【Docker】安装registry本地镜像库,开启Https功能 证书

已于 2025-03-12 23:22:49 修改
阅读量1.9k 收藏 11
点赞数 5
分类专栏: Docker 文章标签: docker https java
于 2025-01-07 22:31:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/binqian/article/details/143461680
版权

103脚本

docker run -d \
 --restart=always \
 --name registry \
 --memory 512m \
 -p 444:444 \
 -v /root/regimages:/var/lib/registry \
 --memory-swap -1 \
 -v /root/registrypki:/etc/certs.d \
 -e REGISTRY_HTTP_ADDR=0.0.0.0:444 \
 -e REGISTRY_HTTP_SECRET=secret \
 -e REGISTRY_HTTP_TLS_CERTIFICATE=/etc/certs.d/registry.crt \ 
 -e REGISTRY_HTTP_TLS_KEY=/etc/certs.d/private.key \ 
 registry:2

下载镜像

docker pull registry:2

      需要启动https功能,就要生成服务端的自签名的证书和私钥,以及在docker客户端安装这个经过签名的证书。 第一步:生成公私钥信息,第二步,制作证书签名申请文件, 第三步:用私钥签名申请文件(里面保护公钥申请人的公钥信息) 第四步: 把签名后的证书配置到docker端,同时在registry端配置私钥

制作公私钥

    首先熟悉下相关概念:

  • x509:证书标准
  • pem和der:两种(包括公私钥、证书签名请求、证书等内容的)的格式,前者是文本形式,linux常用,后者是二进制形式,windows常用,仅仅是格式,不表明内容,如果作为后缀就像html起的效果一样。有时候用pem做公钥的后缀
  • crt和cer:常见的两种证书后缀名,前者大多数情况为pem格式,后者大多数情况为der格式
  • csr:证书签名请求文件(后缀一般都是.csr),包含了公钥、用户名等信息
  • key:常见的私钥的后缀名

1、先创建一个公私钥对

   openssl genpkey -algorithm RSA -out registry_private.key  -pkeyopt rsa_keygen_bits:2048

  ** -algorithm RSA是说明 生产公私钥的算法,rsa_keygen_bits:2048 指定rsa算法密钥的长度,长度越长越安全,但是长度长解密时需要更长时间。 也可以用 -aes256 选项表示加密保护私钥。

2、查看使用openssl pkey -in registry_private.key -text -noout 查看生成后的私钥信息

      里面可以看到公钥和私钥部分信息

3、openssl rsa -in registry_private.key -pubout -out registry_public.key 生产一个公钥信息文件

     

 生成证书签名请求 (CSR)

   创建一个配置文件,内容如下:

[root@master01 pki]# cat crs.conf 
[req]
distinguished_name  = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
C = CN
ST = CKG
L = CKG
O = ITTest
OU = IT
CN = 192.168.2.222

[v3_req]
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]

DNS.1=master00.com
DNS.2=bqs.master00.com
IP.1 = 192.168.2.222  #这个ip就是你的镜像服务的ip,如果有域名的域名也添加上面 DNS.1= xxx.com

执行命令生成申请文件

openssl req -new -key registry_private.key -out registry.csr -config crs.conf

生成自签名证书

openssl x509 -req -in registry.csr -signkey registry_private.key -out registry.crt -days 3650 -extfile crs.conf -extensions v3_req

-days 3650 指定证书的有效天数

 查看证书

openssl x509 -in registry.crt -text -noout

启动私有仓库容器

docker run -d \
  --restart=always \
  --name registry \
  --memory 512m \
  -p 443:443  \
  -v /root/regimages:/var/lib/registry \
  --memory-swap -1 \
  -v /root/docker/pki:/etc/certs.d \   # 把刚才生成证书的目录挂载到 容器中
  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
  -e REGISTRY_HTTP_SECRET=secret \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/etc/certs.d/registry.crt \  #指定了https的证书
  -e REGISTRY_HTTP_TLS_KEY=/etc/certs.d/registry_private.key \    #指定了https的私钥
  registry:2

把证书安装到Docker客户端

1、创建目录  /etc/docker/certs.d/192.168.2.222/   [在其他主机上也是这个ip作为文件夹]  

       如果https的默认端口不是443,比如是:444 ,那么文件夹的名称端口也要加上:  192.168.2.222:444

    ***  /etc/docker/certs.d/是固定的,后面IP目录就是根据自己实际IP 或者域名创建文件夹名称就行

2、把刚才生成的证书registry.crt 复制到上面的目录,而且名称要改成  ca.crt 。

3、重新启动Docker,就可以了

测试

***还有一种方式就是把用于签名的证书,因为这里是自签名,所以也就是这个自签名正式直接加入到操作系统层面的 信任正式库里面也可以。

#追加

   cat cat.crt >>  /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt  

#系统层面更新  

update-ca-trust

然后k8s中下载库中的镜像

在node上docker login 登录镜像库 生成  $HOME/.docker/config.json

kubectl create secret generic harborregcred -n jtkjdev --from-file=.dockerconfigjson=$HOME/.docker/config.json  --type=kubernetes.io/dockerconfigjson

    spec:

      imagePullSecrets:

