501. 【registry】docker-私有仓库实现https-访问

最新推荐文章于 2025-04-07 23:38:27 发布
原创 最新推荐文章于 2025-04-07 23:38:27 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #https #运维

本文介绍了如何通过生成证书来优化Docker私有仓库,消除使用`--insecure-registry`的需要。步骤包括生成CA根证书和registry证书,配置systemd环境变量,以及在客户端安装证书。此外,还解决了docker-registry-frontend的CORS跨域错误,通过在容器内添加域名到hosts文件实现正常访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上一篇,我们已经成功通过 registry 搭建了一个 docker 私有仓库,但仔细点我们会发现,在拉取和推送镜像时,需要附加 --insecure-registry参数,很不方便,这次来优化一下这块。

一、生成证书

  1. 生成 CA 根证书
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=<YOUR IP>" -days 36500 -out ca.crt
  1. 生成registry ca 证书
cat > domain_ssl.cnf <<EOF
[ req ]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[ req_distinguished_name ]

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = <YOUR HOSTNAME>
IP.1 = <YOUR IP>
EOF
  • DNS.1 写成 registry 的访问域名
  • IP.1 写成 registry 所在的机器的IP
  1. 生成 key 和 crt
openssl genrsa -out domain.key 2048

openssl req -new -key domain.key -config etcd_ssl.cnf -subj "/CN=etcd-server" -out domain.csr

openssl x509 -req -in domain.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 36500 -extensions v3_req -extfile domain_ssl.cnf -out domain.crt
  1. domain.crtdomain.key复制到 /etc/docker/registry/certs/目录

二、配置systemd环境变量

systemctl edit registryd

文件内容如下:

[Service]
Environment="REGISTRY_HTTP_TLS_CERTIFICATE=/etc/docker/registry/certs/domain.crt"
Environment="REGISTRY_HTTP_TLS_KEY=/etc/docker/registry/certs/domain.key"

重启并查看服务状态:

[root@qijing0 ~]#  systemctl restart registryd && systemctl status registryd  
● registryd.service - private registry
   Loaded: loaded (/usr/lib/systemd/system/registryd.service; enabled; vendor preset: disabled)
  Drop-In: /etc/systemd/system/registryd.service.d
           └─override.conf
   Active: active (running) since Mon 2022-11-21 23:08:20 EST; 8ms ago
     Docs: https://github.com/distribution/distribution# readme
 Main PID: 15662 (registry)
    Tasks: 5
   Memory: 6.5M
   CGroup: /system.slice/registryd.service
           └─15662 /usr/bin/registry serve /etc/docker/registry/config.yml

Nov 21 23:08:20 qijing0 systemd[1]: Started private registry.

三、在客户端机器安装证书

复制 domain.crt/etc/containerd/certs.d/domain/目录下。
并重启 containerd

四、验证

推送镜像验证:

[root@k8s0 server]#  nerdctl push domain/test-server:0.0.5
INFO[0000] pushing as a reduced-platform image (application/vnd.docker.distribution.manifest.v2+json, sha256:e0f152bb79f22dcbaaf4429cf8bc3cff75d831a5bee8042acf018560f5900586) 
manifest-sha256:e0f152bb79f22dcbaaf4429cf8bc3cff75d831a5bee8042acf018560f5900586: done           |++++++++++++++++++++++++++++++++++++++| 
config-sha256:cf3c9b089da1f8120c9ee912752dd14d56d7ef769d81d6a81423dea7324a3e5b:   done           |++++++++++++++++++++++++++++++++++++++| 
elapsed: 0.1 s                                                                    total:  6.4 Ki (63.3 KiB/s)

  • 可以看到现在能正常推送镜像了

拉取镜像验证:

