查看原文
其他

Docker Registry Server 搭建,配置免费HTTPS证书,及拥有权限认证、TLS 的私有仓库

搜云库 搜云库技术团队 2019-04-07

上一篇文章搭建了一个具有基础功能的私有仓库,这次来搭建一个拥有权限认证、 TLS 的私有仓库。

环境准备

  • 系统:Ubuntu 17.04 x64

  • IP:198.13.48.154

  • IP:45.76.144.121

  • 域名:hub.ymq.io,此域名需要dns 解析到198.13.48.154 作为私有仓库地址

本文出现的所有: hub.ymq.io 域名。使用时候请替换成自己的域名

Docker 环境

在部署私有仓库之前,需要在主机上安装 Docker。私有仓库是 registry images,并在 Docker中运行。

我是用的 vultr 的服务器,所以,下面操作,就不用配置国内的,加速镜像库,直接用 Docker官方的!

国内加速仓库,我其他文章有提到:Ubuntu 17.04 x64 安装 Docker CE 初窥 Dockerfile 部署 Nginx
http://www.ymq.io/2017/12/30/Docker-Install/

安装Docker CE

使用存储库进行安装

1.更新 apt软件包索引:

  1. $ sudo apt-get update

2.装软件包以允许 apt通过 HTTPS使用存储库:

  1. $ sudo apt-get install \

  2.    apt-transport-https \

  3.    ca-certificates \

  4.    curl \

  5.    software-properties-common

3.添加 Docker的官方 GPG密钥:

  1. $ curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -

4.使用以下命令来设置稳定的存储库

  1. $ sudo add-apt-repository \

  2.   "deb [arch=amd64] https://download.docker.com/linux/ubuntu \

  3.   $(lsb_release -cs) \

  4.   stable"

5.更新 apt软件包索引。

  1. $ sudo apt-get update

7.安装最新版本的 DockerCE

  1. $ sudo apt-get install docker-ce

8.通过运行 hello-world 映像验证是否正确安装了 DockerCE 。

  1. $ sudo docker run hello-world

域名证书

acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书. https://github.com/Neilpang/acme.sh

给acme.sh组织赞助:Acknowledgments

很简单就两个步骤:

  • 安装 acme.sh

  • 生成证书,及验证证书

1.安装 acme.sh

安装很简单, 一个命令:

  1. $ curl  https://get.acme.sh | sh

这条命令,会做的事情

1.把 acme.sh 安装到你的 home 目录下: 并创建 一个 bash 的 alias, 方便你的使用: acme.sh=~/.acme.sh/acme.sh

2.自动为你创建 cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书.

2.生成证书

如果你还没有运行任何 web 服务, 且 80 端口是空闲的, 那么 acme.sh 能假装自己是一个 webserver, 临时听在 80 端口, 完成验证:

注意:如果您使用的时候,请把, hub.ymq.io 替换成自己域名,此域名需要 dns 解析到安装私有仓库的服务器 IP

  1. $ cd ~/.acme.sh/

  2. $ apt-get install socat

  3. $ sh acme.sh  --issue -d hub.ymq.io   --standalone

如果看到如下信息,说明证书验证并生成成功,证书生成位置在: /root/.acme.sh/hub.ymq.io/ 下

  1. Success

  2. Verify finished, start to sign.

  3. Cert success.

  4. -----BEGIN CERTIFICATE-----

  1. [Wed Jan  3 14:36:25 UTC 2018] Standalone mode.

  2. [Wed Jan  3 14:36:25 UTC 2018] Registering account

  3. [Wed Jan  3 14:36:27 UTC 2018] Registered

  4. [Wed Jan  3 14:36:27 UTC 2018] ACCOUNT_THUMBPRINT='7TpUIE5N--hq2nhk2ruKmHBfgKB-LX-pBCkWzzmHzVM'

  5. [Wed Jan  3 14:36:27 UTC 2018] Creating domain key

  6. [Wed Jan  3 14:36:28 UTC 2018] The domain key is here: /root/.acme.sh/hub.ymq.io/hub.ymq.io.key

  7. [Wed Jan  3 14:36:28 UTC 2018] Single domain='hub.ymq.io'

  8. [Wed Jan  3 14:36:28 UTC 2018] Getting domain auth token for each domain

  9. [Wed Jan  3 14:36:28 UTC 2018] Getting webroot for domain='hub.ymq.io'

  10. [Wed Jan  3 14:36:28 UTC 2018] Getting new-authz for domain='hub.ymq.io'

  11. [Wed Jan  3 14:36:29 UTC 2018] The new-authz request is ok.

  12. [Wed Jan  3 14:36:29 UTC 2018] Verifying:hub.ymq.io

  13. [Wed Jan  3 14:36:29 UTC 2018] Standalone mode server

  14. [Wed Jan  3 14:36:34 UTC 2018] Success

  15. [Wed Jan  3 14:36:34 UTC 2018] Verify finished, start to sign.

  16. [Wed Jan  3 14:36:35 UTC 2018] Cert success.

