搭建安全的私有Docker镜像仓库

最新推荐文章于 2024-05-15 04:43:40 发布
最新推荐文章于 2024-05-15 04:43:40 发布
阅读量879 收藏
点赞数
分类专栏: 云计算 文章标签: Docker Registry CA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xialingming/article/details/81291543
版权

网上有些文章写这个,但是要么告诉你直接加insecure registries,要么直接用CA作为服务的证书了,可以说很粗暴了,有些直接必须要求你设置CN,不能用IP地址。这些距离一个理想的纯私有环境的镜像仓库部署有不小差距,因此有了此文。

1. 期望

  1. 不需要通过设置insecure_registies的方式,在客户端随意pull/push一个私有镜像仓库源中的镜像
  2. ca证书不要直接用于registry服务的认证
  3. 不要用域名,用IP设置服务证书
  4. 设置登录用户名、密码

2. 环境说明

  • Host1: 172.31.40.155 (镜像仓库地址)
  • Host2: 172.31.22.100 (验证客户端)
  • OS: Ubuntu
  • Docker: 18.03.1-ce
  • Registry:2

3. 快速部署一个镜像仓库

地址:registry:2
部署镜像仓库,在172.31.40.155上执行

docker run -d -p 5000:5000 --restart always --name registry registry:2

172.31.40.155测试下:

docker tag ubuntu localhost:5000/ubuntu
docker push localhost:5000/ubuntu

一切很ok,但是当你在172.31.22.100上docker pull 172.31.40.155:5000/ubuntu 时,会告诉你:

Get https://172.31.40.155:5000/v1/_ping: http: server gave HTTP response to HTTPS client

这时候你可以选择用不安全的方式fix掉,具体方式就是:
/etc/docker/目录下,创建daemon.json文件。在文件中写入:

{
    "insecure-registries": [
        "172.31.40.155:5000"
    ]
}

重启docker,服务正常使用。
但是这种方案,并不被鼓励,而且最头疼的是:

  1. 以后每一个节点都要添加配置记录,然后重启Docker
  2. 每增加一个registry都要改所有的Node中的配置,然后全部Node重启Docker

嗯,无法忍受。

4. 使用HTTPS

  1. 目录:

    mkdir -p /cert && cd /cert

  2. 生成CA根证书

    • 生成CA私钥(.key)

      openssl genrsa -out ca.key 2048

    • 生成CA证书请求(.csr)

      openssl req -new -key ca.key -out ca.csr

    • 自签名得到根证书(.crt)

      openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

  3. 分发CA根证书到全部节点:

    scp ca.crt root@ip-172-31-22-100:/usr/local/share/ca-certificates/ca.crt

  4. 各个节点信任CA证书,各个节点上执行:

    update-ca-certificates

  5. 产生镜像服务使用的服务证书,以下命令在registry节点上执行

    • 生成服务私钥(.key)

      openssl genrsa -out /cert/service.key 4096

    • 生成证书请求(.csr)

      openssl req -subj "/" -sha256 -new -key /cert/service.key -out /cert/service.csr

    • 准备extfile文件

      cat > /cert/extfile.cnf <<EOF
> subjectAltName = IP:172.31.40.155
> EOF

    • 用CA根证书签名得到证书(.crt)

      openssl x509 -req -days 36500 -sha256 -in /cert/service.csr -CA /usr/local/share/ca-certificates/ca.crt -CAkey ca.key  -CAcreateserial -out service.crt -extfile /cert/extfile.cnf

  6. 设置用户名、密码:
    用户名:lmxia,密码:xialingming,你也可以继续追加

    docker run   --entrypoint htpasswd   registry:2 -Bbn lmxia xialingming >/auth/htpasswd

  7. 重新部署registry服务(先把之前的registry容器杀掉,清掉daemon.json):

    docker run -d -p 5000:5000 --privileged=true -v /cert:/root/certs -v /auth:/auth -e "REGISTRY_AUTH=htpasswd"  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd -e REGISTRY_HTTP_TLS_CERTIFICATE=/root/certs/service.crt -e REGISTRY_HTTP_TLS_KEY=/root/certs/service.key registry:2