[root@k8s1 tmp]#  nerdctl pull registry.domain.cn/test-server:0.0.5
registry.domain.cn/test-server:0.0.5:                                          resolved       |++++++++++++++++++++++++++++++++++++++| 
manifest-sha256:e0f152bb79f22dcbaaf4429cf8bc3cff75d831a5bee8042acf018560f5900586: done           |++++++++++++++++++++++++++++++++++++++| 
config-sha256:cf3c9b089da1f8120c9ee912752dd14d56d7ef769d81d6a81423dea7324a3e5b:   done           |++++++++++++++++++++++++++++++++++++++| 
elapsed: 0.1 s                                                                    total:   0.0 B (0.0 B/s)                                         
[root@k8s1 tmp]#  date
Tue Nov 22 13:54:41 CST 2022

  • 可以看到现在能正常拉取镜像了

【附加1】、安装 konradkleine/docker-registry-frontend:v2用户界面

上一节安装的是joxit/docker-registry-ui,没升级成https之前还蛮好使用的,升级之后,就一直报 CORS 跨域错误,折腾了会,还是决定换一个用户界面程序,来支持 https:

docker run \
  -d \
  -e ENV_DOCKER_REGISTRY_HOST=registry.domain.cn \
  -e ENV_DOCKER_REGISTRY_PORT=443 \
  -e ENV_DOCKER_REGISTRY_USE_SSL=1 \
  -p 5001:80 \
  konradkleine/docker-registry-frontend:v2

安装完之后,也不是一帆风顺,刚开始也获取不到镜像列表,我从浏览器访问,按f12之后,发现解析不了域名,于是手动进入容器内部,在 /etc/hosts中添加了域名:

[root@qijing0 ~]#  docker exec -it 6d /bin/bash
root@6d48c37a52c5:/#  cat >>/etc/hosts<<EOF
> 192.168.3.1 registry.domain.cn
> EOF

