摘要：上一篇文章搭建了一個(gè)具有基礎(chǔ)功能的私有倉(cāng)庫(kù)，這次來(lái)搭建一個(gè)擁有權(quán)限認(rèn)證的私有倉(cāng)庫(kù)。移動(dòng)證書(shū)到目錄。身份驗(yàn)證為用戶創(chuàng)建一個(gè)帶有一個(gè)條目的密碼文件，密碼為創(chuàng)建倉(cāng)庫(kù)啟動(dòng)注冊(cè)表，指示它使用證書(shū)。注冊(cè)表在端口默認(rèn)的端口上運(yùn)行。

上一篇文章搭建了一個(gè)具有基礎(chǔ)功能的私有倉(cāng)庫(kù)，這次來(lái)搭建一個(gè)擁有權(quán)限認(rèn)證、TLS 的私有倉(cāng)庫(kù)。

系統(tǒng)：Ubuntu 17.04 x64

IP:198.13.48.154

域名：hub.ymq.io，此域名需要dns 解析到198.13.48.154 作為私有倉(cāng)庫(kù)地址

本文出現(xiàn)的所有：hub.ymq.io 域名。使用時(shí)候請(qǐng)?zhí)鎿Q成自己的域名

在部署私有倉(cāng)庫(kù)之前，需要在主機(jī)上安裝Docker。私有倉(cāng)庫(kù)是 registry images，并在Docker中運(yùn)行。

我是用的vultr 的服務(wù)器，所以，下面操作，就不用配置國(guó)內(nèi)的，加速鏡像庫(kù)，直接用Docker官方的！

國(guó)內(nèi)加速倉(cāng)庫(kù)，我其他文章有提到:Ubuntu 17.04 x64 安裝 Docker CE 初窺 Dockerfile 部署 Nginx
http://www.ymq.io/2017/12/30/Docker-Install/

使用存儲(chǔ)庫(kù)進(jìn)行安裝

1.更新apt軟件包索引：

$ sudo apt-get update

2.裝軟件包以允許apt通過(guò)HTTPS使用存儲(chǔ)庫(kù)：

$ sudo apt-get install 
    apt-transport-https 
    ca-certificates 
    curl 
    software-properties-common

3.添加Docker的官方GPG密鑰：

$ curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -

4.使用以下命令來(lái)設(shè)置穩(wěn)定的存儲(chǔ)庫(kù)

$ sudo add-apt-repository 
   "deb [arch=amd64] https://download.docker.com/linux/ubuntu 
   $(lsb_release -cs) 
   stable"

5.更新apt軟件包索引。

$ sudo apt-get update

7.安裝最新版本的Docker CE

$ sudo apt-get install docker-ce

8.通過(guò)運(yùn)行hello-world 映像驗(yàn)證是否正確安裝了Docker CE 。

$ sudo docker run hello-world

acme.sh 實(shí)現(xiàn)了 acme 協(xié)議, 可以從 letsencrypt 生成免費(fèi)的證書(shū). https://github.com/Neilpang/acme.sh

給acme.sh組織贊助：Acknowledgments

很簡(jiǎn)單就兩個(gè)步驟:

安裝 acme.sh

生成證書(shū)，及驗(yàn)證證書(shū)

安裝很簡(jiǎn)單, 一個(gè)命令:

$ curl  https://get.acme.sh | sh

這條命令，會(huì)做的事情

1.把 acme.sh 安裝到你的 home 目錄下：
并創(chuàng)建 一個(gè) bash 的 alias, 方便你的使用: acme.sh=~/.acme.sh/acme.sh

2.自動(dòng)為你創(chuàng)建 cronjob, 每天 0:00 點(diǎn)自動(dòng)檢測(cè)所有的證書(shū), 如果快過(guò)期了, 需要更新, 則會(huì)自動(dòng)更新證書(shū).

