Docker(三)官方仓库的搭建、仓库的加密和认证

这篇具有很好参考价值的文章主要介绍了Docker(三)官方仓库的搭建、仓库的加密和认证。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。



一、docker仓库

什么是仓库
Docker 仓库是用来包含镜像的位置,Docker提供一个注册服务器(Register)来保存多个仓库,每个仓库又可以包含多个具备不同tag的镜像。
Docker运行中使用的默认仓库是 Docker Hub 公共仓库。
docker 仓库,docker,docker,容器,运维

二、仓库Registry工作原理

一次docker pull 或 push背后发生的事情:
docker 仓库,docker,docker,容器,运维
index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给docker客户端,docker客户端再从registry下载镜像,在下载过程中 registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上。

Docker Registry有三个角色,分别是:index、registry和registry client。

  • index
    负责并维护有关用户帐户、镜像的校验以及公共命名空间的信息。
  • registry
    是镜像和图表的仓库,它不具有本地数据库以及不提供用户认证,通过Index Auth service的Token的方式进行认证。
  • Registry Client
    Docker充当registry客户端来维护推送和拉取,以及客户端的授权。

情景A:用户要获取并下载镜像。
docker 仓库,docker,docker,容器,运维
首先客户端向index请求下载镜像,index会返回镜像所在的仓库地址和token给客户端,客户端持有token直接访问仓库,此时仓库会向index校验token,index再向仓库返回是否合法,若是合法仓库直接将镜像传输给客户端。

情景B:用户要推送镜像到registry中
docker 仓库,docker,docker,容器,运维
客户端向index请求上传,index给客户端一个token,然后客户端访问仓库,仓库校验token,校验完成后客户端给仓库上传镜像。

情景C:用户要从index或registry中删除镜像。
docker 仓库,docker,docker,容器,运维
客户端向index请求删除,index向客户端返回允许delete和token,然后客户端访问仓库,校验完成后在仓库中删除,仓库完成删除后和index之间同步信息。

三、搭建官方私有仓库

在生产环境中,有些环境下可能是不被允许连接外网的,所以此时我们就需要搭建一个本地的私有仓库。我们也可以在docker官网创建一个账号,可以把我们本地的镜像上传到官网:Docker Hub
docker 仓库,docker,docker,容器,运维
创建账户后,在本机登陆刚刚创建的账号:
docker 仓库,docker,docker,容器,运维
用户的登录信息将会保存到用户主目录下 .docker 中,这样就可以保证后面我们不需要频繁的login:
docker 仓库,docker,docker,容器,运维
在网页端可以创建仓库:
docker 仓库,docker,docker,容器,运维
在本机 先更改tag和仓库信息,然后再push上传:

docker 仓库,docker,docker,容器,运维
可以看到在我们刚刚创建的仓库里面已经有我们上传的镜像了:
docker 仓库,docker,docker,容器,运维
我们也可以登出docker:
docker 仓库,docker,docker,容器,运维

四、配置镜像加速器

首先进入aliyun官网并登陆自己的账号,登陆进去后进入右上角控制台:
docker 仓库,docker,docker,容器,运维
选择容器镜像服务中的镜像加速器:
docker 仓库,docker,docker,容器,运维
docker 仓库,docker,docker,容器,运维
可以看到我们的加速器地址已经生效了:
docker 仓库,docker,docker,容器,运维

五、registry私有仓库

官方文档:https://docs.docker.com/registry/deploying

非加密下上传拉取

拉取registry镜像
[root@server1 ~]# docker pull registry
运行registry仓库(运行此镜像作为一个私有仓库,才能做后续实验
[root@server1 docker]# docker run -d -p 5000:5000 --restart=always --name registry registry
–restart=always : 让此容器随着docker引擎自启动
docker 仓库,docker,docker,容器,运维

现在我们在私有仓库里上传镜像:
[root@server1 ~]# docker tag nginx:latest localhost:5000/nginx:latest
[root@server1 ~]# docker push localhost:5000/nginx
docker 仓库,docker,docker,容器,运维
访问私有仓库发现已经上传:
docker 仓库,docker,docker,容器,运维

六、insecure registry:非加密端口

配置使用非加密端口

[root@server2 ~]# vim /etc/docker/daemon.json
{
  "insecure-registries" : ["http://192.168.117.17:5000"]
}

[root@server2 docker]# systemctl  restart docker
拉取镜像
[root@server2 docker]# docker pull 192.168.117.17:5000/nginx

docker 仓库,docker,docker,容器,运维
注:既然是仓库就要支持远程拉取的功能,从本机拉取可以用非加密的方式,远程主机拉取必须要加密的方式。先走加密再开认证:

