Docker Registry:v2添加SSL

image.png

在之前的Docker Registry私有仓库搭建的过程中，总是需要添加"--insecure-registry="选项来实现私有仓库的镜像上传与下载.

image.png

这样才能实现上传

image.png
image.png

有没有更好的解决方法

是这样的，我们之前用的全都是http:// 是不安全的，所以才要加上--insecure-registry选项表明身份。现在我们可以尝试使用https://运行自己的寄存服务.

搭建SSL registry

mkdir ~/registry
cd ~/registry

如果想创建一张你自己的签名证书，可以使用OpenSSL工具

openssl req -newkey rsa:4096 -nodes -sha256 -keyout domain.key -x509 -days 365 -out domain.crt

说明一下，这里是创建一个x509的自签名证书和4096位的RSA的私匙.这张证书采用SHA256的摘要部署，其有效期为365天

image.png

这里需要注意的是common name很重要，它必须与用来访问服务器的名字相同 而且不可以使用IP地址(复杂而不实用)代替,如“test”是我的服务器的名字

image.png

会生成这两样文件

接下来需要将证书复制到每一个将会访问Registry的服务器中的Docker守护进程中，复制的目标文件是/etc/docker/certs.d/<regitry_address>/ca.crt

[root@test ~]# sudo mkdir -p /etc/docker/certs.d/test:5000
[root@test ~]# cp registry_certs/domain.crt /etc/docker/certs.d/test\:5000/ca.crt
[root@test ~]#service docker restart

如果你需要在远程的其他主机上运行的话，你需要利用scp或者ansible把CA证书传到该Docker主机上。
现在启动Registry：
(这里做一个对比，在没有insecure-registry选项时候，是上传失败的)

image.png

docker run -d -p 5000:5000 \
> -v ~/registry_certs/:/certs \
> -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
> -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
> --restart=always --name registry registry:2
9a52c08ba5fd8d8cf9c9481fbad5867ae764d108aa3821d53a6504864da48a30

以数据卷的形式将证书放入容器中 image.png

大功告成~~>-<