Docker笔记7 | 如何使用 Docker Compose 搭建一个拥有权限 认证、TLS 的私有仓库?

news2024/12/29 14:48:25

7 | 如何使用 Docker Compose 搭建一个拥有权限 认证、TLS 的私有仓库?

  • 1 准备工作
  • 2 准备站点证书
    • 2.1 创建CA私钥
    • 2.2 创建CA根证书请求文件
    • 2.3 配置CA根证书
    • 2.4 签发根证书
    • 2.5 生成站点SSL私钥
    • 2.6 私钥生成证书请求文件
    • 2.7 配置证书
    • 2.8 签署站点SSL证书
  • 3 配置私有仓库
  • 4 生成 http 认证文件
  • 5 修改hosts文件
  • 6 启动
  • 7 测试私有仓库
    • 7.1 移动证书
    • 7.2 登陆仓库
    • 7.3 拉取推送镜像
    • 7.4 退出登陆,并推送镜像

1 准备工作

  • 创建一个文件夹registry,后续专门在该文件下操作;
  • 拥有一个私有仓库地址,比如demo.testdocker.com

2 准备站点证书

注意:以下是使用 openssl 自行签发demo.testdocker.com 的站点 SSL 证书。

2.1 创建CA私钥

$ sudo openssl genrsa -out "root-ca.key" 4096

在这里插入图片描述

2.2 创建CA根证书请求文件

sudo openssl req -new -key "root-ca.key" -out "root-ca.csr" -sha256 -subj '/C=CN/ST=Shanxi/L=Xian/O=Company/CN=Company Docker Registry CA'

在这里插入图片描述

2.3 配置CA根证书

  • 新建root-ca.cnf
    在这里插入图片描述

  • 并写入如下内容:

在这里插入图片描述

[root_ca]
basicConstraints = critical,CA:TRUE,pathlen:1
keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
subjectKeyIdentifier=hash

2.4 签发根证书

sudo openssl x509 -req -days 3650 -in "root-ca.csr" -signkey "root-ca.key" -sha256 -out "root-ca.crt" -extfile "root-ca.cnf" -extensions root_ca

在这里插入图片描述

2.5 生成站点SSL私钥

sudo openssl genrsa -out "demo.testdocker.com.key" 4096

在这里插入图片描述

2.6 私钥生成证书请求文件

sudo openssl req -new -key "demo.testdocker.com.key" -out "site.csr" -sha256 -subj '/C=CN/ST=Shanxi/L=Xian/O=Company/CN=demo.testdocker.com'

在这里插入图片描述

2.7 配置证书

  • 新建 site.cnf 文件:

在这里插入图片描述

  • 写入如下内容:

[server]
authorityKeyIdentifier=keyid,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage=serverAuth
keyUsage = critical, digitalSignature, keyEncipherment
subjectAltName = DNS:demo.testdocker.com, IP:127.0.0.1
subjectKeyIdentifier=hash

在这里插入图片描述

2.8 签署站点SSL证书

sudo openssl x509 -req -days 750 -in "site.csr" -sha256 -CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial -out "demo.testdocker.com.crt" -extfile "site.cnf" -extensions server

在这里插入图片描述

此时拥有了 demo.testdocker.com 的网站 SSL 私钥 demo.testdocker.com.key 和 SSL 证书
demo.testdocker.crt 及 CA 根证书 root-ca.crt

ssl 文件夹并将 docker.domain.com.key docker.domain.com.crt root-ca.crt 这
三个文件移入,删除其他文件
在这里插入图片描述

3 配置私有仓库

  • 私有仓库默认的配置文件位于 /etc/docker/registry/config.yml:
version: 0.1
log:
  accesslog:
    disabled: true
  level: debug
  formatter: text
  fields:
    service: registry
    environment: staging
storage:
  delete:
    enabled: true
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
auth:
  htpasswd:
    realm: basic-realm
    path: /etc/docker/registry/auth/nginx.htpasswd
http:
  addr: :443
  host: https://demo.testdocker.com
  headers:
    X-Content-Type-Options: [nosniff]
  http2:
    disabled: false
  tls:
    certificate: /etc/docker/registry/ssl/demo.testdocker.com.crt
    key: /etc/docker/registry/ssl/demo.testdocker.com.key
health:
  storagedriver:
    enabled: true
    interval: 10s
threshold: 3

