docker registry 介紹

docker registry 就是管理 docker 鏡像的服務(wù)， Docker 公司維護的 registry 就是 http://hub.docker.com ，它可以讓我們方便的下載預(yù)先做好的鏡像。

$ docker pull ubuntu 

上面的命令就是缺省的從這個Docker官方源下載。在國內(nèi)為了加快訪問，你也可以使用 docker.cn 的服務(wù)，他們同步了常用的鏡像，使用也非常方便，如：

$ docker pull docker.cn/docker/ubuntu 

大部分公司在推廣使用 docker 時，都會為了使用方便，在公司內(nèi)部自己架設(shè)一個，不僅僅是為了安全、節(jié)省大量的帶寬，而且也可以有效推動內(nèi)部對docker的有效利用，如下圖:

Docker公司的 docker registry也是開源的，我們可以很容易的架設(shè)自己的私有docker registry，啟動時典型的docker方式，就是：

$ docker run -d -p 5000:5000 registry 

使用也很簡單了，下面的命令就是把官方的ubuntu鏡像放在私有的registry：

$ docker tag ubuntu company.com:5000/ubuntu 
$ docker push company.com:5000/ubuntu 

不過他有以下幾個問題：

• registry缺省沒有安全權(quán)限的設(shè)置，任何人都可以pull、push，這個基本上是不能接受的。
• 十月發(fā)布的docker 1.3.x版本的發(fā)布有很多新的功能，但也強制基本鑒定（basic authentication）必須使用https，極其煩人。

這篇博客就把作者做的一些實驗分享給大家，讓你也能在docker環(huán)境下起這些服務(wù)體會一下，再簡單解釋一下是如何用nginx來怎么這些問題。所有的實驗都是在Windows boot2docker的環(huán)境下完成，理解后在其他docker環(huán)境應(yīng)該也一樣。

先會把成功的環(huán)境演示一下，后面再把其中的技術(shù)稍微解釋一下。

#p#

演示環(huán)境說明

讓我們先來看看這個nginx+registry的服務(wù)是怎么組成的。

dokk.co 這是docker服務(wù)器的名字也就是你的公司docker私有服務(wù)器的地址，因為https的SSL證書不能用IP地址，我就隨便找了個名字，做實驗沒有問題。

registry 服務(wù)器作為上游服務(wù)器處理docker鏡像的最終上傳和下載，用的是官方的鏡像。

nginx 是一個用nginx作為反向代理服務(wù)器，通過模塊提供https的ssl的認(rèn)證和basic authentication，加上必要的配置，用的是我自己做的一個鏡像 larrycai/nginx-auth-proxy 。

這里可以看到典型的互聯(lián)網(wǎng)服務(wù)，nginx把這些https、認(rèn)證服務(wù)搞定，registry關(guān)注docker的鏡像服務(wù)就可以了。

可以很方便的啟動這些服務(wù)，命令如下：

$ docker run -d --name registry -p 5000:5000 registry 
$ docker run -d --name nginx --link registry:registry -p 443:443 larrycai/nginx-auth-proxy 

命令稍加解釋一下

--name registry:這是docker的容器鏈接(link)技術(shù)，為了方便 nginx 容器的訪問 registry（對應(yīng) --link registry:registry )，稍后還有解釋。
-p 5000:5000 registry 作為上游服務(wù)器，這個 5000 端口可以不用映射出來，因為所有的外部訪問都是通過前端的nginx來提供，nginx 可以在私有網(wǎng)絡(luò)訪問 registry 。端口映射出來只是為了方便調(diào)試，確保查看 registry 是否獨立也能工作。
-p 443:443 就是對外服務(wù)的https端口。

嘗試

多說無益，嘗試一下，看看到底現(xiàn)在可以能做啥了。
Registry服務(wù)

先驗證 registry 是否正常：

$ docker pull hello-world # 這個hello world包很小，適合做實驗 
$ docker tag hello-world localhost:5000/hello-world 
$ docker push localhost:5000/hello-world 
The push refers to a repository [localhost:5000/hello-world] (len: 1) 
Sending image list 
Pushing repository localhost:5000/hello-world (1 tags) 
511136ea3c5a: Image successfully pushed 
7fa0dcdc88de: Image successfully pushed 
ef872312fe1b: Image successfully pushed 
Pushing tag for rev [ef872312fe1b] on {http://localhost:5000/v1/repositories/hello-world/tags/latest} 

結(jié)果一切正常，registry已經(jīng)能提供后端的 docker registry 服務(wù)了。

#p#

docker的HTTPS服務(wù)

現(xiàn)在看看nginx的https服務(wù)怎么樣，先用curl命令。（ larrycai:passwd 是我預(yù)先放置的用戶和密碼）

$ curl -i -k https://larrycai:passwd@dokk.co 

噢

curl: (6) Couldn't resolve host 'dokk.co' 

