Docker私有仓库

Docker官方提供了公有的registry:Docker Hub,企业内部可自建私有仓库。常见的可以有2种方式:docker-registry或基于gitlab

【registry方式】

1. openssl生成证书

openssl req -newkey rsa:4096 -nodes -sha256 -keyout registry-test.key -x509 -days 365 -out registry-test.crt

输入相应的国家/省/市/公司等,例如:

Issuer: C=cn, ST=gd, L=gz, O=xj, OU=xj, CN=xj.com emailAddress=123@xj.com

注意 CN 设置为相应域名,如: xj.com

2. 本机docker认证

在 /etc/docker/certs.d 下创建目录:xj.com:1234,然后把.crt文件(仅该文件即可,key可以不用)COPY到目录下

3. 重启DOCKER Daemon

systemctl restart docker

4. 创建加密文件

htpasswd -bc htpasswd user 123456  ----目前使用不起作用,后续再跟进

htpasswd -cB htpasswd user1  ----创建htpasswd文件,测试OK

htpasswd -B htpasswd user2  ---在htpasswd文件中追加用户,测试OK

5. 部署registry

1) docker pull registry:2

2) 通过docker run或docker-compose启动,其中可设置认证方式/加密文件路径/证书key/证书等

docker run启动:

docker run  -d  -p 1234:5000  --restart=always  --name myregistry \

  -v /home/apps/aa/common/conf/registry/auth:/auth \

  -e  "REGISTRY_AUTH=htpasswd" \

  -e  "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \

  -e  REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \

  -v /home/apps/aa/common/conf/registry/certs:/certs \

  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/aa.crt \

  -e REGISTRY_HTTP_TLS_KEY=/certs/aa.key \

  registry:2

6. 部署WebUI

两个 web ui,一个是 docker-registry-frontend,另一个是 hyper/docker-registry-web。

这两个 ui 功能差不多,只需任选其一就可以了。截止目前,docker-registry-frontend 的功能还不完善,没有删除镜像的功能,只能浏览。后一个同时具备 删除和浏览 的功能。

1)docker-registry-frontend方式

参考registry-frontend.yml ,启动后,必须使用https://xj.com:8443 进行访问,目前只能查看,不能修改,删除。

官网:https://github.com/kwk/docker-registry-frontend

2)docker-registry-web方式

docker run -d -p 8080:8080 --name registry-web \

          -e REGISTRY_AUTH_ENABLED=false \

          -e REGISTRY_READONLY=false \

          -e REGISTRY_URL=https://xj.com:1234/v2 \

          -e REGISTRY_TRUST_ANY_SSL=true \

          -e REGISTRY_NAME=xj.com:1234 hyper/docker-registry-web

3. docker使用registry认证

1) 上述registry设置了登陆认证:用户名/密码+证书。那么访问的各机器的 /etc/docker/certs.d 目录下需有对应registry的证书+使用密码登陆,客户端机器不需要重启docker。

2) docker login -u username -p password xj.com:1234 //上面已设置证书,用户名/密码是上面生成的 user1/123456

3) docker push xj.com:134/aa-html/aa-projectname  //用户username需有该registry所关联项目aa-html/aa-projectname的push权限,例如hello用户没有该项目的权限那么无法push。

注意:

1. 若证书过期,直接上上面步骤替换证书,并重启registry即可。

2. 主机上的CA.crt证书和私有仓库上的CA.crt证书不匹配

Error response from daemon: Get https://xj.com:1234/v1/users/: x509: certificate signed by unknown authority

3. docker push时,image名称必须以xj.com:1234开头,否则会报错:denied: requested access to the resource is denied。 如:

docker tag consul xj.com:1234/consul:1.0.0

docker login -u user -p 123456 xj.com:1234

docker push xj.com:1234/consul:1.0.0

【gitlab方式】

1. openssl生成证书

同上

2. 本机docker认证

同上

3. 重启DOCKER Daemon

同上

4. gitlab(安装在/var/opt目录下)本身自带了 registry 的插件,在安装后,会自动有对应的配置,内部通过nginx启动,相应目录:/var/opt/gitlab/nginx和/var/opt/gitlab/registry。/nginx/conf下有对应的配置文件 gitlab-registry.conf,里面有监听端口/ssl的配置等,可参考 gitlab-registry.conf

5. 替换.conf中ssl配置的路径中的证书,并赋权限600,如 /etc/gitlab/ssl 下

6. 重启nginx-registry

7. 设置某个项目使用registry

8. web页面中删除tag,也仅仅是删除索引,未真正删除数据

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 207,248评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,681评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,443评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,475评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,458评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,185评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,451评论 3 401
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,112评论 0 261
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,609评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,083评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,163评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,803评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,357评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,357评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,590评论 1 261
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,636评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,925评论 2 344

推荐阅读更多精彩内容