4 生成 http 认证文件

  • 创建auth文件夹:
    在这里插入图片描述
  • 执行如下命令:
sudo docker run --rm --entrypoint htpasswd httpd:alpine -Bbn noamanelson 123456 > auth/nginx.htpasswd
noamanelson@noamanelson-Virtual-Machine:/etc/docker/registry$ sudo docker run --rm --entrypoint htpasswd httpd:alpine -Bbn noamanelson 123456 > auth/nginx.htpasswd
Unable to find image 'httpd:alpine' locally
alpine: Pulling from library/httpd
8a49fdb3b6a5: Already exists
beb66a906b34: Pulling fs layer
01924573e8db: Pulling fs layer
255f194b76b3: Pulling fs layer
0f48f8ea2bc9: Pulling fs layer
390cbd08c8ae: Pulling fs layer
0f48f8ea2bc9: Waiting
390cbd08c8ae: Waiting
beb66a906b34: Verifying Checksum
beb66a906b34: Download complete
beb66a906b34: Pull complete
01924573e8db: Verifying Checksum
01924573e8db: Download complete
01924573e8db: Pull complete
255f194b76b3: Verifying Checksum
255f194b76b3: Download complete
390cbd08c8ae: Verifying Checksum
390cbd08c8ae: Download complete
255f194b76b3: Pull complete
0f48f8ea2bc9: Verifying Checksum
0f48f8ea2bc9: Download complete
0f48f8ea2bc9: Pull complete
390cbd08c8ae: Pull complete
Digest: sha256:3e25d419bf180122f5f9af5cf2180709d8234320ff25514a61f5d1bc3cf46394
Status: Downloaded newer image for httpd:alpine
noamanelson@noamanelson-Virtual-Machine:/etc/docker/registry$ 
  • 编辑编辑 docker-compose.yml
    在这里插入图片描述
version: '3'

ervices:
  registry:
    image: registry
    ports:
      - "443:443"
    volumes:
      - ./:/etc/docker/registry
      - registry-data:/var/lib/registry
volumes:
  registry-data:

5 修改hosts文件

  • sudo vim /etc/hosts

在这里插入图片描述

6 启动

  • 使用命令提示找不到,需要安装:
noamanelson@noamanelson-Virtual-Machine:/etc/docker/registry$ sudo docker-compose up -d
sudo: docker-compose:找不到命令

  • 安装docker-compose
sudo apt-get install docker-compose

在这里插入图片描述

  • 再次启动,又报错了:
    在这里插入图片描述
  • 应为docker-compose的版本不对,重新卸载docker-compose
sudo apt-get remove docker-compose
  • 再次安装:
sudo apt-get update
sudo apt-get install docker-compose-plugin
  • 启动:
sudo docker compose up -d

在这里插入图片描述

7 测试私有仓库

7.1 移动证书

  • 由于自行签发的 CA 根证书不被系统信任,所以我们需要将 CA 根证书 ssl/root-ca.crt 移入 /etc/docker/certs.d/docker.test.com 文件夹中:
sudo mkdir -p /etc/docker/certs.d/demo.testdocker.com
sudo cp ssl/root-ca.crt /etc/docker/certs.d/demo.testdocker.com/ca.crt

在这里插入图片描述

7.2 登陆仓库

  • sudo docker login demo.testdocker.com
    在这里插入图片描述

7.3 拉取推送镜像

# noamanelson是我的用户名,改为自己的即可
sudo docker pull ubuntu:18.04
sudo docker tag ubuntu:18.04 docker.domain.com/noamanelson/ubuntu:18.04
sudo docker push docker.domain.com/noamanelson/ubuntu:18.04
sudo docker image rm docker.domain.com/noamanelson/ubuntu:18.04
sudo docker pull docker.domain.com/noamanelson/ubuntu:18.04

在这里插入图片描述

7.4 退出登陆,并推送镜像

docker logout docker.domain.com
docker push docker.domain.com/noamanelson/ubuntu:18.04

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/536777.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

一五一、web+小程序骨架屏整理

骨架屏介绍 请点击查看智能小程序骨架屏 车载小程序骨架屏 车载小程序为方便开发者设置骨架屏,在智能小程序的基础上抽取出骨架屏模板,开发者只需要在 skeleton 文件夹下配置config.json(page 和骨架屏的映射关系文件)即可生效骨…

web自动化测试进阶篇02 ——— BDD与TDD的研究实践

😏作者简介:博主是一位测试管理者,同时也是一名对外企业兼职讲师。 📡主页地址:【Austin_zhai】 🙆目的与景愿:旨在于能帮助更多的测试行业人员提升软硬技能,分享行业相关最新信息。…

Apollo oracle适配

前言:公司数据库统一切换为oracle,减少部署mysql,现需要将Apollo的数据库做oracle适配,当前使用版本为Apollo2.0.0,网上找到最新版本的适配oracle的版本也仅为1.4.0,现决定自己适配。 部分参考了官方介绍的…

使用FFMPEG加载外挂或内封字幕小记

ffmpeg版本: FFMEPEG 4.4 继上一篇实现音视频播放器后,将加载字幕的过程和遇到的坑记录如下: 字幕初识 视频字幕分为三种。 内嵌字幕,字幕与视频图像合二为一,成为视频帧的一部分,也叫硬字幕。 内封字…

数据库完整性

完整性概述 数据库的完整性是指数据库的正确性、一致性、相容性 正确性:数据库的数据符合语义约束 一致性:数据间的逻辑关系是正确的,从一个一致性状态转移到另一个一致性状态 相容性:同一事物的两个数据应当是一致的 约束的分类…

Zookeeper(一)

简介 设计模式角度 Zookeeper:是一个基于观察者模式设计的分布式服务管理框架,它负责存储和管理大家都关心的数据,然后接受观察者的注册,一旦这些数据的状态发生变化,Zookeeper就将负责通知已经在Zookeeper上注册的那…

JDBC从入门到精通

1 JDBC概述 在开发中我们使用的是java语言,那么势必要通过java语言操作数据库中的数据。这就是接下来要学习的JDBC。 1.1 JDBC概念 JDBC 就是使用Java语言操作关系型数据库的一套API 全称:( Java DataBase Connectivity ) Java 数据库连接 我们开发的同…

两年时间,成为测试组老大....

