Docker本地私有镜像仓库registry创建,并使用启用TLS加密身份验证机制

最新推荐文章于 2025-04-07 23:38:27 发布
最新推荐文章于 2025-04-07 23:38:27 发布
阅读量495 收藏 4
点赞数 3
文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mr_binM/article/details/143933763
版权

1,环境准备

首先确保系统已经安装了Docker

2,安装Docker Registry

sudo docker pull registry:2

3,启用TLS加密

为了安全地传输数据,需要为Docker Registry启用TLS加密。这需要创建一个自签名证书或使用由受信任的CA颁发的证书。

创建自签名证书(仅用于测试环境):

配置openssl.cnf,运行以下命令创建openssl.cnf,并将本机IP增加到证书中,  172.19.41.35修改为本机IP

#配置openssl.cnf
cat <<EOF > openssl.cnf
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
C = CN
ST = Beijing
L = Beijing
O = MyCompany
OU = MyDivision
CN = 172.19.41.35

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
IP.1 = 172.19.41.35
DNS.1 = localhost
EOF

#生成一个私钥文件
openssl genrsa -out docker-registry.key 4096

#生成证书请求(CSR)
openssl req -new -key docker-registry.key -out docker-registry.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=MyCompany/OU=MyDivision/CN=localhost" -reqexts SAN -config <(cat openssl.cnf <(printf "[SAN]\nsubjectAltName=IP:172.19.41.35,DNS:localhost"))

#生成自签名证书
openssl x509 -req -in docker-registry.csr -signkey docker-registry.key -out docker-registry.crt -days 365 -extensions SAN -extfile <(cat openssl.cnf <(printf "[SAN]\nsubjectAltName=IP:172.19.41.35,DNS:localhost"))

4,使用身份验证
Docker Registry支持多种身份验证方式,这里我们使用htpasswd进行基本的身份验证。

安装Apache工具以生成htpasswd文件:

sudo dnf install -y httpd-tools
5,创建用户和密码文件:

这将创建一个名为auth的文件,其中包含了加密后的用户名和密码对:docker:docker2024。

sudo htpasswd -Bbn docker docker2024 > auth

6,配置config.yml 文件,运行以下命令直接创建config.yml

cat <<EOF > config.yml
version: 0.1
log:
  level: info
storage:
  filesystem:
    rootdirectory: /var/lib/registry
  delete:
    enabled: true
http:
  addr: :5000
  tls:
    certificate: /etc/docker/registry/docker-registry.crt
    key: /etc/docker/registry/docker-registry.key
auth:
  htpasswd:
    realm: "Registry Realm"
    path: /etc/docker/registry/auth
EOF

7,确保文件权限正确

确保当前文件的权限设置正确,以便Docker Registry可以读取它:

并且将当前文件移动到/etc/docker/registry下

sudo chmod 600 *
sudo mkdir -p /etc/docker/registry
sudo mv * /etc/docker/registry
sudo ls -l /etc/docker/registry

8,Docker客户端使用本地私有仓库

为了让Docker客户端能够推送到或者拉取来自这个私有仓库的镜像,需要配置Docker守护进程信任这个仓库。这通常涉及到将仓库地址添加到Docker的配置文件中,使Docker允许连接非HTTPS的仓库。

把证书拷贝到/etc/docker/certs.d/{本机IP}:5000/下,然后重启docker

sudo mkdir -p /etc/docker/certs.d/172.19.41.35:5000
sudo cp /etc/docker/registry/docker-registry.crt /etc/docker/certs.d/172.19.41.35\:5000/ca.crt
sudo systemctl daemon-reload
sudo systemctl restart docker

 ​​​

9,运行Docker Registry

现在可以启动带有TLS和身份验证的Docker Registry容器了。

sudo docker run -d -p 5000:5000 --restart=always --name registry \
  -v /etc/docker/registry:/etc/docker/registry \
  -v /var/lib/registry:/var/lib/registry \
  registry:2 /etc/docker/registry/config.yml

11,测试私有仓库

172.19.41.35修改为本机IP

# 输入之前设置的用户名和密码
sudo docker login 172.19.41.35:5000 -u docker -p docker2024

sudo docker pull redis:latest
sudo docker tag redis:latest 172.19.41.35:5000/redis:latest
sudo docker push 172.19.41.35:5000/redis:latest

