Docker Registry Server 搭建,配置免费HTTPS证书，及拥有权限认证、TLS 的私有仓库

上一篇文章搭建了一个具备基础功能的私有仓库，此次来搭建一个拥有权限认证、TLS 的私有仓库。

环境准备

• 系统：Ubuntu 17.04 x64
• IP:198.13.48.154
• 域名：hub.ymq.io，此域名须要dns 解析到198.13.48.154 做为私有仓库地址

本文出现的全部：hub.ymq.io 域名。使用时候请替换成本身的域名

Docker 环境

在部署私有仓库以前，须要在主机上安装Docker。私有仓库是 registry images，并在Docker中运行。

我是用的vultr 的服务器，因此，下面操做，就不用配置国内的，加速镜像库，直接用Docker官方的！

国内加速仓库，我其余文章有提到:Ubuntu 17.04 x64 安装 Docker CE 初窥 Dockerfile 部署 Nginx
http://www.ymq.io/2017/12/30/Docker-Install/

安装Docker CE

使用存储库进行安装

1.更新apt软件包索引：

$ sudo apt-get update

2.装软件包以容许apt经过HTTPS使用存储库：

$ sudo apt-get install \
    apt-transport-https \
    ca-certificates \
    curl \
    software-properties-common

3.添加Docker的官方GPG密钥：

$ curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -

4.使用如下命令来设置稳定的存储库

$ sudo add-apt-repository \
   "deb [arch=amd64] https://download.docker.com/linux/ubuntu \
   $(lsb_release -cs) \
   stable"

5.更新apt软件包索引。

$ sudo apt-get update

7.安装最新版本的Docker CE

$ sudo apt-get install docker-ce

8.经过运行hello-world 映像验证是否正确安装了Docker CE 。

$ sudo docker run hello-world

域名证书

acme.sh 实现了 acme 协议, 能够从 letsencrypt 生成免费的证书. https://github.com/Neilpang/acme.sh

给acme.sh组织赞助：Acknowledgments

很简单就两个步骤:

• 安装 acme.sh
• 生成证书，及验证证书

1.安装 acme.sh

安装很简单, 一个命令:

$ curl  https://get.acme.sh | sh

这条命令，会作的事情

1.把 acme.sh 安装到你的 home 目录下：
并建立 一个 bash 的 alias, 方便你的使用: acme.sh=~/.acme.sh/acme.sh

2.自动为你建立 cronjob, 天天 0:00 点自动检测全部的证书, 若是快过时了, 须要更新, 则会自动更新证书.

2.生成证书

若是你尚未运行任何 web 服务, 且80 端口是空闲的, 那么 acme.sh 能伪装本身是一个webserver, 临时听在80 端口, 完成验证:

注意：若是您使用的时候，请把，hub.ymq.io 替换成本身域名，此域名须要dns 解析到安装私有仓库的服务器IP

$ cd ~/.acme.sh/
$ apt-get install socat
$ sh acme.sh  --issue -d hub.ymq.io   --standalone

若是看到以下信息，说明证书验证并生成成功,证书生成位置在：/root/.acme.sh/hub.ymq.io/ 下

Success
Verify finished, start to sign.
Cert success.
-----BEGIN CERTIFICATE-----

[Wed Jan  3 14:36:25 UTC 2018] Standalone mode.
[Wed Jan  3 14:36:25 UTC 2018] Registering account
[Wed Jan  3 14:36:27 UTC 2018] Registered
[Wed Jan  3 14:36:27 UTC 2018] ACCOUNT_THUMBPRINT='7TpUIE5N--hq2nhk2ruKmHBfgKB-LX-pBCkWzzmHzVM'
[Wed Jan  3 14:36:27 UTC 2018] Creating domain key
[Wed Jan  3 14:36:28 UTC 2018] The domain key is here: /root/.acme.sh/hub.ymq.io/hub.ymq.io.key
[Wed Jan  3 14:36:28 UTC 2018] Single domain='hub.ymq.io'
[Wed Jan  3 14:36:28 UTC 2018] Getting domain auth token for each domain
[Wed Jan  3 14:36:28 UTC 2018] Getting webroot for domain='hub.ymq.io'
[Wed Jan  3 14:36:28 UTC 2018] Getting new-authz for domain='hub.ymq.io'
[Wed Jan  3 14:36:29 UTC 2018] The new-authz request is ok.
[Wed Jan  3 14:36:29 UTC 2018] Verifying:hub.ymq.io
[Wed Jan  3 14:36:29 UTC 2018] Standalone mode server
[Wed Jan  3 14:36:34 UTC 2018] Success
[Wed Jan  3 14:36:34 UTC 2018] Verify finished, start to sign.
[Wed Jan  3 14:36:35 UTC 2018] Cert success.
-----BEGIN CERTIFICATE-----
MIIE9zCCA9+gAwIBAgISA6WV4ZFi6lr/kngVGx7/FoPMMA0GCSqGSIb3DQEBCwUA
******************************************
...