七、仓库加密、认证

1.仓库加密

首先我们先下载加密的软件包:由于依赖性,两个一起装
docker 仓库,docker,docker,容器,运维
添加域名解析
docker 仓库,docker,docker,容器,运维
构建加密key和cert

[root@server7 ~]# mkdir certs
[root@server7 ~]# openssl11 req -newkey rsa:4096 -nodes -sha256 -keyout certs/westos.org.key -addext "subjectAltName = DNS:reg.westos.org" -x509 -days 365 -out certs/westos.org.crt

docker 仓库,docker,docker,容器,运维

[root@server7 ~]# docker run -d -p 443:443 --restart=always --name registry -v /opt/registry:/var/lib/registry -v /root/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.org.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.org.key registry
docker 仓库,docker,docker,容器,运维
docker 仓库,docker,docker,容器,运维

部署客户端证书,不然会报错
[root@server7 ~]# docker tag nginx:latest reg.westos.org/nginx:latest
[root@server7 ~]# docker push reg.westos.org/nginx:latest
The push refers to repository [reg.westos.org/nginx]
Get “https://reg.westos.org/v2/”: x509: certificate signed by unknown authority
docker 仓库,docker,docker,容器,运维
[root@server7 ~]# mkdir -p /etc/docker/certs.d/reg.westos.org/
[root@server7 ~]# cp /root/certs/westos.org.crt /etc/docker/certs.d/reg.westos.org/ca.crt
docker 仓库,docker,docker,容器,运维

验证

[root@server1 ~]# docker push reg.westos.org/nginx:latest
[root@server1 reg.westos.org]# curl -k https://reg.westos.org/v2/_catalog
{“repositories”:[“nginx”]}
docker 仓库,docker,docker,容器,运维

2.仓库认证

我们可以在此基础上加上认证功能:
安装httpd 工具包,使用htpasswd设置用户和密码:

[root@server7 ~]# yum install -y httpd-tools
[root@server7 ~]# mkdir auth
[root@server7 ~]# htpasswd -Bc auth/htpasswd admin
New password:
Re-type new password:
Adding password for user admin
第二次添加不要加“-c”选项,不然会覆盖
[root@server7 ~]# htpasswd -B auth/htpasswd gong
New password:
Re-type new password:
Adding password for user wxh
[root@server7 ~]# cat auth/htpasswd
admin:$2y 05 05 05cDNeojySdawWHWkSYcjX0.50ZzU3GvzaPWhhZ5opzCAsKpucxdaj2
gong:$2y$05$0HcL0fKskEaNa6xMx8PIdO94syd/qEGCfHKDK5Yt7ZsNYhnjgJTIW
docker 仓库,docker,docker,容器,运维

将之前的容器删除掉,加上一些设置使用用户和密码的参数,再开启容器:

[root@server7 ~]# docker rm -f registry
[root@server7 ~]# docker run -d -p 443:443 --restart=always --name registry -v /opt/registry:/var/lib/registry -v /root/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.org.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.org.key -v /root/auth:/auth -e “REGISTRY_AUTH=htpasswd” -e “REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm” -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd registry
docker 仓库,docker,docker,容器,运维

登录仓库,不然无法上传下载

[root@server1 ~]# docker login reg.westos.org

[root@server1 ~]# cat .docker/config.json
{
        "auths": {
                "reg.westos.org": {
                        "auth": "YWRtaW46d2VzdG9z"
                }
        }
}

docker 仓库,docker,docker,容器,运维
验证

[root@server7 ~]# docker tag busybox:latest reg.westos.org/busybox:latest
[root@server7 ~]# docker push reg.westos.org/busybox:latest
[root@server7 ~]# curl -k https://reg.westos.org/v2/_catalog -u admin:westos
{“repositories”:[“busybox”,“nginx”]}
docker 仓库,docker,docker,容器,运维

登出

[root@server7 ~]# docker logout reg.westos.org
docker 仓库,docker,docker,容器,运维

server8验证gong用户登录

首先server8上移除非安全仓库设置
[root@server8 ~]# cd /etc/docker/
[root@server8 docker]# mv daemon.json /mnt/
[root@server8 docker]# systemctl restart docker
docker 仓库,docker,docker,容器,运维
加解析
vim /etc/hosts
docker 仓库,docker,docker,容器,运维
拷贝证书
[root@server7 ~]# cd /etc/docker/
[root@server7 ~]# scp -r certs.d/ server8:/etc/docker/
docker 仓库,docker,docker,容器,运维
登录远程仓库
[root@server8 docker]# docker login reg.westos.org

docker 仓库,docker,docker,容器,运维
拉取镜像
[root@server8 docker]# docker pull reg.westos.org/busybox
docker 仓库,docker,docker,容器,运维
登出:[root@server8 ~]# docker logout reg.westos.org文章来源地址https://www.toymoban.com/news/detail-758633.html