ok!,现在可以了,通过浏览器能顺利访问到镜像列表了,足够了。
用户界面首页
镜像列表

搭建一个支持HTTPS的私有DOCKER Registry
xcjing的博客
04-19 1万+
搭建一个支持HTTP的私有DOCKER Registry 可参考文章: http://blog.csdn.net/fgf00/article/details/52040492 测试可以用HTTP访问一下: http://IP:PORT/v2/ 如果要搭建一个支持HTTPS的私有DOCKER Registry,可参考文章: http://www.cnblogs.co
Docker--私有仓库
weixin_54132204的博客
07-13 735
docker
五、Docker仓库之httpsregistry搭建(二)
margu_168的博客
05-25 1983
新建 /root/registry/ssl文件夹并将 docker.domain.com.key docker.domain.com.crt root-ca.crt 这三个文件移入,其他文件也可以移进去。由于自行签发的 CA 根证书不被系统信任,所以我们需要将 CA 根证书 ssl/root-ca.crt 移入 /etc/docker/certs.d/docker.margu.com 文件夹中。这样我们就搭建好了一个具有权限认证、TLS 的私有仓库,接下来我们测试其功能是否正常。web界面登录也是正常的。
Dockerfile Registry 配置HTTPS服务
键盘上流淌的日子
11-13 2758
  某些场景下,为了保证私有仓库的安全,可能会期望将Docker Registry基于HTTPS协议开放。   1) 通过docker search搜索registry镜像。 docker search registry   2) 拉取registry最新镜像。 docker pull registry   3) 查看镜像信息。 docker images   4) 使用OpenSSL创建证书文件。   ① 确认OpenSSL是否已安装。 openssl version   ② 若为安装,
Docker Registry Server 搭建,配置免费HTTPS证书,及拥有权限认证、TLS 的私有仓库
weixin_34075268的博客
01-05 543
上一篇文章搭建了一个具有基础功能的私有仓库,这次来搭建一个拥有权限认证、TLS 的私有仓库。 环境准备 系统:Ubuntu 17.04 x64 IP:198.13.48.154 域名:hub.ymq.io,此域名需要dns 解析到198.13.48.154 作为私有仓库地址 本文出现的所有:hub.ymq.io 域名。使用时候请替换成自己的域名 Docker 环境 在部署私有仓库之前,需要在主...
docker-distribution-2.6.2-2.git48294d9.el7.x64-86.rpm.tar.gz
01-23
Docker Distribution是Docker公司推出的一个工具,用于分发Docker镜像到各个仓库,可以独立运行,也可以作为Docker Registry的一部分。Docker Distribution的设计目标是为了实现镜像的推送和拉取,以及镜像仓库的...
docker-registry-0.9.1-7.el7.x64-86.rpm.tar.gz
01-23
Docker RegistryDocker的官方镜像仓库软件,用于存储和分发Docker镜像。版本0.9.1是该软件的早期版本之一,而0.9.1-7.el7指的是适用于Red Hat Enterprise Linux版本7(RHEL7)的软件包版本。本压缩包提供了安装该...
小阿轩yx-Docker Compose与私有仓库部署
2401_83435725的博客
08-12 1080
小阿轩yx-Docker Compose 与私有仓库部署
银河麒麟Docker仓库registry管理界面docker-registry-ui
04-24
银河麒麟操作系统上的Docker仓库管理界面docker-registry-ui,是一项专门为Docker镜像仓库提供可视化管理功能的应用程序。Docker作为一种容器化技术,广泛应用于应用程序的打包、分发、运行和管理。通过Docker ...
docker-registry:这是“已弃用”! 请转到https
05-19
警告 注意:不推荐使用经典的python“ Docker Registry”,而是采用新的golang实现。 这是出于历史目的保留的,不会再收到任何重大的工作或爱戴了。 您应该转到或。 Docker注册表 关于本文件 随着文档随着注册表版本的不同而发展,请确保在进一步阅读之前: 检查您正在运行的注册表版本 切换到相应的标签以访问与您的产品版本匹配的自述文件 稳定的发行版本是。 在报告错误之前,请也快速浏览一下 。 目录 搜索引擎选项sqlalchemy的 镜像选项 缓存选项 储存选项 储存档案永久储存 储存S3 您自己的配置 进阶使用 车手 对于开发人员 快速开始 最快的运行方式: 安装泊坞窗 运行注册表: docker run -p 5000:5000 registry 它将使用Docker集线器中的官方映像。 这是一个稍微复杂一点的示例,该示例在端口5000上启动注册表,
搭建docker registry私服,并且支持https推送
qq_45003354的博客
04-07 754
docker registry私服搭建,并且支持https推送
[容器]docker registry安装 https
毛台
04-08 1244
1,安装registry yum install httpd-tools -y docker run -d --name docker-registry -v /opt/registry:/tmp/registry-dev registry:2  mkdir /opt/registry cd /opt/registry openssl req -x509 -days 3650 -no
docker registry仓库转移及https启动
椰汁菠萝
07-16 964
一、docker registry私有仓库搭建 docker肯定是必备环境 docker run -d -p 5000:5000 registry 该命令会到docker hup上拉取最新registry镜像启动,映射端口为5000 访问:http://localhost:5000/v2/_catalog 查看镜像库里有哪些镜像,刚启动当然是空的,这样一个简单的私有仓库就搭建好了 二、上传镜像 docker tag registry 127.0.0.1:5000/registry docker push