對了，這是自己杜撰的域名，需要在 /etc/hosts的localhost 后面加上 dokk.co ，如下。

$ cat /etc/hosts 
127.0.0.1 boot2docker localhost localhost.local dokk.co 

再來一次嘗試一下

$ curl -i -k https://larrycai:passwd@dokk.co 
HTTP/1.1 200 OK 
Server: nginx/1.6.2 
Date: Sat, 29 Nov 2014 09:21:18 GMT 
Content-Type: application/json 
Content-Length: 28 
Connection: keep-alive 
Expires: -1 
Pragma: no-cache 
Cache-Control: no-cache 
 
"\"docker-registry server\"" 

說明連通了 nginx 和 registry 。說句實話，以前我沒玩過nginx，看到這么簡單，還是有點小激動，這么容易。

實際上也打開瀏覽器訪問 https://192.168.59.103 , 192.168.59.103是 boot2docker 的VM的IP地址(你可以換成你的docker機器的IP地址）

忽略安全告警后，輸入用戶名和密碼 larrycai:passwd ，還是正確的訪問到了上游的registry了。我用的是chrome，如果是IE，可能會要你存盤才能看到 "\"docker-registry server\"" 這行字符串。

#p#

docker 的 login 服務(wù)

如果我們希望 docker push 需要訪問控制的話，在docker中是通過 docker login 先來登錄的，成功后的配置信息存放在 ~/.dockercfg 。

先來試試不登錄的情況：

$ docker tag hello-world dokk.co/hello-world 
$ docker push dokk.co/hello-world 
The push refers to a repository [dokk.co/hello-world] (len: 1) 
Sending image list 

看上去沒啥反應(yīng)，也沒報啥錯，但是明顯沒有 push 上去，再去docker的log（ /var/lib/boot2docker/docker.log ）中查查

docker@boot2docker:~$ tail -f /var/lib/boot2docker/docker.log 
[debug] http.go:162 https://dokk.co/v1/repositories/hello-world/ -- HEADERS: map[User-Agent:[docker/1.3.2 go/go1.3.3 git-commit/39fa2fa kernel/3.16.7-tinycore64 os/linux arch/amd64] Authorization:[Basic Og==]] 
Error: Status 401 trying to push repository hello-world: <html> 
<head><title>401 Authorization Required</title></head> 
<body bgcolor="white"> 
<center><h1>401 Authorization Required</h1></center> 
<hr><center>nginx/1.6.2</center> 
</body> 
</html> 
 
[00246b13] -job push(dokk.co/hello-world) = ERR (1) 

可以發(fā)現(xiàn)提示需要鑒權(quán)，和預(yù)想的一樣（這里要理解是docker的daemon和registry交互而不是docker客戶）

好吧，先用docker登陸是否成功。

$ docker login -u larrycai -p passwd -e test@gmail.com dokk.co 
2014/11/29 12:42:12 Error response from daemon: Server Error: Post https://dokk.co/v1/users/: x509: certificate signed by unknown authority 

OMG，鏡像內(nèi)部放的自簽名證書它不相信，我們需要把服務(wù)器的根證書在docker這端自己認(rèn)證一下。

讓我們把我做 dokk.co 的根證書 ca.pem 下載下來，再加入到 boot2docker 的證書（ /etc/ssl/certs/ca-certificates.crt ）中。當(dāng)然為了演示方便， ca.pem 已經(jīng)放在容器中了，你可以直接把它拷貝出來。( docker cp 是個好命令，別忘了）

$ docker cp nginx:/ca.pem $PWD 
$ cat ca.pem | sudo tee -a /etc/ssl/certs/ca-certificates.crt 

不好意思，證書是docker的daemon需要用到的，docker服務(wù)需要重啟。先停掉服務(wù)是個好習(xí)慣（體會到加 --name 的好處了吧）。

$ docker rm -f registry nginx 
$ sudo /etc/init.d/docker restart 

然后再次運行registry和nginx服務(wù)，然后 login

$ docker run -d --name registry -p 5000:5000 registry 
$ docker run -d --name nginx --link registry:registry -p 443:443 larrycai/nginx-auth-proxy 
$ docker login -u larrycai -p passwd -e test@gmail.com dokk.co 
Login Succeeded 

再上傳試試

$ docker tag hello-world dokk.co/hello-world 
$ docker push dokk.co/hello-world 
Sending image list 
Pushing repository dokk.co/hello-world (1 tags) 
511136ea3c5a: Image successfully pushed 
7fa0dcdc88de: Image successfully pushed 
ef872312fe1b: Image successfully pushed 
Pushing tag for rev [ef872312fe1b] on {https://dokk.co/v1/repositories/hello-world/tags/latest} 