      - name: harborregcred

      containers:

查看有多少镜像

[root]# curl https://10.99.204.135:444/v2/_catalog -k
{"repositories":["arm/istio/examples-bookinfo-productpage-v1"]}

搭建一个支持HTTPS的私有DOCKER Registry
xcjing的博客
04-19 1万+
搭建一个支持HTTP的私有DOCKER Registry 可参考文章: http://blog.youkuaiyun.com/fgf00/article/details/52040492 测试可以用HTTP访问一下: http://IP:PORT/v2/ 如果要搭建一个支持HTTPS的私有DOCKER Registry,可参考文章: http://www.cnblogs.co
docker search报错Error response from daemon: Get “https://index.docker.io/v1/search?xx“:解决方案
最新发布
blink182007的博客
02-13 1658
添加红色框里边的三条DNS服务器解析地址,复制放到/etc/resolv.conf添加覆盖之前的就行。执行修改了 /etc/host 文件,wq!我的是WSL2子系统,当前网络的DNS服务器发生变化了。此时若不打开科学上网络,返回。此时若打开科学上网络,返回。至此,问题已得到解决!
docker-registry:这是“已弃用”! 请转到https
05-19
警告 注意:不推荐使用经典的python“ Docker Registry”,而是采用新的golang实现。 这是出于历史目的保留的,不会再收到任何重大的工作或爱戴了。 您应该转到或。 Docker注册表 关于本文件 随着文档随着注册表版本的不同而发展,请确保在进一步阅读之前: 检查您正在运行的注册表版本 切换到相应的标签以访问与您的产品版本匹配的自述文件 稳定的发行版本是。 在报告错误之前,请也快速浏览一下 。 目录 搜索引擎选项sqlalchemy的 镜像选项 缓存选项 储存选项 储存档案永久储存 储存S3 您自己的配置 进阶使用 车手 对于开发人员 快速开始 最快的运行方式: 安装泊坞窗 运行注册表: docker run -p 5000:5000 registry 它将使用Docker集线器中的官方映像。 这是一个稍微复杂一点的示例,该示例在端口5000上启动注册表,
[容器]docker registry安装 https
毛台
04-08 1229
1,安装registry yum install httpd-tools -y docker run -d --name docker-registry -v /opt/registry:/tmp/registry-dev registry:2  mkdir /opt/registry cd /opt/registry openssl req -x509 -days 3650 -no
501. 【registrydocker-私有仓实现https-访问
七镜的博客
06-08 965
上一篇,我们已经成功通过 registry 搭建了一个 docker 私有仓,但仔细点我们会发现,在拉取和推送镜像时,需要附加参数,很不方便,这次来优化一下这块。
【Linux】安装 Docker Registry
lushixuan12345的博客
11-06 875
Docker Registry是官方提供的工具,可以用于构建私有镜像仓
DockerRegistry——(一) 安装Registry
真香号
02-14 728
目录 一、概述 二、 安装Registry 三、测试访问 一、浏览器端访问 二、终端访问 一、概述 官方的 Docker Hub 是一个用于管理公共镜像的地方,我们可以在上面找到我们想要的镜像,也可以把我们自己的镜像推送上去。但是,有时候我们的服务器无法访问互联网,或者你不希望将自己的镜像放到公网当中,那么你就需要 Docker Registry,它可以用来存储和管理自己的镜像...
Docker--Docker Registry(镜像仓
m0_74068921的博客
11-19 7388
镜像仓Docker Registry)是Docker生态系统中用于存储、管理和分发Docker镜像的关键组件。镜像仓主要负责存储Docker镜像,这些镜像包含了应用程序及其相关的依赖项和配置,是构建和运行Docker容器的基础。除了存储功能外,镜像仓还提供管理和分发镜像的能力,包括镜像的索引、搜索、登录认证等。
如何在Linux部署Docker Registry本地镜像并实现无公网IP远程连接
等风来
03-14 4107
上面我们安装成功了Docker Registry本地镜像,下面我们在Linux安装cpolar内网穿透工具,通过cpolar 转发本地端口映射的http公网地址,我们可以很容易实现远程连接,而无需自己注册域名购买云服务器.下面是安装cpolar步骤。使用官网安装方式,docker命令一键启动,该命令启动一个registry的容器,版本是2,挂载宿主机端口是5000端口,挂载后,5000端口就是我们连接镜像仓的本地端口。协议名称不需要输入,可以看到,推送成功了,这样一个公网地址远程连接就设置好了!
本地docker镜像仓 registry:2 镜像
04-26
当没有第三方docker,可以使用registry 生成一个本地的docker 使用docker load < registry.tar 导入镜像
docker 查询或获取私有仓(registry)中的镜像的方法
01-20
docker 查询或获取私有仓(registry)中的镜像,使用 docker search 192.168.1.8:5000 命令经测试不好使。 解决: 1、获取仓类的镜像: [root@shanghai docker]# curl -XGEThttp://192.168.1.8:5000/v2/_...