看到行业的前辈都分享一些过往的经历来指导我们这些测试人员,我很尊敬我们的行业前辈,没有他们在前面铺路,如今我们这帮年轻的测试人估计还在碰壁或摸着石头过河,结合前辈们的经验,作为年轻的测试人也有自己的一些职场…

IMX6ULL裸机篇之DDR3的时钟配置

一. MMDC 控制器 对于 I.MX6U 来说,有 DDR 内存控制器,否则的话它怎么连接 DDR 呢?MMDC控制器 就是 I.MX6U 的 DDR内存控制器。 MMDC 外设包含一个内核(MMDC_CORE)和 PHY(MMDC_PHY),内核和 PHY 的功能如下: MMDC 内…

nacos服务端源码集群同步源码分析

nacos集群状态同步源码分析 ServerStatusReporter ServerStatusReporter 是 ServerListManager的内部类 通过Component注解被解析到spring容器中 再通过PostConstruct初始化执行init方法 上边代码启动了一个延时2秒的线程 private class ServerStatusReporter implements Run…

信号时域分析方法

主要参考: 时域分析——有量纲特征值含义一网打尽 信号时域分析方法的理解(峰值因子、脉冲因子、裕度因子、峭度因子、波形因子和偏度等) 重要笔记如下: 建议跟参考笔记同步看。 有量纲特征值8个——最大值、最小值、峰峰值、均值…

Unable to resolve resource vscode-vfs://github%2B7b2276223a312c22726566223a7

github无法访问?vscode 无法使用github登录同步? 改 hosts 吧 Unable to resolve resource vscode-vfs://github%2B7b2276223a312c22726566223a7一、无法访问 github.com ? 想要去 github.com 上拿来主义,结果访问不了,或者 np…

Go基础篇:接口

目录 前言✨一、什么是接口?二、空接口 interface{}1、eface的定义2、需要注意的问题 三、非空接口1、iface的定义2、itab的定义3、itab缓存 前言✨ 前段时间忙着春招面试,现在也算告一段落,找到一家比较心仪的公司实习,开始慢慢回…

Linux防火墙之iptables(上)

目录 一、iptables防火墙的相关知识 1)防火墙的概念 2)iptables的简介 3)netfilter/iptables 的关系 netfilter iptables 二、iptables中的四表五链 1 )四表五链的关系 2)iptables中的四表 3&#xff0…

0基础要怎么开始学习c++?

先放一张学习线路图: 对于初学者看到这张线路图可能有点晕。实际上耐心一点,有足够的毅力还是可以自学攻克C这门语言的。 一、C语言 基础内容就是两块:基础语法和一个小游戏案例 进阶一点也是两块内容:C高级和数据结构。包括一…

怎么画骑鹅旅行记思维导图?办公常备工具

骑鹅旅行记不仅是一本神奇的奇幻童话,更是一本寓教于乐的启蒙读物,引导着孩子们学习正确的价值观和道德观。在开始制作骑鹅旅行记思维导图之前,我们需要先整理好故事情节:小男孩尼尔斯因捉弄动物而被一个小精灵变成了拇指大小&…

中国社科院与美国杜兰大学金融管理硕士——与时间赛跑,充分利用每一分钟

不管你愿不愿意,时间总是在不经意间流去。林清玄在《和时间赛跑》中写道:“虽然我知道人永远跑不过时间,但是可以比原来快跑几步。那几步虽然很小很小,但作用却很大很大”。是的,我们需要与时间赛跑,充分利…

就业内推 | 上市公司招网工,最高25k*14薪,六险一金

01 锐捷网络 招聘岗位:网络工程师 职责描述: 1、承接本产品线(无线或数通)所有咨询、故障、网络变更等业务,响应内外部客户的业务响应需求,需要值班。 2、同时作为产品线技术力的核心,需要负责…

购票API接口商品详情信息API

购票网是一个在线购票平台,为音乐会、演唱会、话剧、体育比赛等各类娱乐活动提供门票销售服务。通过大麦网,用户可以轻松购买心仪的演出门票,并享受到良好的购票体验。 为了让更多用户了解到大麦网的商品详情,并能够方便地获取相…

内防泄密重要,还是外防窃密重要?

内防泄密是组织为防止内部敏感信息未经授权泄露所采取的各种管理与技术措施的总称。它主要针对内部人员的信息访问与操作行为进行管控,减少故意或疏忽泄密事件的发生几率。 内防泄密的工作,通常包括员工管理、权限管控、监控检查、分级保护、离岗管控、技术防护、事…