前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >docker私有仓库搭建,证书认证,鉴权管理

docker私有仓库搭建,证书认证,鉴权管理

作者头像
互扯程序
发布2019-05-14 16:22:58
3.1K0
发布2019-05-14 16:22:58
举报
文章被收录于专栏:互扯程序

-Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。

我们知道docker镜像可以托管到dockerhub中,跟代码库托管到github是一个道理。但如果我们不想把docker镜像公开放到dockerhub中,只想在部门或团队内部共享docker镜像,能不能像gitlab一样在搭建私有的仓库呢?答案是肯定的,docker也支持将镜像存到私有仓库。

这篇文章默认你的机器上已经安装了docker,并有了docker的一些基础知识,本文主要讲私有仓库搭建,证书认证,鉴权管理等内容,关于docker的内容请参考其他文章。

如果Docker还不会,可以在公众号回复“docker”,会有docker视频教程提供给你进行学习。

开始搭建私有仓库

假设我们有两台机器,一台是Client是平时工作用的,IP是192.168.1.100,一台是Server安装私有仓库的,IP是192.168.1.200。

我们在Server机器上搭建私有仓库,一条命令即可,非常简单

代码语言:javascript
复制
$ docker run --name docker-registry -d -p 5000:5000 --restart=always registry:2

--name 用来设置容器的名字 -d 后台启动 -p 5000:5000 指定宿主机5000端口映射容器5000端口, --restart=always Docker容器的重启策略

Docker容器的重启策略是面向生产环境的一个启动策略

no,默认策略,在容器退出时不重启容器 on-failure,在容器非正常退出时(退出状态非0),才会重启容器 on-failure:3,在容器非正常退出时重启容器,最多重启3次 always,在容器退出时总是重启容器 unless-stopped,在容器退出时总是重启容器,但是不考虑在Docker守护进程启动时就已经停止了的容器

docker run的退出状态码如下:

0,表示正常退出 非0,表示异常退出(退出状态码采用chroot标准) 125,Docker守护进程本身的错误 126,容器启动后,要执行的默认命令无法调用 127,容器启动后,要执行的默认命令不存在 其他命令状态码,容器启动后正常执行命令,退出命令时该命令的返回状态码作为容器的退出状态码。

这条命令执行完成以后,如果是第一次执行,docker会从dockerhub中去下载这个registry镜像到本地。然后运行生成容器。

我们执行docker ps 看一下容器是否启动成功。

代码语言:javascript
复制
$ docker ps

我们可以看到有一个name为docker-registry的容器已经启动成功。这就是我们私有仓库了。怎么样,简单吧。继续下一步,把客户端的镜像提交到服务端的仓库里。

提交镜像

我们现在切换到工作机器上进行提交镜像,也就是Client端,执行命令docker pull tomcat,从hub.docker.com下载最新版本的tomcat镜像.

代码语言:javascript
复制
$ docker pull tomcat

执行命令docker images查看镜像列表。

代码语言:javascript
复制
$ docker images

这个镜像的ID是dd6ff929584a,下面我们给这个镜像添加一个带有私有仓库IP的TAG,这样才能成功推送到私有仓库:

代码语言:javascript
复制
$ docker tag dd6ff929584a 192.168.1.200:5000/tomcat

然后把这个镜像推送到私有仓库

代码语言:javascript
复制
$ docker push 192.168.1.200:5000/tomcat

但是当执行这条命令的时候报错了:

Get https://192.168.1.200:5000/v2/: http: server gave HTTP response to HTTPS client

原因是:Client与Registry交互,默认将采用https访问,但我们在install Registry时并未配置指定任何tls相关的key和crt文件,https访问定然失败。

解决:在Client端都要修改,“/etc/docker/”目录下,创建“daemon.json”文件,在文件中写入:

代码语言:javascript
复制
{ "insecure-registries": [ "192.168.1.200:5000" ] }

或者

代码语言:javascript
复制
vim /lib/systemd/system/docker.service 
添加 ExecStart=/usr/bin/dockerd --insecure-registry 192.168.1.200:5000

