使用自签名的方式创建Docker私有仓库

Docker推荐使用CA机构颁发的TLS(Transport Layer Security Protocol)证书来保护docker仓库的安全,但是我们也可以选择使用HTTP或者自签名证书的方式实现本地私有仓库的访问。 本文将通过自签名证书的方式实现本地私有仓库的搭建。

使用自签名的方式创建私有仓库

使用环境

在不同的Docker版本或Linux系统上,部署的过程可能有差别,本文的测试环境为:

  • Ubuntu15.10
  • Docker 1.9.1

准备工作

  •  为了方便测试,最好有两台机器,一台作为私有仓库主机(简称主机,用作镜像仓库),一台作为客户机(从主机下载镜像)
  •  客户机和主机都已经已经安装了Docker
  • 主机已经安装openssl(一般默认已经安装)
  • 主机的域名(domain),这里以dev.leo.com为例

如果没有获得DNS能够解析的域名,我们可以再客户机的hosts文件加上私有仓库的主机名和IP的映射。如果已经有了,则忽略这一步。

~$ sudo vi /etc/hosts

#添加私有仓库的主机名和IP映射, 主机名可以是任意的字符串
192.168.16.160 dev.leo.com

给主机生成证书

#当前工作目录为: ~

#创建一个目录,存放生成的key和cert文件
~$ sudo mkdir -p cert

#创建私钥和证书
~$ sudo openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/dev.leo.com.key -x509 -days 365 -out certs/dev.leo.com.crt
Generating a 4096 bit RSA private key
... #省略不重要的信息,以下信息需要填写,注意Common Name需要和主机名(domain)一致
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:GD
Locality Name (eg, city) []:GZ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LEO
Organizational Unit Name (eg, section) []:TECH
Common Name (e.g. server FQDN or YOUR name) []:dev.leo.com
Email Address []:

在主机上启动支持https的repository容器

启动registry:2镜像的一个容器registry_https,如果本地没有下载registry:2镜像,那么docker将自动下载。

~$ sudo docker run -d -p 5000:5000 --restart=always --name registry_https -v `pwd`/certs:/home/leo/certs -e REGISTRY_HTTP_TLS_CERTIFICATE=/home/leo/certs/dev.leo.com.crt -e REGISTRY_HTTP_TLS_KEY=/home/leo/certs/dev.leo.com.key registry:2

在客户机上添加主机的CA证书

在客户机的证书目录下添加CA证书,因为我们使用自签名证书,所以CA证书就是主机的证书。请注意证书所存放文件夹名称要和仓库镜像的地址一致

~$ sudo cp ~/certs/dev.leo.com.crt /etc/docker/certs.d/dev.leo.com:5000/ca.crt
#要重启docker服务
~$ service docker stop && service docker start

在客户机上push/pull镜像

~$ docker push dev.leo.com:5000/ubuntu
~$ docker pull dev.leo.com:5000/ubuntu

 

保存对私有仓库容器的更新

到目前为止,虽然已经将镜像发布到了容器,而且客户机也已经可以通过pull命令获取到该镜像了。但是容器内部的数据在容器关闭后将会被销毁,所以,最重要的步骤是还需要将容器的更新提交到仓库镜像。

#命令
~$ docker commit registry-container-name registry-image-name:tag
#实例
~$ docker commit registry-https leo-registry:0.1

posted @ 2016-03-05 16:04  leolztang  阅读(805)  评论(0编辑  收藏  举报