  17. -----BEGIN CERTIFICATE-----

  18. MIIE9zCCA9+gAwIBAgISA6WV4ZFi6lr/kngVGx7/FoPMMA0GCSqGSIb3DQEBCwUA

  19. ******************************************

  20. ...

  21. -----END CERTIFICATE-----

  22. [Wed Jan  3 14:36:35 UTC 2018] Your cert is in  /root/.acme.sh/hub.ymq.io/hub.ymq.io.cer

  23. [Wed Jan  3 14:36:35 UTC 2018] Your cert key is in  /root/.acme.sh/hub.ymq.io/hub.ymq.io.key

  24. [Wed Jan  3 14:36:35 UTC 2018] The intermediate CA cert is in  /root/.acme.sh/hub.ymq.io/ca.cer

  25. [Wed Jan  3 14:36:35 UTC 2018] And the full chain certs is there:  /root/.acme.sh/hub.ymq.io/fullchain.cer

搭建仓库

前提条件:域名的 dns 解析到安装私有仓库的服务器 IP

复制证书

1.创建一个 certs目录。

  1. $ cd /opt/

  2. $ mkdir -p certs

2.移动证书到 certs目录。

  1. $ cd ~/.acme.sh/

  2. $ sh acme.sh  --installcert  -d  hub.ymq.io   \

  3.        --key-file   /opt/certs/hub.ymq.io.key \

  4.        --fullchain-file /opt/certs/fullchain.cer

身份验证

为用户创建一个带有一个条目的密码文件 testuser,密码为 testpassword

  1. $ mkdir auth

  2. $ docker run \

  3.  --entrypoint htpasswd \

  4.  registry:2 -Bbn testuser testpassword > auth/htpasswd

创建仓库

启动注册表,指示它使用 TLS证书。这个命令将 certs/目录绑定到容器中 /certs/,并设置环境变量来告诉容器在哪里找到 fullchain.cer 和 hub.ymq.io.key文件。注册表在端口 443(默认的 HTTPS端口)上运行。

  1. docker run -d \

  2.  --restart=always \

  3.  --name registry \

  4.  -v `pwd`/auth:/auth \

  5.  -e "REGISTRY_AUTH=htpasswd" \

  6.  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \

  7.  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \

  8.  -v `pwd`/certs:/certs \

  9.  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \

  10.  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/fullchain.cer \

  11.  -e REGISTRY_HTTP_TLS_KEY=/certs/hub.ymq.io.key \

  12.  -p 443:443 \

  13.  registry:2

查看日志

  1. $ docker logs -f registry

登录仓库

  1. $ docker login hub.ymq.io

  2. Username (testuser): testuser

  3. Password: 输入仓库密码

  4. Login Succeeded

拉取镜像

从 DockerHub拉取 ubuntu:16.04 镜像

  1. $ docker pull ubuntu:16.04

标记镜像

将镜像标记为 hub.ymq.io/my-ubuntu,在推送时, Docker会将其解释为仓库的位置。

  1. $ docker tag ubuntu:16.04 hub.ymq.io/my-ubuntu

推送镜像

将镜像推送到本地镜像标记的仓库 hub.ymq.io/my-ubuntu

  1. $ docker push hub.ymq.io/my-ubuntu

删除镜像

删除本地缓存 ubuntu:16.04和 hub.ymq.io/my-ubuntu 镜像,以便您可以测试从私有仓库中拉取镜像。这不会 hub.ymq.io/my-ubuntu 从您的私有仓库中删除镜像。

  1. $ docker image remove ubuntu:16.04

  2. $ docker image remove hub.ymq.io/my-ubuntu

拉取镜像

拉取 hub.ymq.io 仓库的 my-ubuntu 镜像。

  1. $ docker pull hub.ymq.io/my-ubuntu

查看镜像

  1. $ docker images hub.ymq.io/my-ubuntu

  2. REPOSITORY             TAG                 IMAGE ID            CREATED             SIZE

  3. hub.ymq.io/my-ubuntu   latest              00fd29ccc6f1        2 weeks ago         111MB

在浏览器中查看仓库中的镜像。需要输入账号密码

 

操作API

Docker Registry HTTP API V2

仓库操作 API 官方文档:https://docs.docker.com/registry/spec/api/

仓库搭建 官方文档:https://docs.docker.com/registry/deploying/

Harbor

Harbor是 VMware公司开源的企业级 DockerRegistry项目,项目地址为:https://github.com/vmware/harbor

其目标是帮助用户迅速搭建一个企业级的 Dockerregistry服务。它以 Docker公司开源的 registry为基础,提供了管理 UI,基于角色的访问控制( RoleBasedAccessControl), AD/LDAP集成、以及审计日志( Auditlogging) 等企业用户需求的功能,同时还原生支持中文。 Harbor的每个组件都是以Docker容器的形式构建的,使用 DockerCompose来对它进行部署

Harbor 的搭建,及使用,正在整理中,会在下篇文章体现,关注公众号:“搜云库” 我会在微信公众号首发

Contact

  • 作者:鹏磊

  • 出处:http://www.ymq.io

  • Email:admin@souyunku.com

  • 版权归作者所有,转载请注明出处

  • Wechat:关注公众号,搜云库,专注于开发技术的研究与知识分享


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存