超详细记录公司多用户Docker仓库创建安全认证和应用

概述:超详细记录建立公司内部多用户Docker仓库,自定义CA证书,https安全认证。服务器作为远程Docker仓库,其他开发端(如server2,server3等)添加认证并登录,多开发端可以上传下载公司内部的docker仓库的镜像。公司的CI,CD用内部docker镜像仓库上传和下载方便,安全,方便统一管理公司容器镜像。

默认Docker在服务器端和开发端已经安装完毕,若没有,可参考我另一篇博文Ubuntu16.04安装Docker1.12+开发实例+hello world+web应用容器

1.服务器端(server1)操作。下载Docker仓库镜像,创建CA证书,创建docker仓库。

1.1.下载docker镜像

docker pull registry:2

1.2.在服务器端创建自定义签发的CA证书

mkdir -p ~/docker/certs && openssl req \
  -newkey rsa:4096 -nodes -sha256 -keyout ~/docker/certs/domain.key \
  -x509 -days 365 -out ~/docker/certs/domain.crt

输出如下信息:

Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:rz
Organizational Unit Name (eg, section) []:rz
Common Name (e.g. server FQDN or YOUR name) []:wangxiaolei.com     
Email Address []:wov@outlook.com

注意自定域名,如wangxiaolei.comCommon Name (e.g. server FQDN or YOUR name) []:wangxiaolei.com

1.3.添加多用户信息,创建仓库的用户名,密码。

  • a.docker仓库添加用户的登录用户名和密码。
mkdir -p ~/docker/auth
docker run --entrypoint htpasswd registry:2 -Bbn wangxiaolei 123456 >>~/docker/auth/htpasswd
  • b.docker仓库添加多位开发人员信息。
docker run --entrypoint htpasswd registry:2 -Bbn wangxiaolei1 123456 >>~/docker/auth/htpasswd
docker run --entrypoint htpasswd registry:2 -Bbn wangxiaolei2 123456 >>~/docker/auth/htpasswd
docker run --entrypoint htpasswd registry:2 -Bbn wangxiaolei3 123456 >>~/docker/auth/htpasswd

1.4.重启docker服务

sudo service docker restart

1.5.创建registry容器

docker run -d -p 5000:5000 --restart=always --name registry \
  -v ~/docker/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -v ~/docker/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

1.6.通过sftp或者scp将远程仓库服务器端的docker.crt下载到开发端(如用户xiaolei的开发端)

scp ~/docker/certs/domain.crt xiaolei@192.168.148.239:~

2.多客户端操作。CA授信,登录创建好的远程docker仓库(server2或server3等等,都进行如下操作即可)。

2.1.将1.6步骤的domain.crt放到docker的对应位置。

  • ubuntu系统
sudo mkdir -p ~/certs.d/wangxiaolei.com:5000
sudo cp  ~/domain.crt /etc/docker/certs.d/wangxiaolei.com:5000/ca.crt
  • redhat系统
cp ~/domain.crt /usr/local/share/ca-certificates/myregistrydomain.com.crt

2.2.登录远程docker仓库

  • 2.2.1.将域名和服务器ip映射(如果是真实能访问绑定的域名则省略此步骤)
sudo vim /etc/hosts
#在/etc/hosts添加如下内容
192.168.0.133 wangxiaolei.com
  • 2.2.2.登录远程Docker仓库
docker login wangxiaolei.com:5000

2.3.从官网上下载alpine镜像,标记然后推送到刚刚创建好的docker远程仓库中。

  • 2.3.1.官网仓库下载alpine镜像 docker pull alpine
  • 2.3.2.创建新的镜像(打标签) docker tag alpine wangxiaolei.com:5000/alpine:v1 其中,
    • tag为标签操作。
    • alpine为已经存在的alpine镜像,默认版本为latest。
    • wangxiaolei.com为域名,5000为端口。
    • alpine为自定义的镜像名称,v1为自定义的版本号。
  • 2.3.3.上传新创建的镜像到自己的远程docker仓库 docker push wangxiaolei.com:5000/alpine:v1

2.4.其他内部开发人员可以使用 docker pull wangxiaolei.com:5000/alpine:v1下载alpine镜像

3.查看docker仓库上有哪些镜像。

3.1.此时,登入https://wangxiaolei.com:5000/v2/_catalog

3.2.输入开发人员的信息,用户名和密码

3.3.查看内部Docker仓库中已有alpine的镜像

3.4.相关参考文档

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏向治洪

ios逆向工具MonkeyDev简介

MonkeyDev简介 虽然是米国的苹果开发的的的我操作系统系统,但是要论越狱iPhone和逆向分析来说,那国内远胜于米国了,可能是国内很多相关的灰色产业链吧。...

4396
来自专栏性能与架构

高性能负载均衡软件HAProxy

image.png HAProxy是一个负载均衡软件,开源、高性能,可应用于TCP(第四层)和HTTP(第七层) 借助HAProxy可以快速、可靠地提供基于TC...

3115
来自专栏还债之路

Linux软件包安装--三魔鬼

yum是基于rpm的软件包管理器,他可以使系统管理人员交互和自动化地更细与管理rpm包,他能自动从服务器下载RPM包并安装,他可以自动处理依赖关系,自动安装所有...

1312
来自专栏云鼎实验室的专栏

安全研究 | Jenkins 任意文件读取漏洞分析

3102
来自专栏一个爱瞎折腾的程序猿

react-native 项目初始化

811
来自专栏Felix的技术分享

在macOS 10.12 上编译 Android 5.1

2074
来自专栏破晓之歌

各类远程工具对比 原

界面及简,连接较快,但是传播上慢点。举例说,在腾讯云上直接下载就块点,几百K,用这个显示只有几十K。能用,但是时间长看白色界面很累。

4944
来自专栏赵俊的Java专栏

Windows 转换 Socks5 为 HTTP 代理

1.6K3
来自专栏Zachary46

Android反编译apk并重新打包签名(Mac环境)

根据apktool网站提示的下载方法,右击wrapper script,链接存储为apktool,不要带拓展名

2233
来自专栏Laoqi's Linux运维专列

linux安全配置

今天清早登录服务器发现很多暴力狗(使用ssh端口破解登录密码),真不知道这些人有啥意思,破解了无非是把我的服务器当作肉鸡再去攻击其他服务器,目的无非就是证明你有...

2975

扫码关注云+社区