一、前言
1、上一节我们搭建了一个具有基础功能的私有仓库,本小节我们来使用 Docker Compose 搭建一个拥有权限认证、TLS 的私有仓库。
二、准备工作
1、创建账号。
sudo useradd -m udocker
sudo passwd udocker
2、添加sudo权限
机器 centos 下操作
sudo chmod u+w /etc/sudoers
sudo vim /etc/sudoers
chmod u-w /etc/sudoers
3、在 udocker 用户下,添加到 docker用户组下
sudo groupadd docker
sudo usermod -aG docker $USER
4、新建一个文件夹,以下步骤均在该文件夹中进行
mkdir -p /etc/docker/registry
按照以上步骤走,以下操作都是在 udocker用户,以及 /etc/docker/registry 目录下操作
三、准备站点证书
1、创建 CA 私钥
sudo openssl genrsa -out "root-ca.key" 4096
2、利用私钥创建 CA 根证书请求文件
sudo openssl req \
-new -key "root-ca.key" \
-out "root-ca.csr" -sha256 \
-subj '/C=CN/ST=ZheJiang/L=HangZhou/O=NiuPI/CN=docker.domain.com'
以上命令中 -subj 参数里的 /C 表示国家,如 CN;/ST 表示省;/L 表示城市或者地区;/O 表示组织名;/CN 通用名称
3、配置 CA 根证书,新建 root-ca.cnf
1、
sudo vim root-ca.cnf
2、
[root_ca]
basicConstraints = critical,CA:TRUE,pathlen:1
keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
subjectKeyIdentifier=hash
4、签发根证书
sudo openssl x509 -req -days 3650 -in "root-ca.csr" \
-signkey "root-ca.key" -sha256 -out "root-ca.crt" \
-extfile "root-ca.cnf" -extensions \
root_ca
5、生成站点 SSL 私钥
sudo openssl genrsa -out "docker.domain.com.key" 4096
6、使用私钥生成证书请求文件
sudo openssl req -new -key "docker.domain.com.key" -out "site.csr" -sha256 \
-subj '/C=CN/ST=ZheJang/L=HangZhou/O=NiuPI/CN=docker.domain.com'
7、配置证书,新建 site.cnf 文件
1、
sudo vim site.cnf
2、
[server]
authorityKeyIdentifier=keyid,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage=serverAuth
keyUsage = critical, digitalSignature, keyEncipherment
subjectAltName = DNS:docker.domain.com, IP:127.0.0.1
subjectKeyIdentifier=hash
8、签署站点 SSL 证书
sudo openssl x509 -req -days 750 -in "site.csr" -sha256 \
-CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial \
-out "docker.domain.com.crt" -extfile "site.cnf" -extensions server
这样已经拥有了 docker.domain.com 的网站 SSL 私钥 docker.domain.com.key 和 SSL 证书 docker.domain.com.crt 及 CA 根证书 root-ca.crt。
9、新建 ssl 文件夹并将 docker.test.com.key docker.test.com.crt root-ca.crt 这三个文件移入,删除其他文件
sudo mkdir ssl
sudo mv docker.domain.com.* ./ssl/
sudo mv root-ca.crt ./ssl/
sudo rm -rf root-ca.*
sudo rm -rf site.c*
四、配置私有仓库
私有仓库默认的配置文件位于 /etc/docker/registry/config.yml,我们先在本地编辑 config.yml,之后挂载到容器中
1、
sudo vim /etc/docker/registry/config.yml
2、
version: 0.1
log:
accesslog:
disabled: true
level: debug
formatter: text
fields:
service: registry
environment: staging
storage:
delete:
enabled: true
cache:
blobdescriptor: inmemory
filesystem:
rootdirectory: /var/lib/registry
auth:
htpasswd:
realm: basic-realm
path: /etc/docker/registry/auth/nginx.htpasswd
http:
addr: :443
host: https://docker.domain.com
headers:
X-Content-Type-Options: [nosniff]
http2:
disabled: false
tls:
certificate: /etc/docker/registry/ssl/docker.domain.com.crt
key: /etc/docker/registry/ssl/docker.domain.com.key
health:
storagedriver:
enabled: true
interval: 10s
threshold: 3
五、生成 http 认证文件
sudo mkdir auth
sudo docker run --rm \
--entrypoint htpasswd \
httpd:alpine \
-Bbn udocker 123456 > auth/nginx.htpasswd
在这步骤过后在 /etc/docker/registry 文件夹下会生成以下文件
六、编辑 docker-compose.yml
1、
sudo vim docker-compose.yml
2、
version: '3'
services:
registry:
image: registry
ports:
- "443:443"
volumes:
- ./:/etc/docker/registry
- registry-data:/var/lib/registry
volumes:
registry-data:
七、修改 hosts
sudo vim /etc/hosts
八、启动
sudo docker-compose up -d
这样我们就搭建好了一个具有权限认证、TLS 的私有仓库,接下来我们测试其功能是否正常。
九、测试私有仓库功能
1、移动证书
由于自行签发的 CA 根证书不被系统信任,所以我们需要将 CA 根证书 ssl/root-ca.crt 移入 /etc/docker/certs.d/docker.test.com 文件夹中
sudo mkdir -p /etc/docker/certs.d/docker.domain.com
sudo cp ssl/root-ca.crt /etc/docker/certs.d/docker.domain.com/ca.crt
2、登录到私有仓库
sudo docker login docker.domain.com
3、尝试推送、拉取镜像
注意:以下所有的username替换成你的私有 docker账号
sudo docker pull ubuntu:18.04
sudo docker tag ubuntu:18.04 docker.domain.com/username(udcoker)/ubuntu:18.04
sudo docker push docker.domain.com/username/ubuntu:18.04
sudo docker image rm docker.domain.com/username/ubuntu:18.04
sudo docker pull docker.domain.com/username/ubuntu:18.04
4、如果我们退出登录,尝试推送镜像
docker logout docker.domain.com
docker push docker.domain.com/udocker/ubuntu:18.04
十、总结
以上便是私有仓库的高级配置,总体来看 配置稍微有点小小的麻烦,有些步骤不注意就错了,作者这里配置了第二次才成功,欢迎批评沟通,以上仅作为 平时记录。