  8. 测试:
    所有client节点均可以login/pull/push 该registry的镜像。

All,希望对您有帮助。

xialingming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
镜像仓库安全配置
Tommy Xiao
10-28 212
docker搭建私有仓库(加密功能)13
Redhat_yan
05-30 185
开源软件直奔官方文档 加密功能 [root@server9 yum.repos.d]# systemctl status docker.service ● docker.service - Docker Application Container Engine Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled) Active: active (running) si
Docker仓库搭建
m0_61418075的博客
05-15 801
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Docker安全之cgroups、搭建Docker私有仓库
weixin_41927237的博客
08-22 524
一、设置特权级运行的容器:–privileged=true 有的时候我们需要容器具备更多的权限,比如操作内核模块,控制 swap 交换分区,挂载 USB 磁盘,修改 MAC 地址等。 [root@foundation10 test]# docker run -it --name vm3 --privileged=true ubuntu root@233a3ed7c3df:/# ip addr...
Docker搭建 Docker 镜像仓库
qq_61635026的博客
10-05 7267
Docker 生态系统中,镜像仓库Docker Registry)扮演着关键的角色,用于存储和分享 Docker 镜像镜像仓库有公共的和私有的两种形式,每种形式都有其特定的应用场景。 公共镜像仓库 Docker Hub Docker Hub 是 Docker 公共仓库,是最大的 Docker 镜像仓库之一。它提供了大量的公共镜像供用户使用。你可以在 Docker Hub 上找到官方的基础镜像,也可以找到其他用户分享的各种应用和工具的镜像。 国内云服务商提供的公共仓库 由于 Docker Hub
docker】一文讲完docker搭建私有仓库
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
01-05 3790
搭建Docker私有仓库主要有以下几种方式:使用Docker官方提供的Registry镜像Docker官方提供了一个用于构建私有镜像仓库Registry镜像,只需将镜像下载并运行容器,然后暴露5000端口即可使用。可以通过修改Docker的配置文件daemon.json,在其中添加私有镜像仓库地址来实现。
Docker搭建私有镜像仓库的方法
01-10
和Mavan的管理一样,Dockers...现在Docker用处越来越多了,所以今天就想着搭建一个私有镜像仓库来维护内部我们自己的镜像。 环境 CentOS 7.x Docker 1.12.6 安装 docker-distribution $ sudo yum install -y docker
离线搭建docker私有镜像仓库软件包
04-19
离线搭建docker私有镜像仓库软件包 教程参见https://blog.csdn.net/qq_38120778/article/details/124277294
详解基于Harbor搭建Docker私有镜像仓库
09-30
主要介绍了详解基于Harbor搭建Docker私有镜像仓库,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CentOS7.2服务器上搭建Docker私有镜像仓库操作示例
09-30
主要介绍了CentOS7.2服务器上搭建Docker私有镜像仓库操作,结合实例形式分析了基于CentOS7.2平台docker安装、证书和密钥生成、私有镜像创建与启动等操作相关命令与使用技巧,需要的朋友可以参考下
详解docker实战之搭建私有镜像仓库-kurbernetes
02-25
本来使用公共的dockerhub完全可以满足我们的需求,也非常方便,但是上传的镜像任何人都可以访问,其次dockerhub的私有仓库又是收费的,所以从安全和商业两方面考虑,企业必须搭建自己的私有镜像仓库。为了保证镜像...
docker创建私有镜像仓库搭建教程
01-10
镜像仓库:v2 首先在10.211.55.30机器上下载registry镜像 $ docker pull registry 也可以进行镜像导入的方法进行离线的安装。可以去我的网盘中下载:https://pan.baidu.com/s/1jHZlz2u 然后进入Docker中进行导入 ...
docker进阶-搭建私有企业级镜像仓库Harbor
02-25
既然官方提供了镜像仓库我们为什么还要去自己搭建私有仓库呢?虽然也可以托管私有镜像。我们可以非常方便的把我们自己镜像推送上去,但是Dockerhub提供的私有仓库个数有限。对于个人来说Dockerhub是个不错的选择,...
Docker Registry搭建私有镜像仓库的实现方法
09-29
主要介绍了Docker Registry搭建私有镜像仓库的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
搭建Docker私有仓库(自签名方式)
09-30
为了能集中管理我们创建好的镜像,方便部署服务,我们会创建私有Docker仓库。这篇文章主要介绍了搭建Docker私有仓库(自签名方式),具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Docker搭建私有仓库之Harbor的步骤
01-09
 Harbor是构建企业级私有docker镜像仓库的开源解决方案,它是Docker Registry的更高级封装, 它除了提供友好的Web UI界面,角色和用户权限管理,用户操作审计等功能外,它还整合了K8s的插件(Add-ons)仓库,即Helm...
Docker容器镜像安全最佳实践指南
神棍之路
01-17 1183
0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置为info2.3 允许 docker 更改iptables2.4 不使用不安全镜像仓库2.5 建议不使用aufs存储驱动程序。
Docker篇】从0到1搭建自己的镜像仓库并且推送镜像到自己的仓库
小吉妙妙屋
01-14 3235
科技的发展改变着世界,而我们作为技术人员,也在这个过程中书写着自己的篇章。用户可以对私有仓库进行访问控制和权限设置,确保只有授权的人员能够推送和拉取镜像。它允许用户存储、共享和管理自己的镜像,并提供了更多的定制化选项,以适应各种不同的应用场景和需求。通过使用私有仓库,用户可以确保所使用的镜像的版本和稳定性,避免因为公共仓库的变化导致应用程序出现问题。Docker私有仓库的存在为用户提供了更高的灵活性、控制和安全性。与使用公共镜像仓库相比,私有仓库使用户能够完全掌握自己的镜像生命周期。
Docker实验(六)Docker搭建本地仓库私有仓库(设置加密以及访问控制)
qq_39376481的博客
07-07 1403
一.概念讲解 1.仓库分为公开仓库(Public)和私有仓库(Private)两种形式。最大的公开仓库Docker Hub,存放了数量庞大的镜像供用户下载。 国内的公开仓库包括 Docker Pool等,可以提供大陆用户更稳定快速的访问。 2.当然,用户也可以在本地网络内创建一个私有仓库。当用户创建了自己的镜像之后就可以使用 push 命令将它上传到公有或者私有仓库,这样下次在另外一台机器上使...
搭建私有docker镜像仓库
最新发布
06-08
搭建私有Docker镜像仓库通常是为了在组织内部管理和分发安全Docker镜像。这可以通过使用Docker Registry服务来实现,比如Docker Hub的私有版本Docker Trusted Registry (DTR)或者自建的Registry(如ECS、Harbor等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值