ThinkChat2.0新版上线,更智能更精彩,支持会话、画图、阅读、搜索等,送10W Token,即刻开启你的AI之旅 广告
# 搭建docker私有化镜像仓库 基于操作系统:CentOS 8.4 **搭建此私有镜像仓库是为了制作并推送商城后端服务。** 1. 更换国内镜像加速器。 ~~~shell "registry-mirrors": [ "https://docker.m.daocloud.io", "https://dockerproxy.com", "https://docker.mirrors.ustc.edu.cn", "https://docker.nju.edu.cn" ] ~~~ 2. 修改/etc/docker/daemon.json文件: ~~~powershell vim /etc/docker/daemon.json ~~~ 以下内容: ~~~powershell { "log-driver":"json-file", "log-opts": {"max-size":"50m", "max-file":"3"}, "registry-mirrors": [ "https://docker.m.daocloud.io", "https://dockerproxy.com", "https://docker.mirrors.ustc.edu.cn", "https://docker.nju.edu.cn" ] } ~~~ 3. Docker开启远程API: 用vim编辑器修改docker.service文件: ~~~powershell vim /usr/lib/systemd/system/docker.service ~~~ ~~~ 需要修改的部分: ~~~ ~~~powershell ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock ~~~ ~~~ 修改后的部分: ~~~ ~~~powershell ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock ~~~ #### **注意:**如果docker服务使用宝塔安装的,以上修改配置文件的路径不生效的,可以查看修改配置文件路径为:`/etc/systemd/system/docker.service.d/docker.conf` 修改后的部分: ~~~shell ExecStart=/usr/bin/dockerd --default-ulimit nofile=65535:65535 -H fd:// -H tcp://0.0.0.0:2375 --tlsverify --tlscacert=/data/docker-ca/ca.pem --tlscert=/data/docker-ca/server-cert.pem --tlskey=/data/docker-ca/server-key.pem ~~~ ![](https://docs.suteshop.com/uploads/shopsuite-java/images/m_9d8fd9a1cc88929d068073ff5e39b45b_r.png "null") 3. 重启docker: ~~~powershell sudo systemctl daemon-reload sudo systemctl restart docker ~~~ 4. 下载registry:2.5镜像 ~~~powershell docker pull registry:2.5 ~~~ 5. 创建用于持久化保存仓库中的镜像目录及相关配置。 ~~~powershell mkdir -p /data/registry mkdir -p /data/registry/auth mkdir -p /data/registry/config ~~~ 6. 生成账号密码: ~~~powershell docker run --entrypoint htpasswd registry:2.5 -Bbn name password >> /data/registry/auth/htpasswd ~~~ 7. 设置配置文件: ~~~powershell vim /data/registry/config/config.yml ~~~ 以下内容: ~~~powershell version: 0.1 log: fields: service: registry storage: delete: enabled: true cache: blobdescriptor: inmemory filesystem: rootdirectory: /var/lib/registry http: addr: :5000 headers: X-Content-Type-Options: [nosniff] health: storagedriver: enabled: true interval: 10s threshold: 3 ~~~ 8. 启动镜像: ~~~powershell docker run -d -p 5000:5000 --restart=always --name=registry \ -v /data/registry/config/:/etc/docker/registry/ \ -v /data/registry/auth/:/auth/ \ -e "REGISTRY_AUTH=htpasswd" \ -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \ -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \ -v /data/registry/:/var/lib/registry/ \ registry:2.5 ~~~ 9. 开启 http 形式访问私有仓库模式: ~~~powershell vim /etc/docker/daemon.json ~~~ 加入以下内容:127.0.0.1换成你自己的IP。 ~~~powershell {"insecure-registries":["127.0.0.1:5000"]} ~~~ 10. 