linux7-docker私有仓库nginx秘钥验证搭

这是一个企业使用的docker私有仓库搭建方法
通过nginx CA密钥对验证提高安全性。
保证数据不丢失,提供仓库容器外部存储 
首先安装docker和nginx的支持包,ssl秘钥验证等
 docker用yum安装即可 
nginx 支持吧 秘钥等也用yum相关包是
 yum -y install pcre-devel zlib-devel openssl openssl-devel
秘钥对需要解析域名验证所以需要做DNS懒得做直接修改hosts文件
vim /etc/hosts
192.168.1.0                 www.gao.com
完成 
--------------------------------------------------------------秘钥生成使用制作
cd /etc/pki/CA
openssl genrsa -out private/cakey.pem 2048    本机CA
 openssl req -new -x509 -key private/cakey.pem -out cacert.pem    证书
 为了nginx制作证书
mkdir ssl 
cd ssl
openssl genrsa -out nginx.key 2048
openssl req -new -key nginx.key -out nginx.csr 请求文件
创建两个空文件用来收证书
touch /etc/pki/CA/index.txt    创建在CA下!
touch serial          创建在CA下!
echo 00 > serial
--------------------------------------------------------------秘钥都OK
开始安装nginx---------------------------------------
groupadd www -g 58
useradd -u 58 -g www www
解压缩nginx   进去配置安装
./configure

--user=USER 设定程序运行的用户环境(www)

--group=GROUP 设定程序运行的组环境(www)

--prefix=PATH 设定安装目录

--with-pcre启用pcre库,Nginx的Rewrite模块和HTTP核心模块会使用到PCRE正则表达式

--with-http_stub_status_module 是为了启用 nginx 的 NginxStatus 功能,用来监控 Nginx 的当前状态

--with-http_ssl_module                     开启SSL模块,支持使用HTTPS协议的网页

--with-http_realip_module                开启Real IP的支持,该模块用于从客户请求的头数据中读取Real Ip地址

--with-http_addition_module           开启Addtion模块,该模块允许你追加或前置数据到相应的主体部分

--with-http_flv_module模块ngx_http_flv_module 为Flash Video(FLV)文件提供服务端伪流媒体支持
然后编辑nginx主配文件,直接可以复制这段进去
 user  www;

worker_processes  4;

events {

worker_connections  4096;

}

http {

include  mime.types;

default_type  application/octet-stream;

sendfile        on;

keepalive_timeout  65;

upstream registry {

server  192.168.1.107:5000;

}

server {

listen       443 ssl;

server_name  docker.benet.com;

ssl_certificate  /etc/pki/CA/ssl/nginx.crt;

ssl_certificate_key  /etc/pki/CA/ssl/nginx.key;

ssl_session_cache    shared:SSL:1m;

ssl_session_timeout  5m;

ssl_ciphers  HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers  on;

location  /  {

proxy_pass  http://registry;

client_max_body_size    3000m;

proxy_set_header  Host  $host;

proxy_set_header  X-Forward-For  $remote_addr;

}

}

}

相关选项含义:

ssl_session_cache会话缓存用于保存SSL会话,这些缓存在工作进程间共享,可以使用ssl_session_cache指令进行配置。1M缓存可以存放大约4000个会话。

ssl_session_timeout缓存超时,默认的缓存超时是5分钟。

ssl_ciphers  HIGH:!aNULL:!MD5使用高强度的加密算法

ssl_prefer_server_ciphers  on依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码。即:在SSLv3或这是TLSv1握手时选择一个密码,通常是使用客户端的偏好。如果这个指令是启用的,那么服务器反而是使用服务器的偏好。

client_max_body_size即允许上传文件大小的最大值

proxy_set_header Host $host和proxy_set_header X-Forward-For $remote_addr的作用描述:

nginx为了实现反向代理的需求而增加了一个ngx_http_proxy_module模块。其中proxy_set_header指令就是该模块需要读取的配置文件。在这里,所有设置的值的含义和http请求同中的含义完全相同,除了Host外还有X-Forward-For。

Host的含义是表明请求的主机名,因为nginx作为反向代理使用,而如果后端真实的服务器设置有类似防盗链或者根据http请求头中的host字段来进行路由或判断功能的话,如果反向代理层的nginx不重写请求头中的host字段,将会导致请求失败【默认反向代理服务器会向后端真实服务器发送请求,并且请求头中的host字段应为proxy_pass指令设置的服务器】。

同理,X_Forward_For字段表示该条http请求是有谁发起的?如果反向代理服务器不重写该请求头的话,那么后端真实服务器在处理时会认为所有的请求都来自反向代理服务器,如果后端有防攻击策略的话,那么机器就被封掉了。因此,在配置用作反向代理的nginx中一般会增加两条配置,修改http的请求头:

proxy_set_header Host $host;

proxy_set_header X-Forward-For $remote_addr;

这里的$host和$remote_addr都是nginx的导出变量,可以再配置文件中直接使用。
 /opt/nginx/sbin/nginx  开启服务

-----------------------------------------------------------------------------------------------------------------------nginx完成
-------------------------------------------------------------------------------------------------------------------开搞docker私有仓库 
编辑/etc/sysconfig/docke

DOCKER_OPTS="--insecure-registry docker.benet.com --tlsverify --tlscacert /etc/pki/CA/cacert.pem"  添加进去

把根证书复制到/etc/docker/certs.d/docker.yy.com/目录下

mkdir -p /etc/docker/certs.d/docker.benet.com

cp /etc/pki/CA/cacert.pem /etc/docker/certs.d/docker.benet.com/ca-certificates.crt