到了这里,关于Docker(三)官方仓库的搭建、仓库的加密和认证的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 了解 Dockerfile 和搭建 Docker 私有仓库:让容器化部署变得更简单

    目录 1、Dockerfile 1.1什么是Dockerfile 1.2常用命令 1.3使用脚本创建镜像 2、Docker私有仓库 2.1私有仓库介绍: 2.2私有仓库搭建与配置 2.3上传镜像到私有仓库: 1.1什么是Dockerfile Dockerfile是由一些列命令和参数构成的脚本,这些命令应用于基础镜像并且最终创建一个新的镜像。 Dock

    2024年02月10日
    浏览(38)
  • Docker学习入门(二):常用软件安装、掌握Docker迁移与备份、运用Dockerfile编写创建容器的脚本、搭建与使用docker私有仓库;

    Docker的学习目标: 4.掌握Tomcat Nginx等软件的常用的安装 5.掌握Docker迁移与备份相关命令 6.能够运用Dockerfile编写创建容器的脚本 7.能够搭建与使用docker私有仓库 8.学习总结 1.MYSQL的部署     (1)拉取mysql镜像          docker pull centos/mysql-57-centos7               (2)创建容

    2024年02月21日
    浏览(49)
  • 如何使用Zabbix官方模板轻松实现Docker容器监控?

    感谢王军 ZCP(Zabbix 高级认证专家)翻译!欢迎投稿分享你的使用经验。 本文将介绍通过Zabbix监控Docker容器。使用官方模板 Docker by Zabbix agent2 template 很容易实现Docker容器监控。模板下载链接和配置步骤可以在 Zabbix 集成页面上找到。 导入官方Docker模板 安装并配置Zabbix Agent2 Z

    2024年02月05日
    浏览(55)
  • [Docker]二.Docker 镜像,仓库,容器介绍以及详解

    通俗来讲:镜像相当于VM虚拟机中的ios文件,容器相当于虚拟机系统,仓库相当于系统中的进程或者执行文件,容器是通过镜像创建的 Docker 镜像就是一个 Linux 的文件系统( Root FileSystem ),这个文件系统里面包含可以运行在 Linux 内核的程序以及相应的数据,这里要强调一下镜像的两

    2024年02月03日
    浏览(48)
  • docker镜像 容器 仓库

    Docker 运行容器前需要本地存在对应的镜像,如果本地不存在该镜像,Docker会从镜像仓库下载该镜像。 Docker Hub 上有大量的高质量的镜像可以用,这里我们就说一下怎么获取这些镜像。 从 Docker 镜像仓库获取镜像的命令是 docker pull。其命令格式为: docker pull [选项] [Docker Regi

    2024年02月09日
    浏览(55)
  • 什么是docker(docker客户端、镜像、容器、仓库)

    Docker 是一个开源的容器化平台,它可以让开发者打包应用程序及其依赖项成为一个轻量级、可移植的容器,然后在任何环境中运行。Docker 容器将应用程序及其依赖项打包到一个标准化单元中,包括代码、运行时环境、系统工具、系统库等,确保应用程序在不同的环境中具有

    2024年04月10日
    浏览(41)
  • 第七次作业 运维高级 docker容器进级版

    1、使用mysql:5.6和 owncloud 镜像,构建一个个人网盘。 (1)拉取相应镜像 (2)运行mysql:5.6容器 (3)运行owncloud容器 (4)查看并验证 之后在浏览器中输入ipaddress:8080 2、安装搭建私有仓库 Harbor (1)下载好harbor和docker-compose (2)上传到Linux服务器 (3)复制docker-compose并修改权限 (4)解压harbor (

    2024年02月12日
    浏览(54)
  • 一文搞清楚 Docker 镜像、容器、仓库

    博主介绍 : ✌博主从事应用安全和大数据领域,有8年研发经验,5年面试官经验,Java技术专家✌ Java知识图谱点击链接: 体系化学习Java(Java面试专题) 💕💕 感兴趣的同学可以收藏关注下 , 不然下次找不到哟 💕💕 Docker 镜像、容器、仓库是 Docker 技术中的三个重要概念

    2024年02月03日
    浏览(48)
  • Docker:Docker和DockerCompose:如何解决容器间的认证和授权问题

    作者:禅与计算机程序设计艺术 作为一款开源的容器编排工具,Docker 在容器应用中具有广泛的应用。然而,容器间的认证和授权问题一直困扰着用户。本文旨在探讨如何使用 Docker 和 Docker Compose 解决这个问题。 引言 1.1. 背景介绍 随着云计算和 DevOps 的兴起,容器化技术逐渐

    2024年02月07日
    浏览(27)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包