自签名证书怎么创建docker镜像仓库

概述

在Docker生态系统中，镜像仓库（Registry）是存储和管理Docker镜像的核心组件。默认情况下，Docker使用公共的Docker Hub作为镜像仓库，但在某些场景下，企业或开发者可能需要搭建私有的Docker镜像仓库。为了确保私有仓库的安全性，通常会使用TLS加密通信。本文将详细介绍如何使用自签名证书创建并配置一个安全的Docker镜像仓库。

准备工作

在开始之前，确保你已经安装了以下工具：

• Docker
• OpenSSL（用于生成自签名证书）

生成自签名证书

1. 创建证书目录

首先，创建一个目录来存放证书文件：

mkdir -p /etc/docker/certs.d/myregistry.example.com
cd /etc/docker/certs.d/myregistry.example.com

2. 生成私钥和证书

使用OpenSSL生成自签名证书：

openssl req -newkey rsa:4096 -nodes -sha256 -keyout domain.key -x509 -days 365 -out domain.crt

在生成证书的过程中，系统会提示你输入一些信息，如国家、组织名称等。其中最重要的是Common Name (e.g. server FQDN or YOUR name)，这里需要填写你的私有仓库的域名（例如myregistry.example.com）。

3. 配置Docker信任自签名证书

为了让Docker客户端信任这个自签名证书，需要将证书复制到Docker的证书目录中：

sudo cp domain.crt /usr/local/share/ca-certificates/myregistry.example.com.crt
sudo update-ca-certificates

配置Docker镜像仓库

1. 创建配置文件

创建一个配置文件config.yml，用于配置Docker镜像仓库：

version: 0.1
log:
  fields:
    service: registry
storage:
  filesystem:
    rootdirectory: /var/lib/registry
http:
  addr: :5000
  tls:
    certificate: /etc/docker/certs.d/myregistry.example.com/domain.crt
    key: /etc/docker/certs.d/myregistry.example.com/domain.key

2. 启动Docker镜像仓库

使用Docker运行镜像仓库：

docker run -d -p 5000:5000 --name registry \
  -v /etc/docker/certs.d/myregistry.example.com:/certs \
  -v /var/lib/registry:/var/lib/registry \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

3. 验证仓库运行状态

使用docker ps命令查看仓库是否正常运行：

docker ps

如果看到registry容器正在运行，说明仓库已经成功启动。

配置Docker客户端

1. 修改Docker Daemon配置

为了让Docker客户端能够访问私有仓库，需要修改Docker Daemon的配置文件/etc/docker/daemon.json，添加私有仓库的地址：

{
  "insecure-registries" : ["myregistry.example.com:5000"]
}

2. 重启Docker服务

修改配置后，重启Docker服务以使更改生效：

sudo systemctl restart docker

使用私有仓库

1. 登录私有仓库

使用docker login命令登录私有仓库：

docker login myregistry.example.com:5000

2. 推送镜像到私有仓库

首先，为本地镜像打上私有仓库的标签：

docker tag myimage myregistry.example.com:5000/myimage

然后，将镜像推送到私有仓库：

docker push myregistry.example.com:5000/myimage

3. 从私有仓库拉取镜像

使用docker pull命令从私有仓库拉取镜像：

docker pull myregistry.example.com:5000/myimage

总结

通过以上步骤，你已经成功创建了一个使用自签名证书的Docker镜像仓库，并配置了Docker客户端以访问该仓库。这种方法适用于需要搭建私有镜像仓库的场景，尤其是在企业内部网络中。通过使用TLS加密通信，确保了镜像传输的安全性。

注意事项

1. 证书有效期：自签名证书通常有一定的有效期（如365天），到期后需要重新生成并配置。
2. 域名解析：确保私有仓库的域名能够正确解析到仓库服务器的IP地址。
3. 安全性：虽然自签名证书可以提供基本的加密，但在生产环境中，建议使用受信任的CA签发的证书。

通过本文的指导，你应该能够轻松搭建并配置一个安全的Docker镜像仓库，满足你的私有镜像管理需求。