Docker私有仓库

作者: Superwind20 | 来源:发表于2018-05-01 19:08 被阅读114次

    Docker官方提供了公有的registry:Docker Hub,企业内部可自建私有仓库。常见的可以有2种方式:docker-registry或基于gitlab

    【registry方式】

    1. openssl生成证书

    openssl req -newkey rsa:4096 -nodes -sha256 -keyout registry-test.key -x509 -days 365 -out registry-test.crt

    输入相应的国家/省/市/公司等,例如:

    Issuer: C=cn, ST=gd, L=gz, O=xj, OU=xj, CN=xj.com emailAddress=123@xj.com

    注意 CN 设置为相应域名,如: xj.com

    2. 本机docker认证

    在 /etc/docker/certs.d 下创建目录:xj.com:1234,然后把.crt文件(仅该文件即可,key可以不用)COPY到目录下

    3. 重启DOCKER Daemon

    systemctl restart docker

    4. 创建加密文件

    htpasswd -bc htpasswd user 123456  ----目前使用不起作用,后续再跟进

    htpasswd -cB htpasswd user1  ----创建htpasswd文件,测试OK

    htpasswd -B htpasswd user2  ---在htpasswd文件中追加用户,测试OK

    5. 部署registry

    1) docker pull registry:2

    2) 通过docker run或docker-compose启动,其中可设置认证方式/加密文件路径/证书key/证书等

    docker run启动:

    docker run  -d  -p 1234:5000  --restart=always  --name myregistry \

      -v /home/apps/aa/common/conf/registry/auth:/auth \

      -e  "REGISTRY_AUTH=htpasswd" \

      -e  "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \

      -e  REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \

      -v /home/apps/aa/common/conf/registry/certs:/certs \

      -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/aa.crt \

      -e REGISTRY_HTTP_TLS_KEY=/certs/aa.key \

      registry:2

    6. 部署WebUI

    两个 web ui,一个是 docker-registry-frontend,另一个是 hyper/docker-registry-web。

    这两个 ui 功能差不多,只需任选其一就可以了。截止目前,docker-registry-frontend 的功能还不完善,没有删除镜像的功能,只能浏览。后一个同时具备 删除和浏览 的功能。

    1)docker-registry-frontend方式

    参考registry-frontend.yml ,启动后,必须使用https://xj.com:8443 进行访问,目前只能查看,不能修改,删除。

    官网:https://github.com/kwk/docker-registry-frontend

    2)docker-registry-web方式

    docker run -d -p 8080:8080 --name registry-web \

              -e REGISTRY_AUTH_ENABLED=false \

              -e REGISTRY_READONLY=false \

              -e REGISTRY_URL=https://xj.com:1234/v2 \

              -e REGISTRY_TRUST_ANY_SSL=true \

              -e REGISTRY_NAME=xj.com:1234 hyper/docker-registry-web

    3. docker使用registry认证

    1) 上述registry设置了登陆认证:用户名/密码+证书。那么访问的各机器的 /etc/docker/certs.d 目录下需有对应registry的证书+使用密码登陆,客户端机器不需要重启docker。

    2) docker login -u username -p password xj.com:1234 //上面已设置证书,用户名/密码是上面生成的 user1/123456

    3) docker push xj.com:134/aa-html/aa-projectname  //用户username需有该registry所关联项目aa-html/aa-projectname的push权限,例如hello用户没有该项目的权限那么无法push。

    注意:

    1. 若证书过期,直接上上面步骤替换证书,并重启registry即可。

    2. 主机上的CA.crt证书和私有仓库上的CA.crt证书不匹配

    Error response from daemon: Get https://xj.com:1234/v1/users/: x509: certificate signed by unknown authority

    3. docker push时,image名称必须以xj.com:1234开头,否则会报错:denied: requested access to the resource is denied。 如:

    docker tag consul xj.com:1234/consul:1.0.0

    docker login -u user -p 123456 xj.com:1234

    docker push xj.com:1234/consul:1.0.0

    【gitlab方式】

    1. openssl生成证书

    同上

    2. 本机docker认证

    同上

    3. 重启DOCKER Daemon

    同上

    4. gitlab(安装在/var/opt目录下)本身自带了 registry 的插件,在安装后,会自动有对应的配置,内部通过nginx启动,相应目录:/var/opt/gitlab/nginx和/var/opt/gitlab/registry。/nginx/conf下有对应的配置文件 gitlab-registry.conf,里面有监听端口/ssl的配置等,可参考 gitlab-registry.conf

    5. 替换.conf中ssl配置的路径中的证书,并赋权限600,如 /etc/gitlab/ssl 下

    6. 重启nginx-registry

    7. 设置某个项目使用registry

    8. web页面中删除tag,也仅仅是删除索引,未真正删除数据

    相关文章

      网友评论

        本文标题:Docker私有仓库

        本文链接:https://www.haomeiwen.com/subject/cjrfrftx.html