重启docker: ~~~powershell sudo systemctl daemon-reload sudo systemctl restart docker ~~~ ## 由于端口暴露在外网,考虑安全性增加ca证书验证。 11. 创建存放证书的目录: ~~~shell mkdir /data/docker-ca && cd /data/docker-ca ~~~ 12. 创建CA证书私钥,期间需要输入两次用户名和密码,生成文件为ca-key.pem; ~~~shell openssl genrsa -aes256 -out ca-key.pem 4096 ~~~ 13. 根据私钥创建CA证书,期间需要输入上一步设置的私钥密码,生成文件为ca.pem; ~~~shell openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem ~~~ 14. 创建服务端私钥,生成文件为server-key.pem; ~~~shell openssl genrsa -out server-key.pem 4096 ~~~ 15. 创建服务端证书签名请求文件,用于CA证书给服务端证书签名,生成文件server.csr; ~~~shell openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr ~~~ 16. 创建CA证书签名好的服务端证书,期间需要输入CA证书私钥密码,生成文件为server-cert.pem; ~~~shell openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem ~~~ 17. 创建客户端私钥,生成文件为key.pem; ~~~shell openssl genrsa -out key.pem 4096 ~~~ 18. 创建客户端证书签名请求文件,用于CA证书给客户证书签名,生成文件client.csr; ~~~shell openssl req -subj "/CN=client" -new -key key.pem -out client.csr ~~~ 19. 为了让秘钥适合客户端认证,创建一个扩展配置文件extfile-client.cnf; ~~~shell echo extendedKeyUsage = clientAuth > extfile-client.cnf ~~~ 20. 创建CA证书签名好的客户端证书,期间需要输入CA证书私钥密码,生成文件为cert.pem; ~~~shell openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf ~~~ 21. 删除创建过程中多余的文件; ~~~shell rm -rf ca.srl server.csr client.csr extfile-client.cnf ~~~ 22. 最终生成文件如下,有了它们我们就可以进行基于TLS的安全访问了。 ~~~shell ca.pem CA证书 ca-key.pem CA证书私钥 server-cert.pem 服务端证书 server-key.pem 服务端证书私钥 cert.pem 客户端证书 key.pem 客户端证书私钥 ~~~ 23. 配置Docker支持TLS,用vim编辑器修改docker.service文件; ~~~shell vim /usr/lib/systemd/system/docker.service ~~~ 24. 修改以ExecStart开头的配置,开启TLS认证,并配置好CA证书、服务端证书和服务端私钥,修改内容如下; ~~~shell ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 --tlsverify --tlscacert=/data/docker-ca/ca.pem --tlscert=/data/docker-ca/server-cert.pem --tlskey=/data/docker-ca/server-key.pem -H unix://var/run/docker.sock --data-root /data/docker ~~~ #### **注意:**如果docker服务使用宝塔安装的,以上修改配置文件的路径不生效的,可以查看修改配置文件路径为:`/etc/systemd/system/docker.service.d/docker.conf` 修改后的部分: ~~~shell ExecStart=/usr/bin/dockerd --default-ulimit nofile=65535:65535 -H fd:// -H tcp://0.0.0.0:2375 --tlsverify --tlscacert=/data/docker-ca/ca.pem --tlscert=/data/docker-ca/server-cert.pem --tlskey=/data/docker-ca/server-key.pem ~~~ ![](https://docs.suteshop.com/uploads/shopsuite-java/images/m_9d8fd9a1cc88929d068073ff5e39b45b_r.png "null") 25. 重启Docker服务,这样我们的Docker服务就支持使用TLS进行远程访问了! ~~~shell systemctl daemon-reload systemctl restart docker ~~~ 26. 下载证书: ~~~shell ca.pem CA证书 cert.pem 客户端证书 key.pem 客户端证书私钥 ~~~ **代码中已集成** 使用docker-maven-plugin来打包Docker镜像: 注意:一定要加https。开启TLS不再支持http了,需要改用https,修改配置为https。否则报:`HTTP 400 Bad Request` ~~~shell <dockerHost>https://192.168.3.101:2375</dockerHost> <dockerCertPath>D:\docker-ca</dockerCertPath> #本机存放证书密码的目录 ~~~