Loading

Docker registry ssl认证和访问控制

一:实验环境以及需求

实验环境:两台cnetos7.2版本虚拟机。(资源允许最好准备三台,一台做私有仓库,一台做上传镜像服务器,一台做下载镜像服务器)

虚拟机1:192.168.1.200 

虚拟机2:192.168.1.201

服务器防火墙和selinux关闭。hosts根据实际情况做解析,每台都需要解析。

本实验hosts解析为:192168.1.201 hub.com

此文档默认在Registry上操作,client上操作时会红色标记。

二:自建证书CA

要实现ssl认证就需要证书支持,证书最好是服务商提供的证书,比如阿里云,腾讯云等等。这里由于做实验,使用自建证书。

官方文档得知需要实验ssl认证,只需要.key 和 .crt。

创建.key和.crt

openssl req -newkey rsa:2048 -nodes -sha256 -keyout /docker/cert/ca.key -x509 -days 365 -out /docker/cert/ca.crt
Country Name (2 letter code) [AU]:CN                                 #国家代码,中国CN
State or Province Name (full name) [Some-State]:Sichuan              #省份全拼
Locality Name (eg, city) []:Chengdu                                  #城市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:registry  #组织名,公司名
Organizational Unit Name (eg, section) []:CA                         #部门名称
Common Name (e.g. server FQDN or YOUR name) []:hub.com          #这里必须填写Docker Registry使用的域名
Email Address []:admin@domain.com                                    #电子邮件

三:ssl认证

1:将ca.crt内容放入系统的CA bundle文件当中,使操作系统信任我们的自签名证书。然后重启docker

CentOS 6 / 7中bundle文件的位置在/etc/pki/tls/certs/ca-bundle.crt 

cat /docker/cert/ca.crt >> /etc/pki/tls/certs/ca-bundle.crt  
systemctl restart docker

 

2:使用Docker Registry的Docker机需要将ca.crt拷贝到 /etc/docker/certs.d/[docker_registry_domain]/ca.crt

mkdir /etc/docker/certs.d/hub.com/              #client上执行
scp  /docker/cert/ca.crt  192.168.1.200:/etc/docker/certs.d/hub.com/  #registry 上执行。

cat /docker/cert/ca.crt >> /etc/pki/tls/certs/ca-bundle.crt  #client上执行

3:Registry端和client端重启docker。

systemctl restart docker

四:启动Registry

1:启动

docker run -d -p 5000:5000 --restart=always --name registry \
    -v /registry:/var/lib/registry \
    -v `pwd`/cert/:/certs \
    -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/ca.crt \
    -e REGISTRY_HTTP_TLS_KEY=/certs/ca.key \
    -e REGISTRY_STORAGE_DELETE_ENABLED=true \
    registry

 解释:将宿主机的cert/目录映射到容器中的/certs目录中。指定registry启动使用/certs中的证书。`pwd` :当前目录,也可以使用绝对路径:/docker/cert/

2:浏览器验证

没使用证书的时候时走的http,使用证书后走的是https。

3:client端上传镜像验证(client端)。

docker tag mariadb  hub.com:5000/db:2.0
docker push hub.com:5000/db:2.0

  

五:访问限制

通过basic authentication 实现简单的访问限制。

1:创建用户名和密码文件

cd /docker
mkdir auth
docker run --entrypoint htpasswd registry:2 -Bbn testuser testpassword > auth/htpasswd

  注:红色部分需改为你的用户名和密码

2:使用密码文件启动registry

docker run -d -p 5000:5000 --restart=always --name registry \
  -v /registry:/var/lib/registry \
  -v `pwd`/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -v `pwd`/cert:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/ca.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/ca.key \
  -e REGISTRY_STORAGE_DELETE_ENABLED=true \
  registry:2

  注:如果你registry正在运行,需要关闭。由于加了参数--restart=always,当你关闭registry容器时,会自动重启registry容器,所以只有使用 docker rm -f registry 强制删除registry容器。

3:浏览器验证

 

使用你刚刚创建的用户和密码就可以登录了。

4:client验证(client端

docker tag mariadb  hub.com:5000/db:3.0
docker push hub.com:5000/db:3.0

  

由于没有登录刚刚的账户,所以没有权限上传。

通过用户登录

docker login hub.com:5000
docker push hub.com:5000/db3.0

  

六:总结

1:用参数`pwd`时一定要注意启动时的目录是否对应。

2:删除registry'容器时记得删除挂载卷,不然上传的镜像还存在。docker stop registry && docker rm -v registry

3:访问失败时查看容器日志:docker logs registry -f       加上-f  实时查看。

posted @ 2018-12-19 12:36  鲜小橙  阅读(1273)  评论(0编辑  收藏  举报