DockerDocker Registry(镜像仓)
大三小白C++进阶之路
02-04 9151
docker镜像仓的详细讲解
Docker安装 docker-registry 镜像仓
cqconelin的专栏
04-12 555
2、上传一个.jar包及Dockerfile文件。三、测试k8s从仓拉取镜像生成Pod。4、等待构建完成,查看生成的本地镜像。6、等待推送完成,查看仓镜像资源。1、修改k8s.yaml中镜像地址。2、使用kubectl生成pod。3、执行构建镜像命令。7、查看镜像的tag。3、查看生成的pod。
本地 Docker Registry安装与使用
weixin_44777680的博客
07-02 1405
v:把宿主机的/data/registry目录绑定到容器/var/lib/registry目录(这个目录是registry容器中存放镜像文件的目录),来实现数据的持久化;如果要在其它装了 docker 的电脑上获取这个镜像, 或者下载局域网其它 registry 服务器上的镜像,直接使用http是不被允许。unless-stopped:在容器退出时总是重启容器,但是不考虑在Docker守护进程启动时就已经停止了的容器。on- failure:3 :在容器非正常退出时重启容器,最多重启3次。
搭建 Docker Registry
weixin_58159207的博客
08-23 856
将本地5000端口映射给容器内的5000端口(Docker Registry默认端口),本地端口可以自定义,只要是空闲的端口即可。:镜像名,不加tag,默认拉取latest,如果本地不存在,启动容器前,会自动拉取。docker命令中,冒号前面的为本地路径或端口,冒号后面的为容器内部的路径或端口。:将本地目录映射到容器内的/var/lib/registry目录。查看镜像,可以看到我们上传的 centos 7 这个镜像了。给镜像打上 Docker Registry 的仓标签。查看镜像包含的tag。
Docker 安装与配置 Docker Registry 指南
fydw_715的博客
08-21 2753
本文详细介绍了如何安装 Docker 并配置 Docker Registry。首先,通过解压和执行安装脚本成功安装 Docker,并加载和标记了所需的镜像。接着,创建并配置 Docker Registry 的配置文件 config.yml,运行 Docker Registry 容器,并确保其正常运行。随后,编辑 Docker Daemon 配置文件以支持私有注册表,并重启 Docker 服务。最后,成功从私有注册表拉取镜像,并将镜像推送到本地私有注册表,确保镜像在私有注册表中可用。整个过程涵盖了镜像加载、容
docker registry转移及https启动
椰汁菠萝
07-16 930
一、docker registry私有仓搭建 docker肯定是必备环境 docker run -d -p 5000:5000 registry 该命令会到docker hup上拉取最新registry镜像启动,映射端口为5000 访问:http://localhost:5000/v2/_catalog 查看镜像里有哪些镜像,刚启动当然是空的,这样一个简单的私有仓就搭建好了 二、上传镜像 docker tag registry 127.0.0.1:5000/registry docker push
Dockerregistry安装部署
u013295690的博客
09-10 2326
Dockerregistry安装部署 1、安装docker ……此处省略…… 2、拉取registry镜像 [root@registry ~]# docker pull registry Using default tag: latest latest: Pulling from library/registry 6a428f9f83b0: Pull complete 90cad49de35d: Pull complete b215d0b40846: Pull complete 429305b6c1
python中item和items函数的用法
12-08
在Python中,`item`和`items`通常用于字典(dictionary)对象,用于访问和操作字典中的键值对。以下是它们的用法和区别: 1. **`items()` 方法**: - `items()` 方法返回一个包含字典中所有键值对的视图对象。这个视图对象会随着字典的变化而变化。 - 返回的视图对象包含的是键值对的元组。 ```python # 示例代码 my_dict = {'a': 1, 'b': 2, 'c': 3} items = my_dict.items() print(items) # 输出: dict_items([('a', 1), ('b', 2), ('c', 3)]) # 遍历字典的键值对 for key, value in my_dict.items(): print(f'Key: {key}, Value: {value}') ``` 2. **`item` 方法**: - `item` 不是Python字典的内置方法。通常情况下,`item` 是指单个键值对,而不是一个方法。 - 如果你在某些代码中看到 `item`,它可能是指字典中的某个特定的键值对,而不是一个方法。 ```python # 示例代码 my_dict = {'a': 1, 'b': 2, 'c': 3} for item in my_dict.items(): print(f'Item: {item}') ``` 在这个例子中,`item` 实际上是一个元组,包含一个键值对。 总结: - `items()` 是字典的一个方法,用于获取所有的键值对。 - `item` 通常不是一个方法,而是指字典中的单个键值对。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值