-----END CERTIFICATE-----
[Wed Jan  3 14:36:35 UTC 2018] Your cert is in  /root/.acme.sh/hub.ymq.io/hub.ymq.io.cer 
[Wed Jan  3 14:36:35 UTC 2018] Your cert key is in  /root/.acme.sh/hub.ymq.io/hub.ymq.io.key 
[Wed Jan  3 14:36:35 UTC 2018] The intermediate CA cert is in  /root/.acme.sh/hub.ymq.io/ca.cer 
[Wed Jan  3 14:36:35 UTC 2018] And the full chain certs is there:  /root/.acme.sh/hub.ymq.io/fullchain.cer

搭建仓库

前提条件：域名的dns 解析到安装私有仓库的服务器IP上

复制证书

1.建立一个certs目录。

$ cd /opt/
$ mkdir -p certs

2.移动证书到certs目录。

$ cd ~/.acme.sh/
$ sh acme.sh  --installcert  -d  hub.ymq.io   \
        --key-file   /opt/certs/hub.ymq.io.key \
        --fullchain-file /opt/certs/fullchain.cer

身份验证

为用户建立一个带有一个条目的密码文件testuser，密码为 testpassword：

$ mkdir auth
$ docker run \
  --entrypoint htpasswd \
  registry:2 -Bbn testuser testpassword > auth/htpasswd

建立仓库

启动注册表，指示它使用TLS证书。这个命令将certs/目录绑定到容器中/certs/，并设置环境变量来告诉容器在哪里找到fullchain.cer 和hub.ymq.io.key文件。注册表在端口443（默认的HTTPS端口）上运行。

docker run -d \
  --restart=always \
  --name registry \
  -v `pwd`/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -v `pwd`/certs:/certs \
  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/fullchain.cer \
  -e REGISTRY_HTTP_TLS_KEY=/certs/hub.ymq.io.key \
  -p 443:443 \
  registry:2

查看日志

$ docker logs -f registry

登陆仓库

$ docker login hub.ymq.io
Username (testuser): testuser
Password: 输入仓库密码
Login Succeeded

拉取镜像

从 Docker Hub拉取 ubuntu:16.04 镜像

$ docker pull ubuntu:16.04

标记镜像

将镜像标记为 hub.ymq.io/my-ubuntu，在推送时，Docker会将其解释为仓库的位置。

$ docker tag ubuntu:16.04 hub.ymq.io/my-ubuntu

推送镜像

将镜像推送到本地镜像标记的仓库hub.ymq.io/my-ubuntu

$ docker push hub.ymq.io/my-ubuntu

删除镜像

删除本地缓存ubuntu:16.04和hub.ymq.io/my-ubuntu 镜像，以便您能够测试从私有仓库中拉取镜像。这不会hub.ymq.io/my-ubuntu 从您的私有仓库中删除镜像。

$ docker image remove ubuntu:16.04
$ docker image remove hub.ymq.io/my-ubuntu

拉取镜像

拉取 hub.ymq.io 仓库的 my-ubuntu 镜像。

$ docker pull hub.ymq.io/my-ubuntu

查看镜像

$ docker images hub.ymq.io/my-ubuntu
REPOSITORY             TAG                 IMAGE ID            CREATED             SIZE
hub.ymq.io/my-ubuntu   latest              00fd29ccc6f1        2 weeks ago         111MB

在浏览器中查看仓库中的镜像。须要输入帐号密码

操做API

Docker Registry HTTP API V2

仓库操做 API 官方文档：https://docs.docker.com/registry/spec/api/

仓库搭建 官方文档：https://docs.docker.com/registry/deploying/

Harbor

Harbor是VMware公司开源的企业级DockerRegistry项目，项目地址为：https://github.com/vmware/harbor

其目标是帮助用户迅速搭建一个企业级的Dockerregistry服务。它以Docker公司开源的registry为基础，提供了管理UI，基于角色的访问控制(Role Based Access Control)，AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能，同时还原生支持中文。Harbor的每一个组件都是以Docker容器的形式构建的，使用Docker Compose来对它进行部署

Harbor 的搭建，及使用，正在整理中，会在下篇文章体现，关注公众号：“搜云库” 我会在微信公众号首发

Contact

• 做者：鹏磊
• 出处：http://www.ymq.io
• Email：admin@souyunku.com
• 版权归做者全部，转载请注明出处
• Wechat：关注公众号，搜云库，专一于开发技术的研究与知识分享