registry私有仓库启动https
idu的博客
07-06 560
私有仓库启动https
搭建带httpsdocker 私有镜像仓库(registry)
stefan1240的专栏
12-09 3563
前言: 需要在阿里云服务器上搭建自己的私有docker镜像仓库,1)、pull和push时需要登录才能操作;2)、传输通过https保证安全性;下面把操作步骤进行了记录。 一、pull registry镜像 执行命令: docker pull registry:2 二、创建账号和密码,并且通过docker加密 1、创建几个文件夹,用于启动容器的时候挂载上去 mkdir -p /data/docker-registry/ cd /data/docker-registry &...
配置Insecure Docker Registry支持http请求 (更改默认的https请求)
scruffybear的专栏
10-17 3321
本文记录了如何配置`Insecure http docker registry`,也就是使用`http`请求 (更改默认的https请求)`Docker Registry`仓库。
docker 20.10 局域网自建registryhttps访问
qq_23123417的专栏
09-19 190
docker registry 在内网的部署方法,用于https push/pull
docker私有仓库nexus做https
weixin_33712987的博客
06-15 1177
背景 开启 HTTPS 方式大概分为两种,一种为Nexus 服务本身开启代理,另外一种使用 Nginx 进行反向代理实现 HTTPS, 由于我使用的方式是使用 Docker 进行的Nexus 的配置, 故使用第二种方式 Nginx反向代理实现各个仓库的 HTTPS。 操作 一、制作自签证书 使用https://github.com/Fishdrowned/ssl,使用脚本自动生成需要的域名...
kubectl create secret docker-registry aliyun-registry-secret \ --docker-server=registry.crpi-itsb0fkqsy8d4os4.cn-hangzhou.personal.cr.aliyuncs.com \ --docker-username=aliyun8818908452 \ --docker-password=qy2wsx@WSX \ -n iot-system error: exactly one NAME is required, got 5 See 'kubectl create secret docker-registry -h' for help and examples [root@k8s-master ~]#
最新发布
07-12
<think>我们正在解决的是使用`kubectl create secret docker-registry`命令时出现参数错误的问题。 根据引用[1]和引用[2]中的示例,正确的命令格式应该是: kubectl create secret docker-registry <secret-name> \ --docker-server=<your-registry-server> \ --docker-username=<your-username> \ --docker-password=<your-password> \ [--docker-email=<your-email>] # 注意:docker-email现在不是必须的,但某些旧版本可能需要 用户提供的错误示例(引用[1]): kubectl create secret docker-registry regcred --docker-server=192.1667.119 --8.40.204 --docker-username=leetest --docker-password=xxxxxxx 这个命令有几个明显的问题: 1. `--docker-server`参数后面跟着一个IP地址,但紧接着又出现了一个`--8.40.204`,这显然不是一个合法的参数。 2. 参数之间应该用空格分隔,且每个参数前面都有两个短横线(--)。 因此,我们需要检查命令的格式是否正确,确保每个参数都是完整的,并且值正确。 解决方法步骤: 1. **检查参数格式**: 确保每个参数都是以`--`开头,并且参数名和值之间用空格分隔(或者用等号连接,如`--docker-server=192.166.119.8:204`也是允许的)。 错误示例中出现了`--8.40.204`,这可能是用户试图将两个IP地址合并或者写错了。正确的`--docker-server`应该是一个完整的域名或IP(可能包含端口),例如: --docker-server=192.166.119.8:204 或者 --docker-server=registry.example.com 2. **确保IP地址和端口的正确性**: IP地址的每个部分必须在0到255之间,而示例中的`192.1667.119`是不合法的(因为1667超过了255)。同样,端口号必须是有效的(0-65535)。 3. **检查参数顺序**: 命令的参数顺序并不重要,但是每个参数必须完整。注意,`kubectl`命令要求参数的正确性,不能出现无法识别的参数。 4. **使用等号赋值(可选)**: 为了避免参数值中包含空格导致的问题,可以使用等号将参数名和值连接起来,例如: --docker-server=192.166.119.8:204 5. **检查是否缺少必要参数**: 创建docker-registry类型的secret,必须的参数有:`--docker-server`, `--docker-username`, `--docker-password`。`--docker-email`在较新版本的Kubernetes中已经不是必须的。 6. **验证命令**: 在输入命令后,如果出现错误,Kubernetes会给出错误提示。根据提示进行修正。 