如果一切正常,应该能够成功登录并推送镜像到私有仓库中。

basic_code
关注
Docker指南⑧〗Docker私有镜像仓库|阿里云|Registry|Harbor
梵高
05-13 3144
Docker私有镜像仓库|阿里云|Registry|Harbor
内网Docker私有仓库支持https实战
悦分享
05-27 424
网络拓扑: 1. 安装docker配置镜像加速安装docker: 配置镜像加速: 2. 搭建register参考拉取registry镜像: 启动容器: --privileged参数使用宿主机上用户的权限,root登录就有拥有root的权限。如果没有关闭selinux,需要添加:Z,访问本机的50000端口访问到5000.测试仓库是否可用: 这样搭建的私有仓库,不支持https,生产环境需要使用https。 非对称加密算法传递的就是数字证书,证书里面包含了公钥,而不是直接传递公钥。可
docker 私有仓库与Harbor
qq_44135433的博客
11-16 1206
aaa
TLS安全的docker registry —— 自签名证书 安装
XuYongshi02的专栏
06-06 8625
自签名docker registry 安装 记录 安全的Docker registry, 包含Authentication, ACL, TLS 等, 不安全的, 包括, 只有签名的(TLS)的认证, 和 完全开放的。 以下是安装Docker registry 后, 利用openssl 生成一个自签名的证书, 用户信任 Registry 的站点。 1. 基本信息 系统 64位R
手把手教你搭建Docker私有仓库
pcj_888的博客
03-22 373
如题
Docker Registry Server 搭建,配置免费HTTPS证书,及拥有权限认证、TLS私有仓库
weixin_34075268的博客
01-05 534
上一篇文章搭建了一个具有基础功能的私有仓库,这次来搭建一个拥有权限认证、TLS私有仓库。 环境准备 系统:Ubuntu 17.04 x64 IP:198.13.48.154 域名:hub.ymq.io,此域名需要dns 解析到198.13.48.154 作为私有仓库地址 本文出现的所有:hub.ymq.io 域名。使用时候请替换成自己的域名 Docker 环境 在部署私有仓库之前,需要在主...
linux 7 realm,CentOS 7 配置 docker-registry TLS 安全认证
weixin_35774805的博客
05-16 256
注: 以下内容中的 “192.168.1.130” IP 地址请自行修改为你的 Docker 宿主机的地址。创建 docker-registry 数据存储目录mkdir -p /data/docker-registry/{auth,certs,lib}修改 /etc/pki/tls/openssl.cnf 配置 (注: 这一步很重要, 否则后面会提示 x509 错误!)[ v3_ca ]subje...
搭建基于TLS认证的Docker Registry
alleyz
12-15 1200
Docker Registry 生成SSL证书 $ openssl req -newkey rsa:4096 -nodes -sha256 -keyout alleyz.key -x509 -days 365 -out alleyz.crt Generating a 4096 bit RSA private key ................................
docker registry私有镜像仓库
MssGuo的博客
04-10 2090
docker仓库一般有:公网上的docker hub,而docker私有仓库一般有2种,docker registry和harbor,前者是docker官方的私有仓库,比较小巧,在一些小业务场景比较合适使用,且没有web页面,后者harbor是VMware 公司中国团队的开源项目,有web页面,比较人性化,企业使用范围较广。本篇先来讲解docker公司的registry镜像仓库。harbor仓库的搭建可以参考挺好的文章:http://events.jianshu.io/p/de8969f17b53。
云原生系列 - Docker搭建私有仓库
知行
06-28 5359
使用Docker官方提供的Registry镜像:Docker官方提供了一个用于构建私有镜像仓库Registry镜像,只需将镜像下载运行容器,然后暴露5000端口即可使用。可以通过修改Docker的配置文件daemon.json,在其中添加私有镜像仓库地址来实现。在Docker官方网站中直接创建:在Docker的官方网站()中,可以创建属于自己的账户,然后在Repository中创建自己的仓库。这种方式比较简单,但需要网络连接,且对于大规模使用可能存在一些限制。
docker本地仓库和私有仓库
zmac111的博客
08-02 1742
docker本地仓库和私有仓库一、docker本地仓库1.首先下载registry镜像2.在daemon.json文件中添加私有镜像仓库地址3.运行registry容器docker容器重启策略4.为镜像打标签5.上传到私有仓库6.列出私有仓库的所有镜像7.列出私有仓库的centos 镜像有哪些tag8.先删除原有的centos的镜像,再测试私有仓库下载二、私有仓库(Harbor)1.简介2.Harbor的特性3.Docker私有仓库架构三、Harbor 配置文件以及相关参数1.所需参数2.可选参数四、使用H
打造专属云存储:私有Docker Registry全面解读与实战部署
guting18893110463的博客
03-19 967
