用 Nginx 来做私有 docker registry 的安全控制

时间:16-01-14 来源: 作者: 点击:

  docker registry 介绍

  docker registry 就是管理 docker 镜像的服务, Docker 公司维护的 registry 就是 ,它可以让我们方便的下载预先做好的镜像。

  1.$ docker pull ubuntu

  上面的命令就是缺省的从这个Docker官方源下载。在国内为了加快访问,你也可以使用 docker.cn 的服务,他们同步了常用的镜像,使用也非常方便,如:

  1.$ docker pull docker.cn/docker/ubuntu

  大部分公司在推广使用 docker 时,都会为了使用方便,在公司内部自己架设一个,不仅仅是为了安全、节省大量的带宽,而且也可以有效推动内部对docker的有效利用,如下图:

 

  Docker公司的 docker registry也是开源的,我们可以很容易的架设自己的私有docker registry,启动时典型的docker方式,就是:

  1.$ docker run -d -p 5000:5000 registry

  使用也很简单了,下面的命令就是把官方的ubuntu镜像放在私有的registry:

  1.$ docker tag ubuntu company.com:5000/ubuntu

  2.$ docker push company.com:5000/ubuntu

  不过他有以下几个问题:

  registry缺省没有安全权限的设置,任何人都可以pull、push,这个基本上是不能接受的。

  十月发布的docker 1.3.x版本的发布有很多新的功能,但也强制基本鉴定(basic authentication)必须使用https,极其烦人。

  这篇博客就把作者做的一些实验分享给大家,让你也能在docker环境下起这些服务体会一下,再简单解释一下是如何用nginx来怎么这些问题。所有的实验都是在Windows boot2docker的环境下完成,理解后在其他docker环境应该也一样。

  先会把成功的环境演示一下,后面再把其中的技术稍微解释一下。

  演示环境说明

  让我们先来看看这个nginx+registry的服务是怎么组成的。

 

 

  dokk.co 这是docker服务器的名字也就是你的公司docker私有服务器的地址,因为https的SSL证书不能用IP地址,我就随便找了个名字,做实验没有问题。

  registry 服务器作为上游服务器处理docker镜像的最终上传和下载,用的是官方的镜像。

  nginx 是一个用nginx作为反向代理服务器,通过模块提供https的ssl的认证和basic authentication,加上必要的配置,用的是我自己做的一个镜像 larrycai/nginx-auth-proxy 。

  这里可以看到典型的互联网服务,nginx把这些https、认证服务搞定,registry关注docker的镜像服务就可以了。

  可以很方便的启动这些服务,命令如下:

  1.$ docker run -d --name registry -p 5000:5000 registry

  2.$ docker run -d --name nginx --link registry:registry -p 443:443 larrycai/nginx-auth-proxy

  命令稍加解释一下

  --name registry:这是docker的容器链接(link)技术,为了方便 nginx 容器的访问 registry(对应 --link registry:registry ),稍后还有解释。

  -p 5000:5000 registry 作为上游服务器,这个 5000 端口可以不用映射出来,因为所有的外部访问都是通过前端的nginx来提供,nginx 可以在私有网络访问 registry 。端口映射出来只是为了方便调试,确保查看 registry 是否独立也能工作。

  -p 443:443 就是对外服务的https端口。

  尝试

  多说无益,尝试一下,看看到底现在可以能做啥了。

  Registry服务

  先验证 registry 是否正常:

 

  结果一切正常,registry已经能提供后端的 docker registry 服务了。

  docker的HTTPS服务

  现在看看nginx的https服务怎么样,先用curl命令。( larrycai:passwd 是我预先放置的用户和密码)

  1.$ curl -i -k https://larrycai:passwd@dokk.co

  噢

  1.curl: (6) Couldn't resolve host 'dokk.co'

  对了,这是自己杜撰的域名,需要在 /etc/hosts的localhost 后面加上 dokk.co ,如下。
  

 

  再来一次尝试一下

 

 

  说明连通了 nginx 和 registry 。说句实话,以前我没玩过nginx,看到这么简单,还是有点小激动,这么容易。

  实际上也打开浏览器访问 https://192.168.59.103 , 192.168.59.103是 boot2docker 的VM的IP地址(你可以换成你的docker机器的IP地址)

 


  忽略安全告警后,输入用户名和密码 larrycai:passwd ,还是正确的访问到了上游的registry了。我用的是chrome,如果是IE,可能会要你存盘才能看到 "\"docker-registry server\"" 这行字符串。

  docker 的 login 服务

  如果我们希望 docker push 需要访问控制的话,在docker中是通过 docker login 先来登录的,成功后的配置信息存放在 ~/.dockercfg 。

  先来试试不登录的情况:

 

   看上去没啥反应,也没报啥错,但是明显没有 push 上去,再去docker的log( /var/lib/boot2docker/docker.log )中查查

 

   可以发现提示需要鉴权,和预想的一样(这里要理解是docker的daemon和registry交互而不是docker客户)

  好吧,先用docker登陆是否成功。

 

声明:本文转载于网络,文章链接:http://www.nd9p.com/278.html