Docker registry ssl认证和访问控制
一:实验环境以及需求
实验环境:两台cnetos7.2版本虚拟机。(资源允许最好准备三台,一台做私有仓库,一台做上传镜像服务器,一台做下载镜像服务器)
虚拟机1:192.168.1.200
虚拟机2:192.168.1.201
服务器防火墙和selinux关闭。hosts根据实际情况做解析,每台都需要解析。
本实验hosts解析为:192168.1.201 hub.com
此文档默认在Registry上操作,client上操作时会红色标记。
二:自建证书CA
要实现ssl认证就需要证书支持,证书最好是服务商提供的证书,比如阿里云,腾讯云等等。这里由于做实验,使用自建证书。
由官方文档得知需要实验ssl认证,只需要.key 和 .crt。
创建.key和.crt
openssl req -newkey rsa:2048 -nodes -sha256 -keyout /docker/cert/ca.key -x509 -days 365 -out /docker/cert/ca.crt
Country Name (2 letter code) [AU]:CN #国家代码,中国CN State or Province Name (full name) [Some-State]:Sichuan #省份全拼 Locality Name (eg, city) []:Chengdu #城市 Organization Name (eg, company) [Internet Widgits Pty Ltd]:registry #组织名,公司名 Organizational Unit Name (eg, section) []:CA #部门名称 Common Name (e.g. server FQDN or YOUR name) []:hub.com #这里必须填写Docker Registry使用的域名 Email Address []:admin@domain.com #电子邮件
三:ssl认证
1:将ca.crt内容放入系统的CA bundle文件当中,使操作系统信任我们的自签名证书。然后重启docker
CentOS 6 / 7中bundle文件的位置在/etc/pki/tls/certs/ca-bundle.crt
cat /docker/cert/ca.crt >> /etc/pki/tls/certs/ca-bundle.crt
systemctl restart docker
2:使用Docker Registry的Docker机需要将ca.crt拷贝到 /etc/docker/certs.d/[docker_registry_domain]/ca.crt
mkdir /etc/docker/certs.d/hub.com/ #client上执行 scp /docker/cert/ca.crt 192.168.1.200:/etc/docker/certs.d/hub.com/ #registry 上执行。
cat /docker/cert/ca.crt >> /etc/pki/tls/certs/ca-bundle.crt #client上执行
3:Registry端和client端重启docker。
systemctl restart docker
四:启动Registry
1:启动
docker run -d -p 5000:5000 --restart=always --name registry \ -v /registry:/var/lib/registry \ -v `pwd`/cert/:/certs \ -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/ca.crt \ -e REGISTRY_HTTP_TLS_KEY=/certs/ca.key \ -e REGISTRY_STORAGE_DELETE_ENABLED=true \ registry
解释:将宿主机的cert/目录映射到容器中的/certs目录中。指定registry启动使用/certs中的证书。`pwd` :当前目录,也可以使用绝对路径:/docker/cert/
2:浏览器验证
没使用证书的时候时走的http,使用证书后走的是https。
3:client端上传镜像验证(client端)。
docker tag mariadb hub.com:5000/db:2.0 docker push hub.com:5000/db:2.0
五:访问限制
通过basic authentication 实现简单的访问限制。
1:创建用户名和密码文件
cd /docker
mkdir auth
docker run --entrypoint htpasswd registry:2 -Bbn testuser testpassword > auth/htpasswd
注:红色部分需改为你的用户名和密码
2:使用密码文件启动registry
docker run -d -p 5000:5000 --restart=always --name registry \ -v /registry:/var/lib/registry \ -v `pwd`/auth:/auth \ -e "REGISTRY_AUTH=htpasswd" \ -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \ -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \ -v `pwd`/cert:/certs \ -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/ca.crt \ -e REGISTRY_HTTP_TLS_KEY=/certs/ca.key \ -e REGISTRY_STORAGE_DELETE_ENABLED=true \ registry:2
注:如果你registry正在运行,需要关闭。由于加了参数--restart=always,当你关闭registry容器时,会自动重启registry容器,所以只有使用 docker rm -f registry 强制删除registry容器。
3:浏览器验证
使用你刚刚创建的用户和密码就可以登录了。
4:client验证(client端)
docker tag mariadb hub.com:5000/db:3.0 docker push hub.com:5000/db:3.0
由于没有登录刚刚的账户,所以没有权限上传。
通过用户登录
docker login hub.com:5000 docker push hub.com:5000/db3.0
六:总结
1:用参数`pwd`时一定要注意启动时的目录是否对应。
2:删除registry'容器时记得删除挂载卷,不然上传的镜像还存在。docker stop registry && docker rm -v registry
3:访问失败时查看容器日志:docker logs registry -f 加上-f 实时查看。
本文来自博客园,作者:鲜小橙,转载请注明原文链接:https://www.cnblogs.com/big-cousin/p/10142352.html