设为首页 收藏本站
云服务器等爆品抢先购,低至4.2元/月
查看: 1751|回复: 0

[经验分享] linux7-docker私有仓库nginx秘钥验证搭

[复制链接]
累计签到:1 天
连续签到:1 天
发表于 2017-3-24 13:56:10 | 显示全部楼层 |阅读模式
这是一个企业使用的docker私有仓库搭建方法
通过nginx CA密钥对验证提高安全性。
保证数据不丢失,提供仓库容器外部存储
首先安装docker和nginx的支持包,ssl秘钥验证等
docker用yum安装即可
nginx 支持吧 秘钥等也用yum相关包是
yum -y install pcre-devel zlib-devel openssl openssl-devel
秘钥对需要解析域名验证所以需要做DNS懒得做直接修改hosts文件
vim /etc/hosts
192.168.1.0                 www.gao.com
完成
--------------------------------------------------------------秘钥生成使用制作
cd /etc/pki/CA
openssl genrsa -out private/cakey.pem 2048    本机CA
openssl req -new -x509 -key private/cakey.pem -out cacert.pem    证书
为了nginx制作证书
mkdir ssl
cd ssl
openssl genrsa -out nginx.key 2048
openssl req -new -key nginx.key -out nginx.csr 请求文件
创建两个空文件用来收证书
touch /etc/pki/CA/index.txt    创建在CA下!
touch serial          创建在CA下!
echo 00 > serial
--------------------------------------------------------------秘钥都OK
开始安装nginx---------------------------------------
groupadd www -g 58
useradd -u 58 -g www www
解压缩nginx   进去配置安装
./configure
--user=USER 设定程序运行的用户环境(www)
--group=GROUP 设定程序运行的组环境(www)
--prefix=PATH 设定安装目录
--with-pcre启用pcre库,Nginx的Rewrite模块和HTTP核心模块会使用到PCRE正则表达式
--with-http_stub_status_module 是为了启用 nginx 的 NginxStatus 功能,用来监控 Nginx 的当前状态
--with-http_ssl_module                     开启SSL模块,支持使用HTTPS协议的网页
--with-http_realip_module                开启Real IP的支持,该模块用于从客户请求的头数据中读取Real Ip地址
--with-http_addition_module           开启Addtion模块,该模块允许你追加或前置数据到相应的主体部分
--with-http_flv_module模块ngx_http_flv_module 为Flash Video(FLV)文件提供服务端伪流媒体支持
然后编辑nginx主配文件,直接可以复制这段进去
user  www;
worker_processes  4;
events {
worker_connections  4096;
}
http {
include  mime.types;
default_type  application/octet-stream;
sendfile        on;
keepalive_timeout  65;
upstream registry {
server  192.168.1.107:5000;
    }
server {
listen       443 ssl;
server_name  docker.benet.com;
ssl_certificate  /etc/pki/CA/ssl/nginx.crt;
ssl_certificate_key  /etc/pki/CA/ssl/nginx.key;
ssl_session_cache    shared:SSL:1m;
ssl_session_timeout  5m;
ssl_ciphers  HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers  on;
location  /  {
proxy_pass  http://registry;
client_max_body_size    3000m;
proxy_set_header  Host  $host;
proxy_set_header  X-Forward-For  $remote_addr;
}
}
}
相关选项含义:
ssl_session_cache会话缓存用于保存SSL会话,这些缓存在工作进程间共享,可以使用ssl_session_cache指令进行配置。1M缓存可以存放大约4000个会话。
ssl_session_timeout缓存超时,默认的缓存超时是5分钟。
ssl_ciphers  HIGH:!aNULL:!MD5使用高强度的加密算法
ssl_prefer_server_ciphers  on依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码。即:在SSLv3或这是TLSv1握手时选择一个密码,通常是使用客户端的偏好。如果这个指令是启用的,那么服务器反而是使用服务器的偏好。
client_max_body_size即允许上传文件大小的最大值
proxy_set_header Host $host和proxy_set_header X-Forward-For $remote_addr的作用描述:
nginx为了实现反向代理的需求而增加了一个ngx_http_proxy_module模块。其中proxy_set_header指令就是该模块需要读取的配置文件。在这里,所有设置的值的含义和http请求同中的含义完全相同,除了Host外还有X-Forward-For。
        Host的含义是表明请求的主机名,因为nginx作为反向代理使用,而如果后端真实的服务器设置有类似防盗链或者根据http请求头中的host字段来进行路由或判断功能的话,如果反向代理层的nginx不重写请求头中的host字段,将会导致请求失败【默认反向代理服务器会向后端真实服务器发送请求,并且请求头中的host字段应为proxy_pass指令设置的服务器】。
同理,X_Forward_For字段表示该条http请求是有谁发起的?如果反向代理服务器不重写该请求头的话,那么后端真实服务器在处理时会认为所有的请求都来自反向代理服务器,如果后端有防攻击策略的话,那么机器就被封掉了。因此,在配置用作反向代理的nginx中一般会增加两条配置,修改http的请求头:
proxy_set_header Host $host;
proxy_set_header X-Forward-For $remote_addr;
这里的$host和$remote_addr都是nginx的导出变量,可以再配置文件中直接使用。
/opt/nginx/sbin/nginx  开启服务
-----------------------------------------------------------------------------------------------------------------------nginx完成
-------------------------------------------------------------------------------------------------------------------开搞docker私有仓库
编辑/etc/sysconfig/docke
DOCKER_OPTS="--insecure-registry docker.benet.com --tlsverify --tlscacert /etc/pki/CA/cacert.pem"  添加进去
把根证书复制到/etc/docker/certs.d/docker.yy.com/目录下
mkdir -p /etc/docker/certs.d/docker.benet.com
cp /etc/pki/CA/cacert.pem /etc/docker/certs.d/docker.benet.com/ca-certificates.crt
官方私有仓库是registry镜像 直接拉取
给后面的私有仓库容器创建一个地址用来存放以后自己的长久镜像
启动镜像创建容器
docker run -d -p 5000:5000 -v /gao:/tmp/registry docker.io/registry:latest
-p 本地端口5000 对应容器5000 -v 吧本地映射到容器中,防止数据丢失
登录网页 https://自己的域名   出现"\"docker-registry server\""   就是成功
https端口是443 tcp 记得防火墙开例外~~~
-----------------------------------------------------------------------------docker client配置
首先hosts指向docker IP   
登录https://对方域名成功即可
自己安装docker
然后创建一个镜像
镜像名字格式
docker.gao.com/gao:gao1
首先仓库域名/仓库名字自定义:镜像名字自定义
docker tag 现有的镜像     自定义的镜像名
将docker公钥拷贝
导入到 /etc/pki/tls/certs/ca-certificates.crt 名字必须一样
创建私有仓库账号
docker login https://域名
docker push  上传
docker pull   下载




运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-354728-1-1.html 上篇帖子: Docker容器 下篇帖子: docker简单介绍 仓库
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表