docker(三)仓库的搭建、官方私有仓库的加密和认证

news2024/12/27 10:50:59

文章目录

  • 一、docker仓库
  • 二、仓库Registry工作原理
  • 三、搭建本地私有仓库
  • 四、配置镜像加速器
  • 五、私有仓库的加密认证
    • 1.非加密下上传拉取
    • 2.insecure registry
    • 3.仓库加密
    • 4.仓库认证



一、docker仓库

什么是仓库
Docker 仓库是用来包含镜像的位置,Docker提供一个注册服务器(Register)来保存多个仓库,每个仓库又可以包含多个具备不同tag的镜像。
Docker运行中使用的默认仓库是 Docker Hub 公共仓库。
在这里插入图片描述

二、仓库Registry工作原理

一次docker pull 或 push背后发生的事情:
在这里插入图片描述
index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给docker客户端,docker客户端再从registry下载镜像,在下载过程中 registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上。

Docker Registry有三个角色,分别是:index、registry和registry client。

  • index
    负责并维护有关用户帐户、镜像的校验以及公共命名空间的信息。
  • registry
    是镜像和图表的仓库,它不具有本地数据库以及不提供用户认证,通过Index Auth service的Token的方式进行认证。
  • Registry Client
    Docker充当registry客户端来维护推送和拉取,以及客户端的授权。

情景A:用户要获取并下载镜像。
在这里插入图片描述
首先客户端向index请求下载镜像,index会返回镜像所在的仓库地址和token给客户端,客户端持有token直接访问仓库,此时仓库会向index校验token,index再向仓库返回是否合法,若是合法仓库直接将镜像传输给客户端。

情景B:用户要推送镜像到registry中
在这里插入图片描述
客户端向index请求上传,index给客户端一个token,然后客户端访问仓库,仓库校验token,校验完成后客户端给仓库上传镜像。

情景C:用户要从index或registry中删除镜像。
在这里插入图片描述
客户端向index请求删除,index向客户端返回允许delete和token,然后客户端访问仓库,校验完成后在仓库中删除,仓库完成删除后和index之间同步信息。

三、搭建本地私有仓库

在生产环境中,有些环境下可能是不被允许连接外网的,所以此时我们就需要搭建一个本地的私有仓库。我们也可以在docker官网创建一个账号,可以把我们本地的镜像上传到官网:Docker Hub
在这里插入图片描述
创建账户后,在本机登陆刚刚创建的账号:
在这里插入图片描述
用户的登录信息将会保存到用户主目录下 .docker 中,这样就可以保证后面我们不需要频繁的login:
在这里插入图片描述
在网页端可以创建仓库:
在这里插入图片描述
在本机 先更改tag和仓库信息,然后再push上传:

在这里插入图片描述
可以看到在我们刚刚创建的仓库里面已经有我们上传的镜像了:
在这里插入图片描述
我们也可以登出docker:
在这里插入图片描述

四、配置镜像加速器

首先进入aliyun官网并登陆自己的账号,登陆进去后进入右上角控制台:
在这里插入图片描述
选择容器镜像服务中的镜像加速器:
在这里插入图片描述
在这里插入图片描述
可以看到我们的加速器地址已经生效了:
在这里插入图片描述

五、私有仓库的加密认证

官方文档:https://docs.docker.com/registry/deploying

1.非加密下上传拉取

拉取registry镜像
[root@server1 ~]# docker pull registry
运行registry仓库
[root@server1 docker]# docker run -d -p 5000:5000 --restart=always --name registry registry
–restart=always : 让此容器随着docker引擎自启动
在这里插入图片描述

现在我们在私有仓库里上传镜像:
[root@server1 ~]# docker tag nginx:latest localhost:5000/nginx:latest
[root@server1 ~]# docker push localhost:5000/nginx
在这里插入图片描述
访问私有仓库发现已经上传:
在这里插入图片描述

2.insecure registry

配置使用非加密端口
[root@server2 ~]# vim /etc/docker/daemon.json
{
  "insecure-registries" : ["http://192.168.117.17:5000"]
}

