Docker--------registry安全认证搭建 [ Https ]

Posted 2020-09-22

1. 背景

    docker中要使用镜像，一般会从本地、docker Hup公共仓库和其它第三方公共仓库中下载镜像，一般出于安全和外网(墙)资源下载速率的原因考虑企业级上不会轻易使用。那么有没有一种办法可以存储自己的镜像又有安全认证的仓库呢? ----> 企业级环境中搭建自己的安全认证私有仓库。

    由于Docker1.3.X版本之后docker registry所采用https，前章节docker http部属最后docker push/pull会报错提示，需要做特殊处理。

2. 私有仓库有优势：

    一、节省网络带宽，针对于每个镜像不用每个人都去中央仓库上面去下载，只需要从私有仓库中下载即可；

    二、提供镜像资源利用，针对于公司内部使用的镜像，推送到本地的私有仓库中，以供公司内部相关人员使用。

3. 环境：

[[email protected] ~]# cat /etc/redhat-release 
CentOS Linux release 7.2.1511 (Core) 
[[email protected] ~]# uname -r
3.10.0-327.36.3.el7.x86_64
[[email protected] ~]# hostname
docker.lisea.cn

4. 服务器Ip地址

    192.168.60.150

5. 搭建CA，实现加密传输

 * 安装openssl相关包

[[email protected] ~]# yum install pcre pcre-devel zlib-devel openssl openssl-devel -y

 * 切换工作路径至CA目录

[[email protected] ~]# cd /etc/pki/CA

 

 * 生成根密钥

   [ genrsa ] 为算法

   [ private/cakey.pem ] 为密钥的生成的位置

   [ 2048 ] 为密钥长度

[[email protected] CA]# openssl genrsa -out private/cakey.pem 2048

 * 生成根证书，执行命令后依次要输入：国家代码（两个英文字母）、省份、城市、组织、单位、邮箱。

[[email protected] CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem

6. 为nginx生成密钥（在nginx服务器）

 * 创建ssl目录

[[email protected] CA]# mkdir /etc/pki/CA/ssl

 * 切换工作路径至SSL目录

[[email protected] CA]# cd /etc/pki/CA/ssl/

 * 创建nginx密钥

　　[ genrsa ] 为算法

   　[ -out ] 指定输出文件名

   　[ 2048 ] 为密钥长度

[[email protected] ssl]# openssl genrsa -out nginx.key 2048

 * 为nginx生成证书签署请求[A challenge password与An optional company name　直接回车处理]

[[email protected] ssl]# openssl req -new -key nginx.key -out nginx.csr

 * 私有CA根据请求来签发证书（在CA服务器即docker仓库服务器，需要将请求发送给CA）

   [ 出现提示时，输入两次y ]

[[email protected] ssl]# touch /etc/pki/CA/index.txt
[[email protected] ssl]# touch /etc/pki/CA/serial
[[email protected] ssl]# echo "00" > /etc/pki/CA/serial
[[email protected] ssl]# openssl ca -in nginx.csr -out nginx.crt

7. 安装并配置nginx

 * 安装 nginx 

[[email protected] ssl]# yum install nginx -y

 * 修改nginx.conf配置

    upstream registry {
        server 192.168.60.150:5000;
    }

    server {
        listen       443 ssl;
        server_name  docker.lisea.cn

        #ssl conf
        ssl on;
        ssl_certificate /etc/pki/CA/ssl/nginx.crt;
        ssl_certificate_key /etc/pki/CA/ssl/nginx.key;
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_pass http://registry;
            proxy_set_header Host $host;
            proxy_set_header X-Forward-FOr $remote_addr;
        }

    }

 * 启动或重启nginx

[[email protected] nginx]# systemctl restart nginx

8. 安装并配置docker

 * 安装docker

[[email protected] ~]# yum install docker -y

 * 配置docker [ /etc/sysconfig/docker ]　添加内容至　DOCKER_OPTS

DOCKER_OPTS=" --insecure-registry docker.lisea.cn --tlsverify --tlscacert /etc/pki/CA/cacert.pem"

 * 配置hosts

[[email protected] ~]# tail -1 /etc/hosts
192.168.60.150 docker.lisea.cn

 * 启动docker

[[email protected] ~]# systemctl start docker

 * 拉取 registry镜像，例如在daocloud.io/registry这个私有镜像仓库

[[email protected] ~]# docker pull daocloud.io/registry

 * 创建本地镜像存储目录

[[email protected] ~]# mkdir /data/local_docker_registry -p

 * 运行容器，

     设置容器名称为local_docker_registry

     挂在镜像内docker镜像仓库/var/lib/registry 至本地/data/local_docker_registry目录

     端口映射出5000端口

　--restart=always让其跟随docker启动时启动

[[email protected] ~]# docker run --name local_docker_registry --restart=always -d -v /data/local_docker_registry:/var/lib/registry -p 5000:5000 daocloud.io/registry

9. 测试仓库是否可用

 * curl 测试

[[email protected] ~]# curl -i -k https://docker.lisea.cn
HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Mon, 12 Jun 2017 21:58:57 GMT
Content-Type: text/plain; charset=utf-8
Content-Length: 0
Connection: keep-alive
Cache-Control: no-cache

10. 客户机操作[ docker机 ]

 * 拷贝ca证书并重命名

[[email protected]~]# scp [email protected]:/etc/kpi/CA/cacert.pem /etc/pki/tls/certs/ca-certificates.crt

 * 创建仓库证书目录

[[email protected] ~]# mkdir /etc/docker/certs.d/docker.lisea.cn

 * 复制证书并重命名至此仓库证书目录

[[email protected] ~]# cp /etc/pki/tls/certs/ca-certificates.crt /etc/docker/certs.d/docker.lisea.cn/ca.crt

 

 * 配置hosts文件

[[email protected]~]# tail -1 /etc/hosts
192.168.60.150 docker.lisea.cn

 * curl 测试

[[email protected] ~]# curl -i -k https://docker.lisea.cn
HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Mon, 12 Jun 2017 22:06:17 GMT
Content-Type: text/plain; charset=utf-8
Content-Length: 0
Connection: keep-alive
Cache-Control: no-cache

 * 注册账户

[[email protected] ~]# docker login -u lisea -p 123456 -e ‘[email protected]‘ https://docker.lisea.cn

 

* 登陆账户

[[email protected] ~]# docker login https://docker.lisea.cn
Username (lisea): lisea
Password: 
Login Succeeded

11. 总结

以需求驱动技术，技术本身没有优略之分，只有业务之分。

本文出自 “sea” 博客，请务必保留此出处http://lisea.blog.51cto.com/5491873/1934731