一切***，測試結(jié)束，永遠的v5。

#p#

技術(shù)討論

現(xiàn)在來簡單過一遍一些技術(shù)要點，不懂nginx的話也沒多大關(guān)系，看懂關(guān)鍵點，多做實驗。

basic auth

可以在 Dockerfile 中看到 nginx 編譯的時候加載了 http_auth_request 模塊 
 
RUN curl -s http://nginx.org/download/nginx-1.6.2.tar.gz | tar -xz -C /tmp \ 
&& cd /tmp/nginx-1.6.2 \ 
&& ./configure --with-http_ssl_module --with-http_auth_request_module && make && make install  

然后在 nginx.conf 中配好用戶名密碼文件 docker-registry.htpasswd ，這個文件是有 htpasswd 命令產(chǎn)生。

location / { 
auth_basic "Restricted"; 
auth_basic_user_file docker-registry.htpasswd; # larrycai:passwd 
proxy_pass http://docker-registry; 
} 

你可以試著進入 nginx 容器，運行 htpasswd 命令（ docker exec 也是一個神奇的命令）

$ docker exec -it nginx bash 
root@ea80e44b037b:/# htpasswd -c .htpasswd newuser 
New password: 
Re-type new password: 
Adding password for user newuser 
root@ea80e44b037b:/# cat .htpasswd 
newuser:$apr1$ZVVA17EI$pGLB1MtHbyML.K/ZfWNHD1 

https ssl認(rèn)證

上面可以看到， nginx 編譯的時候加載了 http_ssl 模塊。在 Dockerfile 中把預(yù)先創(chuàng)好的證書文件 server.crt/server.key 放到鏡像中

ADD server.crt /etc/ssl/certs/docker-registry 
ADD server.key /etc/ssl/private/docker-registry 

然后在 nginx.conf 中把 ssl 開關(guān)打開，配好證書。

ssl on; 
ssl_certificate /etc/ssl/certs/docker-registry; 
ssl_certificate_key /etc/ssl/private/docker-registry; 

關(guān)于https自簽名證書的問題，自己可以搜索學(xué)習(xí)，我是照著 Building private Docker registry with basic authentication 做的，關(guān)鍵是還要保留CA的證書，應(yīng)該可以從瀏覽器中導(dǎo)出，我就直接放在鏡像里了。

在 boot2docker 下如何處理證書，可以查看 boot2docker的issues #347 。現(xiàn)在重啟后，證書目錄會重置，現(xiàn)在可以放在腳本中 /var/lib/boot2docker/bootlocal.sh 自動加載，代碼如下。

#!/bin/sh 
cat /var/lib/boot2docker/ca.pem | sudo tee -a /etc/ssl/certs/ca-certificates.crt 

nginx 到 docker registry

這個如果有 nginx 的知識一看就明白了，不懂的話，直接使用就好了，官方配置 https://github.com/docker/docker-registry/tree/master/contrib/nginx ，主要就是下面一些代碼 
 
proxy_set_header Host $http_host; # required for docker client's sake 
proxy_set_header X-Real-IP $remote_addr; # pass on real client's IP 
proxy_set_header Authorization ""; # see https://github.com/dotcloud/docker-registry/issues/170 
proxy_read_timeout 900; 
 
client_max_body_size 0; # disable any limits to avoid HTTP 413 for large image uploads 
chunked_transfer_encoding on; # required to avoid HTTP 411: see Issue #1486 (https://github.com/dotcloud/docker/issues/1486) 
 
root /usr/local/nginx/html; 
index index.html index.htm; 
 
location / { 
auth_basic "Restricted"; 
auth_basic_user_file docker-registry.htpasswd; # testuser:testpasswd & larrycai:passwd 
proxy_pass http://docker-registry; 
} 
 
location /v1/_ping { 
auth_basic off; 
proxy_pass http://docker-registry; 
} 
 
location /_ping { 
auth_basic off; 
proxy_pass http://docker-registry; 
} 

#p#

摘要

在這篇博客中，我們演示了如何用Nginx作為前端服務(wù)器來解決Docker 私有registry的安全認(rèn)證問題，通過它，你應(yīng)該可以架設(shè)一個可以使用的安全的私有regsitry。

• 用nginx配好basic auth (使用htpasswd）
• 做好https自簽名證書
• 用nginx配好https服務(wù)
• 把CA根證書導(dǎo)入要訪問的docker機器

所有的代碼你都可以在 github上的larrycai/nginx-auth-proxy 上找到。

當(dāng)然現(xiàn)在常用的 pull 命令下載鏡像也要認(rèn)證了，在公司內(nèi)部會非常討厭，***是可以匿名訪問。而且一些出錯處理也很簡單，這些用nginx是比較容易實現(xiàn)的，有機會的話，我會再寫博客講解，如果你有好的方案的話，也請告知。

Docker 可以幫助我們做很多事情，關(guān)注我的新浪微博 @larrycaiyu ，我特別愿意探討軟件開發(fā)中如何使用docker。

原文出自：https://docker.cn/p/private-docker-registry-with-nginx