[root@server2 docker]# systemctl  restart docker
拉取镜像
[root@server2 docker]# docker pull 192.168.117.17:5000/nginx

在这里插入图片描述
注:既然是仓库就要支持远程拉取的功能,从本机拉取可以用非加密的方式,远程主机拉取必须要加密的方式。先走加密再开认证:

3.仓库加密

首先我们先下载加密的软件包:由于依赖性,两个一起装
在这里插入图片描述
添加域名解析
在这里插入图片描述
构建加密key和cert

[root@server7 ~]# mkdir certs
[root@server7 ~]# openssl11 req -newkey rsa:4096 -nodes -sha256 -keyout certs/westos.org.key -addext "subjectAltName = DNS:reg.westos.org" -x509 -days 365 -out certs/westos.org.crt

在这里插入图片描述

[root@server7 ~]# docker run -d -p 443:443 --restart=always --name registry -v /opt/registry:/var/lib/registry -v /root/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.org.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.org.key registry
在这里插入图片描述
在这里插入图片描述

部署客户端证书,不然会报错
[root@server7 ~]# docker tag nginx:latest reg.westos.org/nginx:latest
[root@server7 ~]# docker push reg.westos.org/nginx:latest The push refers to repository [reg.westos.org/nginx]
Get “https://reg.westos.org/v2/”: x509: certificate signed by unknown authority
在这里插入图片描述
[root@server7 ~]# mkdir -p /etc/docker/certs.d/reg.westos.org/
[root@server7 ~]# cp /root/certs/westos.org.crt /etc/docker/certs.d/reg.westos.org/ca.crt
在这里插入图片描述

验证

[root@server1 ~]# docker push reg.westos.org/nginx:latest
[root@server1 reg.westos.org]# curl -k https://reg.westos.org/v2/_catalog
{“repositories”:[“nginx”]}
在这里插入图片描述

4.仓库认证

我们可以在此基础上加上认证功能:
安装httpd 工具包,使用htpasswd设置用户和密码:

[root@server7 ~]# yum install -y httpd-tools
[root@server7 ~]# mkdir auth
[root@server7 ~]# htpasswd -Bc auth/htpasswd admin
New password:
Re-type new password:
Adding password for user admin
第二次添加不要加“-c”选项,不然会覆盖
[root@server7 ~]# htpasswd -B auth/htpasswd gong
New password:
Re-type new password:
Adding password for user wxh
[root@server7 ~]# cat auth/htpasswd
admin:$2y 05 05 05cDNeojySdawWHWkSYcjX0.50ZzU3GvzaPWhhZ5opzCAsKpucxdaj2
gong:$2y$05$0HcL0fKskEaNa6xMx8PIdO94syd/qEGCfHKDK5Yt7ZsNYhnjgJTIW
在这里插入图片描述

将之前的容器删除掉,加上一些设置使用用户和密码的参数,再开启容器:

[root@server7 ~]# docker rm -f registry
[root@server7 ~]# docker run -d -p 443:443 --restart=always --name registry -v /opt/registry:/var/lib/registry -v /root/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.org.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.org.key -v /root/auth:/auth -e “REGISTRY_AUTH=htpasswd” -e “REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm” -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd registry
在这里插入图片描述

登录仓库,不然无法上传下载

[root@server1 ~]# docker login reg.westos.org

[root@server1 ~]# cat .docker/config.json
{
        "auths": {
                "reg.westos.org": {
                        "auth": "YWRtaW46d2VzdG9z"
                }
        }
}

在这里插入图片描述
验证

[root@server7 ~]# docker tag busybox:latest reg.westos.org/busybox:latest
[root@server7 ~]# docker push reg.westos.org/busybox:latest
[root@server7 ~]# curl -k https://reg.westos.org/v2/_catalog -u admin:westos
{“repositories”:[“busybox”,“nginx”]}
在这里插入图片描述

