• 私有仓库高级配置
    • 准备站点证书
    • 配置私有仓库
    • 生成 http 认证文件
    • 编辑 docker-compose.yml
    • 修改 hosts
    • 启动
    • 测试私有仓库功能
    • 注意事项

    私有仓库高级配置

    上一节我们搭建了一个具有基础功能的私有仓库,本小节我们来使用 Docker Compose 搭建一个拥有权限认证、TLS 的私有仓库。

    新建一个文件夹,以下步骤均在该文件夹中进行。

    准备站点证书

    如果你拥有一个域名,国内各大云服务商均提供免费的站点证书。你也可以使用 openssl 自行签发证书。

    这里假设我们将要搭建的私有仓库地址为 docker.domain.com,下面我们介绍使用 openssl 自行签发 docker.domain.com 的站点 SSL 证书。

    第一步创建 CA 私钥。

    1. $ openssl genrsa -out "root-ca.key" 4096

    第二步利用私钥创建 CA 根证书请求文件。

    1. $ openssl req \
    2. -new -key "root-ca.key" \
    3. -out "root-ca.csr" -sha256 \
    4. -subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=Your Company Name Docker Registry CA'

    以上命令中 -subj 参数里的 /C 表示国家,如 CN/ST 表示省;/L 表示城市或者地区;/O 表示组织名;/CN 通用名称。

    第三步配置 CA 根证书,新建 root-ca.cnf

    1. [root_ca]
    2. basicConstraints = critical,CA:TRUE,pathlen:1
    3. keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
    4. subjectKeyIdentifier=hash

    第四步签发根证书。

    1. $ openssl x509 -req -days 3650 -in "root-ca.csr" \
    2. -signkey "root-ca.key" -sha256 -out "root-ca.crt" \
    3. -extfile "root-ca.cnf" -extensions \
    4. root_ca

    第五步生成站点 SSL 私钥。

    1. $ openssl genrsa -out "docker.domain.com.key" 4096

    第六步使用私钥生成证书请求文件。

    1. $ openssl req -new -key "docker.domain.com.key" -out "site.csr" -sha256 \
    2. -subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=docker.domain.com'

    第七步配置证书,新建 site.cnf 文件。

    1. [server]
    2. authorityKeyIdentifier=keyid,issuer
    3. basicConstraints = critical,CA:FALSE
    4. extendedKeyUsage=serverAuth
    5. keyUsage = critical, digitalSignature, keyEncipherment
    6. subjectAltName = DNS:docker.domain.com, IP:127.0.0.1
    7. subjectKeyIdentifier=hash

    第八步签署站点 SSL 证书。

    1. $ openssl x509 -req -days 750 -in "site.csr" -sha256 \
    2. -CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial \
    3. -out "docker.domain.com.crt" -extfile "site.cnf" -extensions server

    这样已经拥有了 docker.domain.com 的网站 SSL 私钥 docker.domain.com.key 和 SSL 证书 docker.domain.com.crt 及 CA 根证书 root-ca.crt

    新建 ssl 文件夹并将 docker.domain.com.key docker.domain.com.crt root-ca.crt 这三个文件移入,删除其他文件。

    配置私有仓库

    私有仓库默认的配置文件位于 /etc/docker/registry/config.yml,我们先在本地编辑 config.yml,之后挂载到容器中。

    1. version: 0.1
    2. log:
    3. accesslog:
    4. disabled: true
    5. level: debug
    6. formatter: text
    7. fields:
    8. service: registry
    9. environment: staging
    10. storage:
    11. delete:
    12. enabled: true
    13. cache:
    14. blobdescriptor: inmemory
    15. filesystem:
    16. rootdirectory: /var/lib/registry
    17. auth:
    18. htpasswd:
    19. realm: basic-realm
    20. path: /etc/docker/registry/auth/nginx.htpasswd
    21. http:
    22. addr: :443
    23. host: https://docker.domain.com
    24. headers:
    25. X-Content-Type-Options: [nosniff]
    26. http2:
    27. disabled: false
    28. tls:
    29. certificate: /etc/docker/registry/ssl/docker.domain.com.crt
    30. key: /etc/docker/registry/ssl/docker.domain.com.key
    31. health:
    32. storagedriver:
    33. enabled: true
    34. interval: 10s
    35. threshold: 3

    生成 http 认证文件

    1. $ mkdir auth
    2. $ docker run --rm \
    3. --entrypoint htpasswd \
    4. registry \
    5. -Bbn username password > auth/nginx.htpasswd

    将上面的 username password 替换为你自己的用户名和密码。

    编辑 docker-compose.yml

    1. version: '3'
    2. services:
    3. registry:
    4. image: registry
    5. ports:
    6. - "443:443"
    7. volumes:
    8. - ./:/etc/docker/registry
    9. - registry-data:/var/lib/registry
    10. volumes:
    11. registry-data:

    修改 hosts

    编辑 /etc/hosts

    1. 127.0.0.1 docker.domain.com

    启动

    1. $ docker-compose up -d

    这样我们就搭建好了一个具有权限认证、TLS 的私有仓库,接下来我们测试其功能是否正常。

    测试私有仓库功能

    由于自行签发的 CA 根证书不被系统信任,所以我们需要将 CA 根证书 ssl/root-ca.crt 移入 /etc/docker/certs.d/docker.domain.com 文件夹中。

    1. $ sudo mkdir -p /etc/docker/certs.d/docker.domain.com
    2. $ sudo cp ssl/root-ca.crt /etc/docker/certs.d/docker.domain.com/ca.crt

    登录到私有仓库。

    1. $ docker login docker.domain.com

    尝试推送、拉取镜像。

    1. $ docker pull ubuntu:18.04
    2. $ docker tag ubuntu:18.04 docker.domain.com/username/ubuntu:18.04
    3. $ docker push docker.domain.com/username/ubuntu:18.04
    4. $ docker image rm docker.domain.com/username/ubuntu:18.04
    5. $ docker pull docker.domain.com/username/ubuntu:18.04

    如果我们退出登录,尝试推送镜像。

    1. $ docker logout docker.domain.com
    2. $ docker push docker.domain.com/username/ubuntu:18.04
    3. no basic auth credentials

    发现会提示没有登录,不能将镜像推送到私有仓库中。

    注意事项

    如果你本机占用了 443 端口,你可以配置 Nginx 代理,这里不再赘述。