对docker私有仓库nexus做https

背景

开启 HTTPS 方式大概分为两种,一种为Nexus 服务本身开启代理,另外一种使用 Nginx 进行反向代理实现 HTTPS, 由于我使用的方式是使用 Docker 进行的Nexus 的配置, 故使用第二种方式 Nginx反向代理实现各个仓库的 HTTPS。

操作

一、制作自签证书

使用https://github.com/Fishdrowned/ssl,使用脚本自动生成需要的域名证书。(需要在hosts文件给定域名的解析地址)

[[email protected] ~]# cat /etc/hosts
10.22.1.22    best-docker.com

二、nginx反向代理https

将证书配置在nginx服务器上,并在nginx配置中添加如下(docker-practice里的)

upstream register
{
    server "YourHostName OR IP":5001; #端口为上面添加的私有镜像仓库是设置的 HTTP 选项的端口号
    check interval=3000 rise=2 fall=10 timeout=1000 type=http;
    check_http_send "HEAD / HTTP/1.0\r\n\r\n";
    check_http_expect_alive http_4xx;
}

server {
    server_name YourDomainName;#如果没有 DNS 服务器做解析,请删除此选项使用本机 IP 地址访问
    listen 443 ssl;
    ssl_certificate key/example.com.bundle.crt;
    ssl_certificate_key key/example.com.key.pem;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
    large_client_header_buffers 4 32k;
    client_max_body_size 300m;
    client_body_buffer_size 512k;
    proxy_connect_timeout 600;
    proxy_read_timeout 600;
    proxy_send_timeout 600;
    proxy_buffer_size 128k;
    proxy_buffers 4 64k;
    proxy_busy_buffers_size 128k;
    proxy_temp_file_write_size 512k;
    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Port $server_port;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
        proxy_redirect off;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_pass http://register;
        proxy_read_timeout 900s;
    }
    error_page 500 502 503 504 /50x.html;
}

注意上述nginx的upstream配置的端口如果是docker-group端口,则该域名只能pull不能push;如果要push私有仓库,则需要另外配置docker-hosted端口,然后代理该端口,才能push。

三、客户端配置

(1)、添加证书

将公钥放在/etc/pki/ca-trust/source/anchors/下,然后运行命令,更新信任ca。

cp xxxx.com.bundle.crt /etc/pki/ca-trust/source/anchors/
#运行命令,更新信任ca
update-ca-trust

(2)、配置docker的镜像仓库

vim /etc/docker/daemon.json

{
    "registry-mirrors": [
        "https://registry.best-docker.com"
    ]
}

然后

#重启docker
systemctl restart docker

如果对nexus的hosted端口做了https代理,假设域名为hub.best-docker.com,则直接在客户端如下就可以push:

docker login hub.best-docker.comdocker tag nginx:latest hub.best-docker.com/test/nginx:0.1
docker push hub.best-docker.com/test/nginx:0.1

四、nexus的pull/push坑

nexus配置的仓库类型只有hosted可以push,其他的都不能push,但是三种类型仓库都可以pull。

FAQ:

1、push 镜像到私有仓库报错: error parsing HTTP 404 response body: invalid character ‘<‘ looking for beginning of value:

该问题可能是因为往不能push的docker-group上执行push导致,只需要push地址修改为docker-host的地址即可push成功。

参考:

https://blog.csdn.net/u011607971/article/details/86700855

原文地址:https://www.cnblogs.com/MakeInstall/p/11025599.html

时间: 2024-11-01 05:42:00

对docker私有仓库nexus做https的相关文章

Docker私有仓库registry+nginx(https)

Docker仓库 仓库(Repository)是集中存放镜像的地方. 一个容易混淆的概念是注册服务器(Registry) .实际上注册服务器是管理仓库的具体服务器,每个服务器上可以有多个仓库,而每个仓库下面有多个镜像.从这方面来说,仓库可以被认为是一个具体的项目或目录.例如对于仓库地址 docker.sina.com.cn/centos:centos63 来说,docker.sina.com.cn 是注册服务器地址,centos 是仓库名,centos63 是仓库的 tag. Docker Hu

手把手教你搭建Docker私有仓库

章节一:centos7 docker安装和使用_入门教程 章节二:使用docker部署Asp.net core web应用程序 有了前面的基础,接下来的操作就会比较简单了. 先准备两台虚拟机: Docker客户端:192.168.1.160 Docker私有仓库服务器:192.168.1.161 两台机器上都配好yum源,安装好docker,设置好docker加速器 1.在服务端192.168.1.161上拉取仓库镜像:registry [[email protected] ~]# docker

在docker私有仓库如何查看有哪些镜像?