登出

[root@server7 ~]# docker logout reg.westos.org
在这里插入图片描述

server8验证gong用户登录

首先server8上移除非安全仓库设置
[root@server8 ~]# cd /etc/docker/
[root@server8 docker]# mv daemon.json /mnt/
[root@server8 docker]# systemctl restart docker
在这里插入图片描述
加解析
vim /etc/hosts
在这里插入图片描述
拷贝证书
[root@server7 ~]# cd /etc/docker/
[root@server7 ~]# scp -r certs.d/ server8:/etc/docker/
在这里插入图片描述
登录远程仓库
[root@server8 docker]# docker login reg.westos.org

在这里插入图片描述
拉取镜像
[root@server8 docker]# docker pull reg.westos.org/busybox
在这里插入图片描述
登出
在这里插入图片描述


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/390213.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

QML集成JavaScript

在QML中可以使用现有的QML元素来创建页面,但QML紧密的集成了必要的JavaScript。 但QML中使用JavaScript比较严格,在QML中不可以添加或修改JavaScript全局对象成员,这样可能会使用一个未经声明的变量。 内联JavaScript 一些小型的JavaScript函…

动态规划 背包问题

动态规划 背包问题 问题描述: 有一个背包,总容量为12。有6件物品,每件物品的重量和价值不同,求在背包总容量12的前提下,装进物品的最大价值以及装进物品的编号 单个物品重量和价值: 为方便进行思考&#…

06、Eclipse 中使用 SVN

Eclipse 中使用 SVN1 在 Eclipse 中安装 SVN 客户端插件1.1 在线安装1.2 离线安装2 SVN 在 Eclipse 分享3 检出提交更新3.1 检出3.2 提交3.3 更新4 Eclipse 中 SVN 图标及其含义4.1 ?图标4.2 图标4.3 金色圆柱图标4.4 * 图标5 恢复历史版本5.1 恢复步骤5.2 权限控制…

ks通过恶意低绩效来变相裁员(二)对cy的反套路怎么做

目录 你被cy的概率有多大 反套路1:直接接受,并拿补偿走人 反套路2:继续留在公司 反套路3:直接仲裁公司 仲裁诉求要一次性写全全部诉求 你被cy的概率有多大 既然,互联网寒冬下人人都可能无法幸免于cy(当然了&#…

A Simple Framework for Contrastive Learning of Visual Representations阅读笔记

论文地址:https://arxiv.org/pdf/2002.05709.pdf 目前流行的无监督学范式。通过训练,使模型拥有比较的能力。即,模型能够区别两个数据(instance)是否是相同的。这在 深度聚类 领域受到广泛的关注。(在有监…

总线(四)Modbus总线 协议

文章目录Modbus技术背景Modbus OSI分布Moudbus分类通讯过程Moudbus协议通信过程以及报文解析RTU 与 ASCII 收发数据区别Modbus技术背景 Modbus是一种串行通信协议。 1971年,Modicon公司首次退出Modbus协议,ModbusRTU和Modbus ASCII诞生于此。 后来施耐德…

图像处理特征可视化方法总结(特征图、卷积核、类可视化CAM)(附代码)

一、前言众所周知,深度学习是一个"黑盒"系统。它通过“end-to-end”的方式来工作,输入数据例如RGB图像,输出目标例如类别标签、回归值等,中间过程不可得知。如何才能打开“黑盒”,一探究竟,让“黑…

[神经网络]Transfomer架构

一、概述 Transfomer架构与传统CNN和RNN最大的区别在于其仅依赖自注意力机制,而没有卷积/循环操作。其相较于RNN,不需要进行时序运算,可以更好的进行并行;相较于CNN,其一次可以关注全图而不局限于感受野尺寸。 二、模…

充电协议: 快充协议,如何选充电宝?

