首页 > 代码库 > Docker--------registry安全认证搭建 [ Https ]
Docker--------registry安全认证搭建 [ Https ]
1. 背景
docker中要使用镜像,一般会从本地、docker Hup公共仓库和其它第三方公共仓库中下载镜像,一般出于安全和外网(墙)资源下载速率的原因考虑企业级上不会轻易使用。那么有没有一种办法可以存储自己的镜像又有安全认证的仓库呢? ----> 企业级环境中搭建自己的安全认证私有仓库。
由于Docker1.3.X版本之后docker registry所采用https,前章节docker http部属最后docker push/pull会报错提示,需要做特殊处理。
2. 私有仓库有优势:
一、节省网络带宽,针对于每个镜像不用每个人都去中央仓库上面去下载,只需要从私有仓库中下载即可;
二、提供镜像资源利用,针对于公司内部使用的镜像,推送到本地的私有仓库中,以供公司内部相关人员使用。
3. 环境:
[root@docker ~]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) [root@docker ~]# uname -r 3.10.0-327.36.3.el7.x86_64 [root@docker ~]# hostname docker.lisea.cn
4. 服务器Ip地址
192.168.60.150
5. 搭建CA,实现加密传输
* 安装openssl相关包
[root@docker ~]# yum install pcre pcre-devel zlib-devel openssl openssl-devel -y
* 切换工作路径至CA目录
[root@docker ~]# cd /etc/pki/CA
* 生成根密钥
[ genrsa ] 为算法
[ private/cakey.pem ] 为密钥的生成的位置
[ 2048 ] 为密钥长度
[root@docker CA]# openssl genrsa -out private/cakey.pem 2048
* 生成根证书,执行命令后依次要输入:国家代码(两个英文字母)、省份、城市、组织、单位、邮箱。
[root@docker CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem
6. 为nginx生成密钥(在nginx服务器)
* 创建ssl目录
[root@docker CA]# mkdir /etc/pki/CA/ssl
* 切换工作路径至SSL目录
[root@docker CA]# cd /etc/pki/CA/ssl/
* 创建nginx密钥
[ genrsa ] 为算法
[ -out ] 指定输出文件名
[ 2048 ] 为密钥长度
[root@docker ssl]# openssl genrsa -out nginx.key 2048
* 为nginx生成证书签署请求[A challenge password与An optional company name 直接回车处理]
[root@docker ssl]# openssl req -new -key nginx.key -out nginx.csr
* 私有CA根据请求来签发证书(在CA服务器即docker仓库服务器,需要将请求发送给CA)
[ 出现提示时,输入两次y ]
[root@docker ssl]# touch /etc/pki/CA/index.txt [root@docker ssl]# touch /etc/pki/CA/serial [root@docker ssl]# echo "00" > /etc/pki/CA/serial [root@docker ssl]# openssl ca -in nginx.csr -out nginx.crt
7. 安装并配置nginx
* 安装 nginx
[root@docker ssl]# yum install nginx -y
* 修改nginx.conf配置
upstream registry { server 192.168.60.150:5000; } server { listen 443 ssl; server_name docker.lisea.cn #ssl conf ssl on; ssl_certificate /etc/pki/CA/ssl/nginx.crt; ssl_certificate_key /etc/pki/CA/ssl/nginx.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; location / { proxy_pass http://registry; proxy_set_header Host $host; proxy_set_header X-Forward-FOr $remote_addr; } }
* 启动或重启nginx
[root@docker nginx]# systemctl restart nginx
8. 安装并配置docker
* 安装docker
[root@docker ~]# yum install docker -y
* 配置docker [ /etc/sysconfig/docker ] 添加内容至 DOCKER_OPTS
DOCKER_OPTS=" --insecure-registry docker.lisea.cn --tlsverify --tlscacert /etc/pki/CA/cacert.pem"
* 配置hosts
[root@docker ~]# tail -1 /etc/hosts 192.168.60.150 docker.lisea.cn
* 启动docker
[root@docker ~]# systemctl start docker
* 拉取 registry镜像,例如在daocloud.io/registry这个私有镜像仓库
[root@docker ~]# docker pull daocloud.io/registry
* 创建本地镜像存储目录
[root@docker ~]# mkdir /data/local_docker_registry -p
* 运行容器,
设置容器名称为local_docker_registry
挂在镜像内docker镜像仓库/var/lib/registry 至本地/data/local_docker_registry目录
端口映射出5000端口
--restart=always让其跟随docker启动时启动
[root@docker ~]# docker run --name local_docker_registry --restart=always -d -v /data/local_docker_registry:/var/lib/registry -p 5000:5000 daocloud.io/registry
9. 测试仓库是否可用
* curl 测试
[root@docker ~]# curl -i -k https://docker.lisea.cn HTTP/1.1 200 OK Server: nginx/1.10.2 Date: Mon, 12 Jun 2017 21:58:57 GMT Content-Type: text/plain; charset=utf-8 Content-Length: 0 Connection: keep-alive Cache-Control: no-cache
10. 客户机操作[ docker机 ]
* 拷贝ca证书并重命名
[root@client~]# scp root@192.168.60.150:/etc/kpi/CA/cacert.pem /etc/pki/tls/certs/ca-certificates.crt
* 创建仓库证书目录
[root@docker ~]# mkdir /etc/docker/certs.d/docker.lisea.cn
* 复制证书并重命名至此仓库证书目录
[root@docker ~]# cp /etc/pki/tls/certs/ca-certificates.crt /etc/docker/certs.d/docker.lisea.cn/ca.crt
* 配置hosts文件
[root@client~]# tail -1 /etc/hosts 192.168.60.150 docker.lisea.cn
* curl 测试
[root@client ~]# curl -i -k https://docker.lisea.cn HTTP/1.1 200 OK Server: nginx/1.10.2 Date: Mon, 12 Jun 2017 22:06:17 GMT Content-Type: text/plain; charset=utf-8 Content-Length: 0 Connection: keep-alive Cache-Control: no-cache
* 注册账户
[root@docker ~]# docker login -u lisea -p 123456 -e ‘lisea@lisea.cn‘ https://docker.lisea.cn
* 登陆账户
[root@docker ~]# docker login https://docker.lisea.cn Username (lisea): lisea Password: Login Succeeded
11. 总结
以需求驱动技术,技术本身没有优略之分,只有业务之分。
本文出自 “sea” 博客,请务必保留此出处http://lisea.blog.51cto.com/5491873/1934731
Docker--------registry安全认证搭建 [ Https ]