私有仓库高级配置
上一节我们搭建了一个具有基础功能的私有仓库,本小节我们来使用 Docker Compose 搭建一个拥有权限认证、TLS 的私有仓库。
新建一个文件夹,以下步骤均在该文件夹中进行。

准备站点证书

如果你拥有一个域名,国内各大云服务商均提供免费的站点证书。你也可以使用 openssl 自行签发证书。
这里假设我们将要搭建的私有仓库地址为 docker.domain.com,下面我们介绍使用 openssl 自行签发 docker.domain.com 的站点 SSL 证书。
第一步创建 CA 私钥。
1
$ openssl genrsa -out "root-ca.key" 4096
Copied!
第二步利用私钥创建 CA 根证书请求文件。
1
$ openssl req \
2
-new -key "root-ca.key" \
3
-out "root-ca.csr" -sha256 \
4
-subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=Your Company Name Docker Registry CA'
Copied!
以上命令中 -subj 参数里的 /C 表示国家,如 CN/ST 表示省;/L 表示城市或者地区;/O 表示组织名;/CN 通用名称。
第三步配置 CA 根证书,新建 root-ca.cnf
1
[root_ca]
2
basicConstraints = critical,CA:TRUE,pathlen:1
3
keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
4
subjectKeyIdentifier=hash
Copied!
第四步签发根证书。
1
$ openssl x509 -req -days 3650 -in "root-ca.csr" \
2
-signkey "root-ca.key" -sha256 -out "root-ca.crt" \
3
-extfile "root-ca.cnf" -extensions \
4
root_ca
Copied!
第五步生成站点 SSL 私钥。
1
$ openssl genrsa -out "docker.domain.com.key" 4096
Copied!
第六步使用私钥生成证书请求文件。
1
$ openssl req -new -key "docker.domain.com.key" -out "site.csr" -sha256 \
2
-subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=docker.domain.com'
Copied!
第七步配置证书,新建 site.cnf 文件。
1
[server]
2
authorityKeyIdentifier=keyid,issuer
3
basicConstraints = critical,CA:FALSE
4
extendedKeyUsage=serverAuth
5
keyUsage = critical, digitalSignature, keyEncipherment
6
subjectAltName = DNS:docker.domain.com, IP:127.0.0.1
7
subjectKeyIdentifier=hash
Copied!
第八步签署站点 SSL 证书。
1
$ openssl x509 -req -days 750 -in "site.csr" -sha256 \
2
-CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial \
3
-out "docker.domain.com.crt" -extfile "site.cnf" -extensions server
Copied!
这样已经拥有了 docker.domain.com 的网站 SSL 私钥 docker.domain.com.key 和 SSL 证书 docker.domain.com.crt 及 CA 根证书 root-ca.crt
新建 ssl 文件夹并将 docker.domain.com.key docker.domain.com.crt root-ca.crt 这三个文件移入,删除其他文件。

配置私有仓库

私有仓库默认的配置文件位于 /etc/docker/registry/config.yml,我们先在本地编辑 config.yml,之后挂载到容器中。
1
version: 0.1
2
log:
3
accesslog:
4
disabled: true
5
level: debug
6
formatter: text
7
fields:
8
service: registry
9
environment: staging
10
storage:
11
delete:
12
enabled: true
13
cache:
14
blobdescriptor: inmemory
15
filesystem:
16
rootdirectory: /var/lib/registry
17
auth:
18
htpasswd:
19
realm: basic-realm
20
path: /etc/docker/registry/auth/nginx.htpasswd
21
http:
22
addr: :443
23
host: https://docker.domain.com
24
headers:
25
X-Content-Type-Options: [nosniff]
26
http2:
27
disabled: false
28
tls:
29
certificate: /etc/docker/registry/ssl/docker.domain.com.crt
30
key: /etc/docker/registry/ssl/docker.domain.com.key
31
health:
32
storagedriver:
33
enabled: true
34
interval: 10s
35
threshold: 3
Copied!

生成 http 认证文件

1
$ mkdir auth
2
3
$ docker run --rm \
4
--entrypoint htpasswd \
5
httpd:alpine \
6
-Bbn username password > auth/nginx.htpasswd
Copied!
将上面的 username password 替换为你自己的用户名和密码。

编辑 docker-compose.yml

1
version: '3'
2
3
services:
4
registry:
5
image: registry
6
ports:
7
- "443:443"
8
volumes:
9
- ./:/etc/docker/registry
10
- registry-data:/var/lib/registry
11
12
volumes:
13
registry-data:
Copied!

修改 hosts

编辑 /etc/hosts
1
127.0.0.1 docker.domain.com
Copied!

启动

1
$ docker-compose up -d
Copied!
这样我们就搭建好了一个具有权限认证、TLS 的私有仓库,接下来我们测试其功能是否正常。

测试私有仓库功能

由于自行签发的 CA 根证书不被系统信任,所以我们需要将 CA 根证书 ssl/root-ca.crt 移入 /etc/docker/certs.d/docker.domain.com 文件夹中。
1
$ sudo mkdir -p /etc/docker/certs.d/docker.domain.com
2
3
$ sudo cp ssl/root-ca.crt /etc/docker/certs.d/docker.domain.com/ca.crt
Copied!
登录到私有仓库。
1
$ docker login docker.domain.com
Copied!
尝试推送、拉取镜像。
1
$ docker pull ubuntu:18.04
2
3
$ docker tag ubuntu:18.04 docker.domain.com/username/ubuntu:18.04
4
5
$ docker push docker.domain.com/username/ubuntu:18.04
6
7
$ docker image rm docker.domain.com/username/ubuntu:18.04
8
9
$ docker pull docker.domain.com/username/ubuntu:18.04
Copied!
如果我们退出登录,尝试推送镜像。
1
$ docker logout docker.domain.com
2
3
$ docker push docker.domain.com/username/ubuntu:18.04
4
5
no basic auth credentials
Copied!
发现会提示没有登录,不能将镜像推送到私有仓库中。

注意事项

如果你本机占用了 443 端口,你可以配置 Nginx 代理,这里不再赘述。