官方私有仓库是registry镜像 直接拉取 
给后面的私有仓库容器创建一个地址用来存放以后自己的长久镜像
启动镜像创建容器
docker run -d -p 5000:5000 -v /gao:/tmp/registry docker.io/registry:latest 
-p 本地端口5000 对应容器5000 -v 吧本地映射到容器中,防止数据丢失
登录网页 https://自己的域名   出现"\"docker-registry server\""   就是成功
https端口是443 tcp 记得防火墙开例外~~~
-----------------------------------------------------------------------------docker client配置
首先hosts指向docker IP   
登录https://对方域名成功即可
自己安装docker
然后创建一个镜像
镜像名字格式
docker.gao.com/gao:gao1
首先仓库域名/仓库名字自定义:镜像名字自定义
docker tag 现有的镜像     自定义的镜像名
将docker公钥拷贝
导入到 /etc/pki/tls/certs/ca-certificates.crt 名字必须一样
创建私有仓库账号
docker login https://域名
docker push  上传
docker pull   下载

时间: 2024-11-05 00:06:07

linux7-docker私有仓库nginx秘钥验证搭的相关文章

Docker私有仓库Registry的搭建验证

1. 关于Registry 官方的Docker hub是一个用于管理公共镜像的好地方,我们可以在上面找到我们想要的镜像,也可以把我们自己的镜像推送上去.但是,有时候,我们的使用场景需要我们拥有一个私有的镜像仓库用于管理我们自己的镜像.这个可以通过开源软件Registry来达成目的. Registry在github上有两份代码:老代码库和新代码库.老代码是采用python编写的,存在pull和push的性能问题,出到0.9.1版本之后就标志为deprecated,不再继续开发.从2.0版本开始就到

Docker私有仓库部署和管理

Docker私有仓库部署和管理 本章结构: Harbor介绍 部署Harbor所依赖的Docker Compose服务 部署Harbor服务 Harbor日常操作管理 Harbor管理生命周期 Harbor介绍 Harbor是VMware公司开源的企业级Docker Registry项目 Harbor的优势 基于角色控制 基于镜像的复制策略 支持LDAP目录服务/AD域服务 图像删除和垃圾收集 图形UI(可以访问Web界面) 审计 RESTful API Harbor架构组成 Proxy: 通过

docker私有仓库(认证功能)

搭建docker私有仓库,带认证功能,记录如下: 1.创建对应的目录 mkdir -p /data/registry/ && cd /data/registry/ && mkdir auth certs 2.创建密码文件 cd /data/registry/ docker run --entrypoint htpasswd daocloud.io/registry:2.2 -Bbn ttxsgoto ttxsgoto > auth/htpasswd 3.生成签名证书

教你分分钟搞定Docker私有仓库Registry

一.什么是Docker私有仓库Registry 官方的Docker hub是一个用于管理公共镜像的好地方,我们可以在上面找到我们想要的镜像,也可以把我们自己的镜像推送上去.但是,有时候我们的服务器无法访问互联网,或者你不希望将自己的镜像放到公网当中,那么你就需要Docker Registry,它可以用来存储和管理自己的镜像. 二.安装Docker及Registry 安装Docker见之前博文: http://www.cnblogs.com/Javame/p/5492543.html 安装Regi

kubernetes下载docker私有仓库镜像

环境说明 docker仓库未认证地址:192.168.10.200:5000用户名:admin密码:admin邮箱:[email protected] 修改docker配置,访问docker私有仓库 1.docker源生版本 $cat /etc/sysconfig/docker # /etc/sysconfig/docker # Modify these options if you want to change the way the docker daemon runs OPTIONS='-

(转)教你分分钟搞定Docker私有仓库Registry

转:https://www.cnblogs.com/Javame/p/7389093.html 一.什么是Docker私有仓库Registry 官方的Docker hub是一个用于管理公共镜像的好地方,我们可以在上面找到我们想要的镜像,也可以把我们自己的镜像推送上去.但是,有时候我们的服务器无法访问互联网,或者你不希望将自己的镜像放到公网当中,那么你就需要Docker Registry,它可以用来存储和管理自己的镜像. 二.安装Docker及Registry 安装Docker见之前博文: htt

Docker私有仓库registry

1.docker私有仓库的搭建与使用    docker不仅有一个中央仓库,同时也允许我们搭建自己的私有仓库,如果读者对maven有了解,将很容易理解私有仓库的优势:    1.节省带宽,镜像无需从中央仓库下载,只需要从私有仓库中下载即可    2.对于私有仓库中已经有的镜像,提升了下载速度    3.便于内部镜像的统一管理2.下面我们来讲解一下如何搭建.使用私有仓库:    1.准备两台安装有docker的Centos7的机器,主机规划如下:        主机         IP     

ubuntu16.04搭建docker私有仓库

ubuntu:16.04 docker:18.06.0 docker仓库服务器:192.168.83.102 docker测试客户端:192.168.83.101 --------------------------------------分割线-------------------------------------- 首先按照官网安装好docker:https://docs.docker.com/install/linux/docker-ce/ubuntu/ 安装好docker之后首先pul

搭建docker私有仓库

安装Docker Docker的安装请参考官网(http://www.docker.com),非常详细的介绍了各个操作系统的部署过程. 对于CentOS 7.x操作系统的在线安装Docker,请参考如下:https://docs.docker.com/engine/installation/linux/centos 搭建Docker私有仓库 Docker官方提供了一个公有的registry叫做Docker Hub.但是企业内部可能有些镜像还是不方便放到公网上去,所以docker也提供了regis