本篇內(nèi)容主要講解“私有安全docker registry授權(quán)訪問實驗分析”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“私有安全docker registry授權(quán)訪問實驗分析”吧!

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供海州網(wǎng)站建設(shè)、海州做網(wǎng)站、海州網(wǎng)站設(shè)計、海州網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、海州企業(yè)網(wǎng)站模板建站服務(wù)，十余年海州做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

實驗環(huán)境

服務(wù)器端：使用registry v2.1啟動容器。
客戶端：安裝了Docker的機(jī)器，準(zhǔn)備pull/push操作

實驗條件：
registry端生成私鑰以及證書：

1

openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key -x509 -days 365 -out certs/domain.crt

并啟動：

1
2
3
4
5
6

docker run -d -p 5000:5000 --restart=always \
--name registry  -v `pwd`/certs:/certs \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
-v /images/:/var/lib/registry \
registry:2.1

實驗一

測試不安全的訪問：
docker端不存放證書。直接下載鏡像

1

docker pull registry.test.com:5000/test-busybox:v1

提示錯誤：

Error response from daemon: unable to ping registry endpoint https://registry.test.com:5000/v0/
v2 ping attempt failed with error: Get https://registry.test.com:5000/v2/: x509: certificate signed by unknown authority
v1 ping attempt failed with error: Get https://registry.test.com:5000/v1/_ping: x509: certificate signed by unknown authority

表示訪問的是安全倉庫，但是禁止訪問。同樣如果docker push的話也會提示：

The push refers to a repository     [registry.test.com:5000/test-busybox] (len: 1)
unable to ping registry endpoint https://registry.test.com:5000/v0/
v2 ping attempt failed with error: Get https://registry.test.com:5000/v2/: x509: certificate signed by unknown authority
v1 ping attempt failed with error: Get https://registry.test.com:5000/v1/_ping: x509: certificate signed by unknown authority

這個時候可以開啟docker daemon的不安全訪問，即在/etc/defaults/docker文件里，找到DOCKER_OPT參數(shù)，在后面追加–insecure-registry registry.test.com:5000。并重啟docker daemon。

再次測試docker push 和 docker pull。成功。

此時測試：

1

curl -XGET https://registry.test.com:5000/v2/_catalog

提示禁止訪問：

curl: (60) SSL certificate problem: self signed certificate
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
of Certificate Authority (CA) public keys (CA certs). If the default
bundle file isn't adequate, you can specify an alternate file using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure) option.

如果使用-k 或者 –insecure參數(shù)的話可以訪問到registry的相應(yīng)內(nèi)容。

實驗二

測試安全訪問，證書存放在/etc/docker/certs.d/registry.test.com:5000/下面。

實驗條件，首先使用scp命令將registry端前面生成的domain.crt拷貝到docker端。然后創(chuàng)建路徑：/etc/docker/certs.d/registry.test.com:5000/，并將domain.crt復(fù)制過去。

測試docker pull / docker push?？沙晒?。說明此證書是即刻生效的。

如果將domain.crt從該路徑移走，docker pull / docker push失敗。

對于curl的測試：
curl -XGET方式提示禁止訪問
curl –insecure方式可訪問
而使用證書的訪問：

1

curl --cacert /etc/docker/certs.d/registry.test.com\:5000/domain.crt -XGET https://registry.test.com:5000/v2/_catalog

是成功的。

實驗三

測試安全訪問，證書放在/usr/local/share/ca-certificate/domain.crt。

實驗條件，首先使用scp命令將registry端前面生成的domain.crt拷貝到docker端，然后再移動到路徑：/usr/local/share/ca-certificate/下。

此時進(jìn)行docker push / docker pull是失敗的。需要更新證書。

使用命令更新證書：

1

update-ca-certificate

現(xiàn)在再docker push / docker pull仍失敗。還需要重啟docker daemon。
重啟之后的docker push / docker pull是成功的。

測試curl，如果不帶證書的訪問，同樣可以正常訪問。

同樣，再移除了/usr/local/share/ca-certificate/domain.crt之后，更新update-ca-certificate之后，docker pull / docker push仍成功。

在重啟了docker daemon之后，docker push / docker pull失敗。

實驗結(jié)論

對于使用了SSL方式進(jìn)行授權(quán)訪問的私有docker registry。對于它的訪問，有3種方式：

1. 修改docker daemon的配置，添加--insecure-registry ...的形式訪問。
2. 將證書拷貝到docker的certs.d路徑下，證書只對docker daemon生效，立即生效
3. 將證書拷貝到/usr/local/share/ca-certificate/....的路徑里，證書在更新update-ca-certificate之后全局生效，docker daemon需重啟

小問題

通過將擁有證書的一方視為可信的一方來授權(quán)訪問是沒有問題的。在這種形式里，雙方都認(rèn)為對方是可信的。

但前面也提示了可以加–insecure參數(shù)進(jìn)行不安全訪問，這表示docker端不在意registry是否可信，而registry端也并不阻攔docker端的訪問。這樣安全性就降低了很多。

關(guān)于update-ca-certificates

通過update-ca-certificates的man page可以了解到，

它會更新/etc/ssl/certs，并讀取/etc/ca-certificates.conf，這個文件中每行都是在/usr/share/ca-certificates的文件都是可信的。

而在/usr/local/share/ca-certificates下的.crt文件也視作可信

一般ca-certificate路徑有：

/etc/ca-certificates
/usr/share/ca-certificates
/usr/share/doc/ca-certificates
/usr/local/share/ca-certificates

到此，相信大家對“私有安全docker registry授權(quán)訪問實驗分析”有了更深的了解，不妨來實際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！

分享文章：私有安全dockerregistry授權(quán)訪問實驗分析
瀏覽地址：http://aaarwkj.com/article12/jpoddc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、用戶體驗、移動網(wǎng)站建設(shè)、面包屑導(dǎo)航、軟件開發(fā)、小程序開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)