如果你還沒(méi)有運(yùn)行任何 web 服務(wù), 且80 端口是空閑的, 那么 acme.sh 能假裝自己是一個(gè)webserver, 臨時(shí)聽(tīng)在80 端口, 完成驗(yàn)證:

注意：如果您使用的時(shí)候，請(qǐng)把，hub.ymq.io 替換成自己域名，此域名需要dns 解析到安裝私有倉(cāng)庫(kù)的服務(wù)器IP

$ cd ~/.acme.sh/
$ apt-get install socat
$ sh acme.sh  --issue -d hub.ymq.io   --standalone

如果看到如下信息，說(shuō)明證書(shū)驗(yàn)證并生成成功,證書(shū)生成位置在：/root/.acme.sh/hub.ymq.io/ 下

Success
Verify finished, start to sign.
Cert success.
-----BEGIN CERTIFICATE-----

[Wed Jan  3 14:36:25 UTC 2018] Standalone mode.
[Wed Jan  3 14:36:25 UTC 2018] Registering account
[Wed Jan  3 14:36:27 UTC 2018] Registered
[Wed Jan  3 14:36:27 UTC 2018] ACCOUNT_THUMBPRINT="7TpUIE5N--hq2nhk2ruKmHBfgKB-LX-pBCkWzzmHzVM"
[Wed Jan  3 14:36:27 UTC 2018] Creating domain key
[Wed Jan  3 14:36:28 UTC 2018] The domain key is here: /root/.acme.sh/hub.ymq.io/hub.ymq.io.key
[Wed Jan  3 14:36:28 UTC 2018] Single domain="hub.ymq.io"
[Wed Jan  3 14:36:28 UTC 2018] Getting domain auth token for each domain
[Wed Jan  3 14:36:28 UTC 2018] Getting webroot for domain="hub.ymq.io"
[Wed Jan  3 14:36:28 UTC 2018] Getting new-authz for domain="hub.ymq.io"
[Wed Jan  3 14:36:29 UTC 2018] The new-authz request is ok.
[Wed Jan  3 14:36:29 UTC 2018] Verifying:hub.ymq.io
[Wed Jan  3 14:36:29 UTC 2018] Standalone mode server
[Wed Jan  3 14:36:34 UTC 2018] Success
[Wed Jan  3 14:36:34 UTC 2018] Verify finished, start to sign.
[Wed Jan  3 14:36:35 UTC 2018] Cert success.
-----BEGIN CERTIFICATE-----
MIIE9zCCA9+gAwIBAgISA6WV4ZFi6lr/kngVGx7/FoPMMA0GCSqGSIb3DQEBCwUA
******************************************
...

-----END CERTIFICATE-----
[Wed Jan  3 14:36:35 UTC 2018] Your cert is in  /root/.acme.sh/hub.ymq.io/hub.ymq.io.cer 
[Wed Jan  3 14:36:35 UTC 2018] Your cert key is in  /root/.acme.sh/hub.ymq.io/hub.ymq.io.key 
[Wed Jan  3 14:36:35 UTC 2018] The intermediate CA cert is in  /root/.acme.sh/hub.ymq.io/ca.cer 
[Wed Jan  3 14:36:35 UTC 2018] And the full chain certs is there:  /root/.acme.sh/hub.ymq.io/fullchain.cer 

前提條件：域名的dns 解析到安裝私有倉(cāng)庫(kù)的服務(wù)器IP上

1.創(chuàng)建一個(gè)certs目錄。

$ cd /opt/
$ mkdir -p certs

2.移動(dòng)證書(shū)到certs目錄。

$ cd ~/.acme.sh/
$ sh acme.sh  --installcert  -d  hub.ymq.io   
        --key-file   /opt/certs/hub.ymq.io.key 
        --fullchain-file /opt/certs/fullchain.cer

為用戶創(chuàng)建一個(gè)帶有一個(gè)條目的密碼文件testuser，密碼為 testpassword：

$ mkdir auth
$ docker run 
  --entrypoint htpasswd 
  registry:2 -Bbn testuser testpassword > auth/htpasswd