7. **使用帮助命令**: 如果不确定命令的用法,可以使用: kubectl create secret docker-registry --help 根据上述分析,用户示例命令应修正为: kubectl create secret docker-registry regcred \ --docker-server=192.166.119.8:204 \ --docker-username=leetest \ --docker-password=xxxxxxx 注意:这里假设IP地址192.166.119.8和端口204是正确的,并且该地址是Docker registry的地址。 如果用户使用的是私有仓库,可能还需要注意仓库是否使用TLS,如果使用自签名证书,可能需要额外配置。 另外,引用[3]提到,也可以使用`docker login`命令先登录,然后使用`kubectl create secret generic`基于`~/.docker/config.json`文件创建secret,这种方法可以避免在命令行中暴露密码。 因此,另一种解决方案是: 步骤1:使用docker login登录到私有仓库 docker login 192.166.119.8:204 -u leetest -p xxxxxxx 步骤2:创建secret,使用生成的配置文件 kubectl create secret generic regcred \ --from-file=.dockerconfigjson=/root/.docker/config.json \ --type=kubernetes.io/dockerconfigjson 这种方法更安全,且避免了在命令行中直接写密码(因为docker login会交互式输入密码,但这里用-p参数仍然会在history中留下记录,所以更安全的是不加-p,然后手动输入密码)。 总结:参数错误通常是由于格式不正确或参数值不合法造成的,按照上述步骤检查和修正即可。 如果问题仍然存在,请检查kubectl版本,并查看官方文档。 生成相关问题:</think>### 解决 `kubectl create secret docker-registry` 参数错误的方法 #### 🔍 错误原因分析 根据引用[1]中的错误示例: ```bash kubectl create secret docker-registry regcred \ --docker-server=192.1667.119 --8.40.204 \ # ⚠️ 非法格式 --docker-username=leetest \ --docker-password=xxxxxxx ``` 主要问题: 1. **IP地址格式错误**:`192.1667.119` 包含无效数字(1667 > 255) 2. **参数语法错误**:`--8.40.204` 不是合法参数(参数必须以 `--` 开头后接字母) 3. **缺少必要参数**:未指定完整的 registry 地址和端口 #### ✅ 正确解决步骤 1. **验证 Docker 仓库地址格式** - 标准格式:`<协议>://<域名或IP>:<端口>` - 合法示例: ```bash # 公网仓库 --docker-server=https://registry.cn-hangzhou.aliyuncs.com # 内网私有仓库 --docker-server=http://192.168.1.100:5000 # 注意IP范围(0-255) ``` 2. **完整参数修正示例** ```bash kubectl create secret docker-registry regcred \ --docker-server=https://192.168.1.100:5000 \ # ✅ 完整地址 --docker-username=your_username \ # ✅ 用户名 --docker-password='your_password' \ # ✅ 密码(特殊字符需引号) --docker-email=user@example.com \ # 可选但推荐 -n your-namespace # 指定命名空间 ``` 3. **关键参数说明** | 参数 | 要求 | 示例 | |------|------|------| | `--docker-server` | 完整仓库地址 | `https://registry.example.com` | | `--docker-username` | 仓库认证用户名 | `admin` | | `--docker-password` | 密码(含特殊字符时用单引号) | `'P@ssw0rd!#'` | | `--docker-email` | 邮箱(部分仓库需要) | `user@domain.com` | 4. **验证创建的 Secret** ```bash # 查看 secret 详情 kubectl get secret regcred -o yaml # 检查 base64 解码内容 echo "XXXXX" | base64 --decode # 替换XXXXX为实际值 ``` #### ⚠️ 常见错误排查 1. **IP地址范围错误** - ❌ `192.400.1.1` → ✅ `192.168.1.1` - 每个数字必须在 **0-255** 范围内 2. **特殊字符处理** - 密码含 `$`、`!` 等字符时需用单引号: ```bash --docker-password='P@$$w0rd!' ``` 3. **协议缺失** - ❌ `registry.example.com` → ✅ `https://registry.example.com` 4. **端口冲突** - 确保端口未被占用:`netstat -tuln | grep 5000` #### 💡 替代方案(避免参数错误) 通过配置文件创建(引用[2][3]): ```bash # 1. 先登录 Docker docker login registry.example.com -u username -p password # 2.Docker 配置生成 secret kubectl create secret generic regcred \ --from-file=.dockerconfigjson=$HOME/.docker/config.json \ --type=kubernetes.io/dockerconfigjson ``` > 此方法避免命令行参数错误,且密码不会出现在命令历史中[^2][^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值