搭建了docker私有仓库,上传了一些镜像,时间长了就会忘了有哪些镜像,在网上查了,有大佬是通过脚本查看的,多厉害! #!/usr/bin/env python#-*- coding:utf-8 -*-#'''#Created on 2016.10.8#@author: an_time#@desc: get images name from registry#''' import requestsimport jsonimport traceback repo_ip = '192.168.220

搭建docker私有仓库

安装Docker Docker的安装请参考官网(http://www.docker.com),非常详细的介绍了各个操作系统的部署过程. 对于CentOS 7.x操作系统的在线安装Docker,请参考如下:https://docs.docker.com/engine/installation/linux/centos 搭建Docker私有仓库 Docker官方提供了一个公有的registry叫做Docker Hub.但是企业内部可能有些镜像还是不方便放到公网上去,所以docker也提供了regis

CentOS7搭建Docker私有仓库

学习Docker的过程中Docker的私有仓库一直没能成功,就是因为CentOS 6.x和CentOS 7默认引入了支持https认证,每次在push和pull的时候都会报错,今天是周末,利用一天的时间反复测试和网上案列的整合,总算是成功了,也借此 机会对学习Docker的朋友有所帮助. 个人的愚见:博友在练习的时候建议用CentOS 7.x系统,不建议用CentOS 6.x系统 一.准备 地址规划: Docker私有仓库地址:192.168.0.109 Docker客户端地址:192.168.

CentOS 7搭建Docker私有仓库

学习Docker的过程中Docker的私有仓库一直没能成功,就是因为CentOS 6.x和CentOS 7默认引入了支持https认证,每次在push和pull的时候都会报错,今天是周末,利用一天的时间反复测试和网上案列的整合,总算是成功了,也借此机会对学习Docker的朋友有所帮助. 个人的愚见:博友在练习的时候建议用CentOS 7.x系统,不建议用CentOS 6.x系统 一.准备 地址规划: Docker私有仓库地址:192.168.0.109 Docker客户端地址:192.168.0

docker私有仓库(认证功能)

搭建docker私有仓库,带认证功能,记录如下: 1.创建对应的目录 mkdir -p /data/registry/ && cd /data/registry/ && mkdir auth certs 2.创建密码文件 cd /data/registry/ docker run --entrypoint htpasswd daocloud.io/registry:2.2 -Bbn ttxsgoto ttxsgoto > auth/htpasswd 3.生成签名证书

教你分分钟搞定Docker私有仓库Registry

一.什么是Docker私有仓库Registry 官方的Docker hub是一个用于管理公共镜像的好地方,我们可以在上面找到我们想要的镜像,也可以把我们自己的镜像推送上去.但是,有时候我们的服务器无法访问互联网,或者你不希望将自己的镜像放到公网当中,那么你就需要Docker Registry,它可以用来存储和管理自己的镜像. 二.安装Docker及Registry 安装Docker见之前博文: http://www.cnblogs.com/Javame/p/5492543.html 安装Regi

局域网部署docker--从无到有创建自己的docker私有仓库

由于GFW的关系,国内用户在使用docker的时候,pull一个基本的镜像都拉下来,更不用说使用官方的index镜像了.差点放弃使用docker了,google了一圈,总算找到办法. 第一步:安装docker 参见官方指南或则各类中文指南 第二步:从文件系统创建一个image镜像 创建镜像有很多方法,官方的推荐是pull一个,无奈GFW,想下一个基本的ubuntu都下不下来 还有一个办法就是从一个文件系统import一个镜像,个人推荐可以使用opvz的模板来创建: openvz的模板下载地址如下