啟動(dòng)注冊(cè)表，指示它使用TLS證書(shū)。這個(gè)命令將certs/目錄綁定到容器中/certs/，并設(shè)置環(huán)境變量來(lái)告訴容器在哪里找到fullchain.cer 和hub.ymq.io.key文件。注冊(cè)表在端口443（默認(rèn)的HTTPS端口）上運(yùn)行。

docker run -d 
  --restart=always 
  --name registry 
  -v `pwd`/auth:/auth 
  -e "REGISTRY_AUTH=htpasswd" 
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" 
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd 
  -v `pwd`/certs:/certs 
  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/fullchain.cer 
  -e REGISTRY_HTTP_TLS_KEY=/certs/hub.ymq.io.key 
  -p 443:443 
  registry:2

查看日志

$ docker logs -f registry

$ docker login hub.ymq.io
Username (testuser): testuser
Password: 輸入倉(cāng)庫(kù)密碼
Login Succeeded

從 Docker Hub拉取 ubuntu:16.04 鏡像

$ docker pull ubuntu:16.04

將鏡像標(biāo)記為 hub.ymq.io/my-ubuntu，在推送時(shí)，Docker會(huì)將其解釋為倉(cāng)庫(kù)的位置。

$ docker tag ubuntu:16.04 hub.ymq.io/my-ubuntu

將鏡像推送到本地鏡像標(biāo)記的倉(cāng)庫(kù)hub.ymq.io/my-ubuntu

$ docker push hub.ymq.io/my-ubuntu

刪除本地緩存ubuntu:16.04和hub.ymq.io/my-ubuntu 鏡像，以便您可以測(cè)試從私有倉(cāng)庫(kù)中拉取鏡像。這不會(huì)hub.ymq.io/my-ubuntu 從您的私有倉(cāng)庫(kù)中刪除鏡像。

$ docker image remove ubuntu:16.04
$ docker image remove hub.ymq.io/my-ubuntu

拉取 hub.ymq.io 倉(cāng)庫(kù)的 my-ubuntu 鏡像。

$ docker pull hub.ymq.io/my-ubuntu

$ docker images hub.ymq.io/my-ubuntu
REPOSITORY             TAG                 IMAGE ID            CREATED             SIZE
hub.ymq.io/my-ubuntu   latest              00fd29ccc6f1        2 weeks ago         111MB

在瀏覽器中查看倉(cāng)庫(kù)中的鏡像。需要輸入賬號(hào)密碼

Docker Registry HTTP API V2

倉(cāng)庫(kù)操作 API 官方文檔：https://docs.docker.com/registry/spec/api/

倉(cāng)庫(kù)搭建 官方文檔：https://docs.docker.com/registry/deploying/

Harbor是VMware公司開(kāi)源的企業(yè)級(jí)DockerRegistry項(xiàng)目，項(xiàng)目地址為：https://github.com/vmware/harbor

其目標(biāo)是幫助用戶迅速搭建一個(gè)企業(yè)級(jí)的Dockerregistry服務(wù)。它以Docker公司開(kāi)源的registry為基礎(chǔ)，提供了管理UI，基于角色的訪問(wèn)控制(Role Based Access Control)，AD/LDAP集成、以及審計(jì)日志(Auditlogging) 等企業(yè)用戶需求的功能，同時(shí)還原生支持中文。Harbor的每個(gè)組件都是以Docker容器的形式構(gòu)建的，使用Docker Compose來(lái)對(duì)它進(jìn)行部署

Harbor 的搭建，及使用，正在整理中，會(huì)在下篇文章體現(xiàn)，關(guān)注公眾號(hào)：“搜云庫(kù)” 我會(huì)在微信公眾號(hào)首發(fā)

作者：鵬磊

出處：http://www.ymq.io

Email：admin@souyunku.com

版權(quán)歸作者所有，轉(zhuǎn)載請(qǐng)注明出處

Wechat：關(guān)注公眾號(hào)，搜云庫(kù)，專注于開(kāi)發(fā)技術(shù)的研究與知識(shí)分享