快充协议(存在两种:电压; 电流) 目前市面上的快充技术大多遵循2个技术方向: 以高通QC、联发科PEP、华为FCP为首的高压低电流快充技术; 另一种就是以OPPO的VOOC以及华为SCP为首的低电压大电流快充技术。 目前常见的快充标准还有三星AFC、联发…

Fluent自定义物理场

1 概述场(field)是物理的基础概念之一,表明了物理量在空间的分布。根据物理量的类型,可分为标量场(scalar field)、向量场(vector field)、张量场(tensor field&#xff…

linux环境下安装mariadb

采用yum的形式,linux发行版为Rocky Linux9.1,安装用户为有sudo权限的用户,非root用户 1.查询是否已经安装过 yum list installed|grep mariadb2.安装mariadb 如果使用非root用户,请记得加sudo yum install mariadb sudo yum in…

SQLI-Labs(3)8-14关【布尔盲注和时间盲注】

目录 第八关 第九关: 第十关 第十一关 第十二关 第十三关 第十四关 第八关 我们用测试语句来测试是否为注入点 从上图中得知存在注入点,那么接下来就是爆列 一共有三列,接下来用union select 和报错注入都试一下发现没有回显点&…

C语言-基础了解-14-C指针

C指针 一、指针 通过指针,可以简化一些 C 编程任务的执行,还有一些任务,如动态内存分配,没有指针是无法执行的 每一个变量都有一个内存位置,每一个内存位置都定义了可使用 & 运算符访问的地址,它表示…

(蓝桥真题)异或数列(博弈)

题目链接:P8743 [蓝桥杯 2021 省 A] 异或数列 - 洛谷 | 计算机科学教育新生态 (luogu.com.cn) 样例输入: 4 1 1 1 0 2 2 1 7 992438 1006399 781139 985280 4729 872779 563580 样例输出: 1 0 1 1 分析:容易想到对于异或最大值…

计算机体系结构分类和嵌入式系统

一、计算机体系结构分类——flynn分类法 二、嵌入式系统芯片 在嵌入式系统中,常见的芯片主要分为四种类似 DSP芯片,也称数字信号处理器,是一种特别适合于进行数字信号处理运算的微处理器,其主要应用是实时快速地实现各种数字信号…

【C3】进程休眠,时间和延时,延缓,proc文件系统,内存分配,数据类型,内核中断,通过IO内存访问外设

文章目录1.实现进程休眠:条件不够歇一歇,把CPU让给其他进程2.内核表示时间和实现延时:linux中有一个时钟会周期性产生中断,linux将这中断作为时间基准3.内核实现延缓操作:内核定时器,tasklet,wo…

蓝桥杯-李白打酒加强版

蓝桥杯-李白打酒加强版1、问题描述2、解题思路3、代码实现1、问题描述 话说大诗人李白, 一生好饮。幸好他从不开车。 一天, 他提着酒显, 从家里出来, 酒显中有酒 2 斗。他边走边唱: 无事街上走,提显去打酒。 逢店加一倍, 遇花喝一斗。 这一路上, 他一共遇到店 N 次…

西电软件工程概论核心考点汇总(期末真题+核心考点)

文章目录前言一、历年真题1.1 选择题1.2 判断题1.3 简答题1.4 应用题二、核心考点2.1 软件工程概念2.2 计算机科学和软件工程概念对比2.3 考虑质量的三种方法2.4 过程质量模型2.5 系统组成元素2.6 螺旋模型2.7 关键路径法计算2.8 风险管理2.9 需求类型判断(根据例子选择需求类型…

【论文阅读 WWW‘23】Zero-shot Clarifying Question Generation for Conversational Search

文章目录前言MotivationContributionsMethodFacet-constrained Question GenerationMultiform Question Prompting and RankingExperimentsDatasetResultAuto-metric evaluationHuman evaluationKnowledge前言 最近对一些之前的文章进行了重读,因此整理了之前的笔记…

ubuntu安装使用putty

一、安装 安装虚拟机串口 sudo apt-get install putty sudo apt install -y setserial 二、使用 虚拟机连接串口 sudo setserial -g /dev/ttyS* 查看硬件对应串口 找到不是unknown的串口 sudo putty