如果不用自签发的证书,直接照着官方的步骤做就是了,已经很直白,但是如果需要用自签发的证书,稍微就比较麻烦,特别在用mac版的docker的时候有点坑,不过最后还是搭建成功了,现来分享下经验。
假设registry的域名准备用hub.domain.com(后面出现它的地方均替换为你自己要用的域名),先ssh登录服务器,执行下面的步骤:
- 先生成自签发证书,执行下面的命令:
mkdir -p certs && openssl req \
-newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
-x509 -days 99999 -out certs/domain.crt
在Common Name那里输入域名,其它喜欢怎么填就怎么填:
- 创建用户名密码:
mkdir auth
docker run --entrypoint htpasswd registry:latest -Bbn testuser testpassword > auth/htpasswd
将testuser和testpassword分别替换成你需要的registry登录名和密码.
3 停止并删除容器
4 Start the registry with basic authentication:
docker run -d -p 5000:5000 --restart=always --name registry \
-v pwd/auth:/auth \
-e "REGISTRY_AUTH=htpasswd" \
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
-v pwd/certs:/certs \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
registry:latest
Try to pull an image from the registry, or push an image to the registry. These commands fail.
好了,registry服务端算是搭建好了,但是如果其它客户端直接docker login hub.domain.com:5000 的话会报错,比如:x509: certificate signed by unknown authority下面对其它需要用到registry的docker服务器或开发机器进行一些操作:
注:如果DNS没有的记录,就需要在每个docker客户端所在机器修改hosts文件,将registry的ip地址映射到master上
我们还需要让所有机器信任自签发的registry,不然登录会报错。
将之前registry服务器上生成的certs/domain.crt复制到当前机器,命名为ca.crt
建立文件夹并将ca.crt拷进去:
mkdir -p /etc/docker/certs.d/hub.domain.com:5000
cp ca.crt /etc/docker/certs.d/hub.domain.com\:5000/
注:如果是macOS版的docker也是一样的操作,尽管它连/etc/docker都不存在,别担心,照做就是了。另外,macOS的用户还需要额外执行下面的命令:sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ca.crt
OK,接下来可以测试下:
docker login hub.domain.com:5000
输入登录名和密码。如果提示Login Succeeded,恭喜你,大功告成!
来源:51CTO
作者:as007012012
链接:https://blog.51cto.com/as007012/2087157