然后执行下面命令

代码语言:javascript
复制
刷新配置
$ systemctl daemon-reload
重启docker
$ systemctl restart docker

这么配置之后,Client将以http的方式推送镜像,然后再次push,OK,成功。

执行命令查看私有仓库里的镜像

代码语言:javascript
复制
$ curl http://192.168.1.200:5000/v2/_catalog 

返回

{"repositories":["tomcat"]}
代码语言:javascript
复制
curl http://192.168.1.200:5000/v2/tomcat/tags/list

返回

{"name":"tomcat","tags":["latest"]} 

但是,这样操作会有个问题,如果有很多台Client的话,每一台Client都要这么配置,非常麻烦。怎么解决呢?我们给Server端加个证书吧。

Secure Registry

Docker官方是推荐你采用Secure Registry的工作模式的,即transport采用tls。这样我们就需要为Registry配置tls所需的key和crt文件了。

可以使用openssl生成自签名证书,在测试环境可以这么用,但是在生产环境我们还是用CA签发的认证证书吧。证书是收费的(按年),少则一两千,多则七八千。(网上有人说还有几十的,实际还没看到过)但有些公司就是不愿意花钱,还有一些个人网站更不愿意花钱了。

制作自签署证书

openssl是一个开源程序的套件、这个套件有三个部分组成:一是libcryto,这是一个具有通用功能的加密库,里面实现了众多的加密库;二是libssl,这个是实现ssl机制的,它是用于实现TLS/SSL的功能;三是openssl,是个多功能命令行工具,它可以实现加密解密,甚至还可以当CA来用,可以让你创建证书、吊销证书。

我们在Server端执行openssl命令

代码语言:javascript
复制
$ openssl req -newkey rsa:2048 -nodes -sha256 -keyout /certs/domain.key -x509 -days 365 -out /certs/domain.crt

这样证书就生成好了,在继续下一步之前,我们先讲讲如何生成CA认证的免费证书。

Certbot免费证书

那么当然我们要用免费证书了啊,而且可用于生产环境,具体怎么用,看这篇文章,生成免费可用于生产环境证书 非常详细。其实也就是一条命令而已。

代码语言:javascript
复制
$ certbot certonly --cert-name test.qq.com

test.qq.com是你们公司的域名,生产环境必须要有域名,替换成你们公司域名即可。

输入命令后,会出现几个选择,第一个是如果你启动了ngxin的话,利用nginx插件的方式生成证书,如果没有就选择2,Certbot 会启动一个临时服务器来完成验证(会占用80端口或443端口,因此需要暂时关闭 Web 服务器),然后 Certbot 会把证书以文件的形式保存,包括完整的证书链文件和私钥文件。

当然选择完1,继续输入test.qq.com域名的后发现报错了,因为我的真实域名不是test.qq.com,只是随便写了一个,但是Certbot会进行验证,发现验证不通过。所以如果你有实际真实域名请用真实域名,然后配置DNS域名服务器,把域名指向你机器的ip地址,这样才能验证通过。我用一个实际的域名继续配置,就能成功了。

注意:下面例子中用到的域名是我实际的真是域名,请更换你自己的域名才能成功执行

我们能看到成功信息里有显示证书的生成路径。OK,我们到这个路径下查看

代码语言:javascript
复制
$ cd /etc/letsencrypt/live

就能看到这个目录下有一个我们域名命名的目录。继续进入这个目录

里面就是我们需要的证书,这个地方要注意,这个目录下的文件都是L开头的,说明它是一个链接文件,就相当于我们windows里面的快捷方式,后面箭头指向的才是真正的文件路径。

