Docker推荐使用CA机构颁发的TLS(Transport Layer Security Protocol)证书来保护docker仓库的安全,但是我们也可以选择使用HTTP或者自签名证书的方式实现本地私有仓库的访问。 本文将通过自签名证书的方式实现本地私有仓库的搭建。
使用自签名的方式创建私有仓库
使用环境
在不同的Docker版本或Linux系统上,部署的过程可能有差别,本文的测试环境为:
- Ubuntu15.10
- Docker 1.9.1
准备工作
- 为了方便测试,最好有两台机器,一台作为私有仓库主机(简称主机,用作镜像仓库),一台作为客户机(从主机下载镜像)
- 客户机和主机都已经已经安装了Docker
- 主机已经安装openssl(一般默认已经安装)
- 主机的域名(domain),这里以dev.leo.com为例
如果没有获得DNS能够解析的域名,我们可以再客户机的hosts文件加上私有仓库的主机名和IP的映射。如果已经有了,则忽略这一步。
~$ sudo vi /etc/hosts #添加私有仓库的主机名和IP映射, 主机名可以是任意的字符串
192.168.16.160 dev.leo.com
给主机生成证书
#当前工作目录为: ~ #创建一个目录,存放生成的key和cert文件
~$ sudo mkdir -p cert #创建私钥和证书
~$ sudo openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/dev.leo.com.key -x509 -days 365 -out certs/dev.leo.com.crt
Generating a 4096 bit RSA private key
... #省略不重要的信息,以下信息需要填写,注意Common Name需要和主机名(domain)一致
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:GD
Locality Name (eg, city) []:GZ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LEO
Organizational Unit Name (eg, section) []:TECH
Common Name (e.g. server FQDN or YOUR name) []:dev.leo.com
Email Address []:
在主机上启动支持https的repository容器
启动registry:2镜像的一个容器registry_https,如果本地没有下载registry:2镜像,那么docker将自动下载。
~$ sudo docker run -d -p 5000:5000 --restart=always --name registry_https -v `pwd`/certs:/home/leo/certs -e REGISTRY_HTTP_TLS_CERTIFICATE=/home/leo/certs/dev.leo.com.crt -e REGISTRY_HTTP_TLS_KEY=/home/leo/certs/dev.leo.com.key registry:2
在客户机上添加主机的CA证书
在客户机的证书目录下添加CA证书,因为我们使用自签名证书,所以CA证书就是主机的证书。请注意证书所存放文件夹名称要和仓库镜像的地址一致
~$ sudo cp ~/certs/dev.leo.com.crt /etc/docker/certs.d/dev.leo.com:5000/ca.crt
#要重启docker服务
~$ service docker stop && service docker start
在客户机上push/pull镜像
~$ docker push dev.leo.com:5000/ubuntu
~$ docker pull dev.leo.com:5000/ubuntu
保存对私有仓库容器的更新
到目前为止,虽然已经将镜像发布到了容器,而且客户机也已经可以通过pull命令获取到该镜像了。但是容器内部的数据在容器关闭后将会被销毁,所以,最重要的步骤是还需要将容器的更新提交到仓库镜像。
#命令
~$ docker commit registry-container-name registry-image-name:tag
#实例
~$ docker commit registry-https leo-registry:0.1