容器技术大行其道的今天,Docker Registry作为容器镜像的中央仓库,扮演着至关重要的角色。当公开的官方镜像库无法满足企业对安全性、可控性及定制化的需求时,搭建私有Docker Registry就显得尤为必要。本文旨在深入剖析私有Docker Registry的核心功能、部署方法以及管理策略,在文末抛砖引玉,引发关于私有Registry进阶实践与未来趋势的讨论。
Docker Registry Server TLS私有仓库
good7ob的博客
07-24 209
通过本文的介绍,你已经了解了如何为Docker Registry配置TLS证书,确保私有仓库的通信安全。我们详细介绍了生成TLS证书的步骤,以及如何在Docker Registry中配置TLS使用TLS证书加密Docker Registry的通信可以增强镜像的安全性和可信度,确保镜像的传输和存储过程中的机密性和完整性。希望通过本文的指导,你能够更好地理解和应用Docker RegistryTLS配置,为你的私有镜像仓库提供更高的安全保障。愿你在容器化应用开发的旅程中取得更大的成功!
Docker实战——身份证识别引擎容器
hzk1562110692的专栏
10-13 681
本人在一家人脸识别公司做Java后端开发,因工作需要,要将AI引擎进行容器化,方便以后部署,这其中包括人脸识别引擎、身份证识别引擎等。 这是一篇对引擎容器化的操作的记录和总结,本文不会过多涉及Docker的基本知识,以下示例针对身份证识别(OCR)引擎。 适用人群:机器学习初学者,转AI的开发人员。 容器化技术:Docker 操作系统:Centos7 显卡及驱动:CUDA 10.0 应用容器化步骤...
Docker实战 | 第四篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
有来技术
12-13 1160
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。意
搭建docker registry私服,且支持https推送
最新发布
qq_45003354的博客
04-07 603
docker registry私服搭建,且支持https推送
Registry私有仓库搭建及认证
weixin_30421809的博客
11-10 445
本节内容: Registry相关概念 Registry V1和V2 安装Docker 搭建本地registry v2 搭建外部可访问的Registry 添加认证 更高级的认证 registry web ui 一、Registry相关概念 前面的文章讲过Docker的组成部分,我们一般在使用Docker的过程中更为常用的是pull image、run image、b...
docker login 报错
weixin_49145408的博客
08-19 1648
报错记录
五分钟学会 Docker Registry 搭建私有镜像仓库
前端原创分享,常年坚持记录和分享,全网阅读量超百万
07-21 1787
在上一篇文章《》中,我们学习了如何使用 aliyun 私有镜像仓库,也了解到可以使用 Docker Registry 搭建私有镜像仓库。这篇文章就分享下实操过程。是官方提供的 registry 镜像,可以用来搭建私有镜像 registry,有了它,我们就可以建立起私有镜像仓库
搭建docker本地镜像仓库
02-28
### 如何搭建配置Docker本地私有Registry镜像仓库 #### 下载运行官方Registry镜像 为了建立一个基本的私有Docker Registry,可以从Docker Hub获取官方提供的`registry`镜像。这一步骤通过命令行完成: ```bash docker pull registry:latest ``` 此操作会下载最新版本的`registry`镜像至本地环境[^3]。 #### 启动Registry服务实例 接着,利用之前拉取下来的镜像来启动一个新的容器作为私有Registry服务器,指定必要的参数以确保其能够长期稳定运行以及支持删除功能: ```bash docker run -d \ -p 5000:5000 \ --restart always \ --name registry \ -v /opt/registry:/var/lib/registry \ -e REGISTRY_STORAGE_DELETE_ENABLED="true" \ registry:latest ``` 上述指令设置了端口映射(`-p`)使得外部网络可以访问该服务;启用了自动重启策略(`--restart`)保障稳定性;挂载了一个卷用于存储实际的数据文件(-v),且开启了允许删除的功能[-e](REGISTRY_STORAGE_DELETE_ENABLED)。 #### 测试与验证 一旦成功部署了私有Registry之后,就可以尝试推送一些自定义构建好的镜像上去做初步测试。在此之前可能还需要调整客户端机器上的Docker守护进程配置以便能顺利连接到新设立的服务地址。具体做法涉及编辑daemon.json文件加入insecure-registries字段指明非HTTPS协议下的目标主机名或IP加上对应的监听端口号组合而成的位置信息[^4]。 #### 增强安全性(可选) 考虑到安全因素,在生产环境中通常建议为私有Registry配备认证机制及SSL/TLS加密传输通道。对于前者来说,可以通过集成HTPasswd或其他形式的身份验证插件实现;而后者则需准备好数字证书材料后按照指引进行相应设置[^5]。 #### 图形化管理界面(推荐) 尽管原生的Docker Registry不自带GUI组件,不过借助于Portainer、Harbor这类第三方解决方案同样可以获得直观易用的操作面板来进行日常维护工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值