置非常容易(仅3个cli命令)在通过Let's Encrypt保护的NGINX反向代理TLS后面运行 。 尽管此回购协议已有3年历史,但由于使用了最新的官方图片,因此至今仍然有效并且是最新的。 独特的功能 与其他解决方案不同,此设置更易于设置,并且符合docker / docker-compse最佳实践。 在这里,我们使用官方的Apache Guacamole Docker映像始终是最新的。 在Guacamole服务之前自动创建和配置Nginx反向代理。 使用“让我们为您的公共领域加密”对TLS进行加密的流量。 仅需两个必需的环境变量的最小配置。 跑步 在启动服务之前,请定义三个必需变量。 最简单的方法是在工作目录中创建一个.env文件,例如: 步骤1-定义您的域和数据库密码 cut > .e
Docker搭建私有仓库(registry与Harbor)的实现
09-29
主要介绍了Docker搭建私有仓库(registry与Harbor)的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
离线搭建docker私有镜像仓库软件包
04-19
离线搭建docker私有镜像仓库软件包 教程参见https://blog.csdn.net/qq_38120778/article/details/124277294
本地测试使用自签名证书以开启网站https(例子说明:Nginx、Tomcat)
MysticalDream的博客
05-16 8353
数字证书是由证书颁发机构(CA)签名并颁发的电子文件,用于建立网络连接的身份认证和加密通信。SSL 证书是数字证书的一种。
docker :no such file or directory
weixin_34248849的博客
09-04 1822
---恢复内容开始--- 其中最主要的问题是:details: (open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no such file or directory) 解决方案: 查看/etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt...
verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
热门推荐
weixin_46660849的博客
11-14 5万+
使用自签名的ssl证书遇到如下问题: tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
docker安全配置以及部署Docker-TLS加密通讯
ljj的学习笔记
04-05 538
目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、部分安全操作1、容器最小化2、Docker remote api 访问控制3、限制流量流向4、镜像安全5、Docker-TLS加密通讯
【项目实战10】Docker2(私有仓库registry搭建
weixin_48819467的博客
07-25 545
docker私有仓库registry的搭建一、前言二、搭建过程一、加载导入镜像二、测试本地上传文件三、为Docker仓库添加证书加密功能一、生成证书二、重建仓库三、上传测试三、Docker仓库添加用户认证功能一、导入用户认证二、重建registry容器三、登陆主机认证四、server2使用私有仓库 一、前言 Docker Hub作为Docker默认官方公共镜像,拉取时需要连接网络。如果想要自己搭建私有镜像仓库,官方也提供Registry镜像,使得我们搭建私有仓库变得非常简单。 私有仓库,是指在搭建在本地的仓
matlab下载.pdf
最新发布
07-14
matlab下载下载方式及注意事项
docker搭建私有仓库管理
06-01
好的,我可以为你提供一下关于如何使用Docker搭建私有仓库的步骤: 1. 安装Docker搭建私有仓库之前,你需要先在服务器上安装Docker。你可以根据自己的操作系统版本去下载安装Docker。 2. 创建一个本地仓库 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值