代码语言:javascript
复制
$ cd ../../archive/test.leautolink.com 

这里才是实际的文件。但是这些文件都是pem文件,docker-registry要求是crt和key文件,所以我们要进行转换。

代码语言:javascript
复制
$ mkdir /certs
$ cat domain.crt fullchain1.pem > /certs/domain.crt
$ cat domain.key privkey1.pem > /certs/domain.key

执行完成以后,我们会看到/certs下有两个文件,一个是domain.crt,一个是domain.key

然后再执行 mkdir -p /docker-registry/data 这个目录用来挂载镜像数据,这样镜像上传到私有仓库后,当仓库被删除,这些镜像也不会丢失。

代码语言:javascript
复制
$ mkdir -p /docker-registry/data 

开始搭建Secure Registry私有仓库

代码语言:javascript
复制
$ docker run --name docker-registry 
    -v /docker-registry/data:/var/lib/registry 
    -v /certs:/certs 
    -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt 
    -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key 
    -d -p 5000:5000 --restart=always registry:2

-v 是挂载数据的 -e 是设置环境变量的,通过两个环境变量设置了证书。

执行docker ps

代码语言:javascript
复制
$ docker ps

当看到PORTS下有端口映射显示的时候,说明你已经搞定了。

现在我们切换到Client机器上

如果我们用的是openssl的话,需要修改一下/etc/hosts文件加入

代码语言:javascript
复制
192.168.1.200 test.leautolink.com

执行命令

代码语言:javascript
复制
$ docker tag dd6ff929584a test.leautolink.com:5000/tomcat

$ docker push test.leautolink.com:5000/tomcat

已经显示push成功了。

代码语言:javascript
复制
curl https://test.leautolink.com:5000/v2/_catalog

返回

{"repositories":["tomcat"]}
代码语言:javascript
复制
curl https://test.leautolink.com:5000/v2/tomcat/tags/list

返回

{"name":"tomcat","tags":["latest"]}

说明我们push到私有仓库的tomcat已经查询到了。

注意,我们访问的是https不是http,因为我们加了证书只支持https,如果支持http访问的话,还是需要配置第一讲的内容。

这时可以随便再找一台机器进行下载这个进行,ok一切顺利。

代码语言:javascript
复制
$ docker pull test.leautolink.com:5000/tomcat

这样所有可以连接这台机器的电脑都可以下载和上传镜像了。

但是你有没有发现这样很不安全。那我们继续下一步,让它变的更安全一些,我们给他加上用户名密码登录,只有登录成功才能进行上传下载镜像操作。

Registry的鉴权管理

Registry提供了一种基础的鉴权方式,我们在Register server上,为Registry增加test用户,密码test123

生成鉴权密码文件

代码语言:javascript
复制
$ mkdir /auth
$ docker run --entrypoint htpasswd registry:2 -Bbn test test123  > /auth/htpasswd
$ ls auth
htpasswd

启动带鉴权功能的Registry

代码语言:javascript
复制
$ docker run  --name docker-registry 
    -v /docker-registry/data:/var/lib/registry 
    -v /certs:/certs 
    -v /auth:/auth 
    -e "REGISTRY_AUTH=htpasswd" 
    -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" 
    -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd 
    -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt 
    -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key 
    -d -p 5000:5000  --restart=always registry:2

这条命令比上一讲多一个挂载/auth目录以及多设置两个-e 的环境变量。执行docker ps 可以看到仓库已创建成功。

我们切换到Client端把刚才生成的tomcat镜像进行提交

代码语言:javascript
复制
$ docker push test.leautolink.com:5000/tomcat

提示鉴权失败。

那么我们要做的就是先登陆到私有仓库,然后再进行提交。

代码语言:javascript
复制
$ docker login test.leautolink.com:5000

然后再输入用户名test,密码test123,回车,提示登陆成功

我们再次push,可以看到这次就能push成功。上面虽然用了两台机器进行操作,是为了明显区分Client和Server,如果你机器有限,一台机器就够用了,你要理解什么时候是Client,什么时候是Server就行了。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-03-14,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 互扯程序 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
容器服务
腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档