背景
開啟 HTTPS 方式大概分為兩種,一種為Nexus 服務本身開啟代理,另外一種使用 Nginx 進行反向代理實現 HTTPS, 由於我使用的方式是使用 Docker 進行的Nexus 的配置, 故使用第二種方式 Nginx反向代理實現各個倉庫的 HTTPS。
操作
一、制作自簽證書
使用https://github.com/Fishdrowned/ssl,使用腳本自動生成需要的域名證書。(需要在hosts文件給定域名的解析地址)
[root@k8s ~]# cat /etc/hosts 10.22.1.22 best-docker.com
| 參數 | 意義 |
| C | 國家 |
| ST | 州 |
| L | 本地名稱 |
| O | 組織名稱 |
| OU | 組織單元名稱 |
| CN | 命令名稱 |
腳本參數修改位置:
gen.cert.sh:
gen.root.sh:
二、nginx反向代理https
將證書配置在nginx服務器上,並在nginx配置中添加如下(docker-practice里的)
upstream register { server "YourHostName OR IP":5001; #端口為上面添加的私有鏡像倉庫是設置的 HTTP 選項的端口號 check interval=3000 rise=2 fall=10 timeout=1000 type=http; check_http_send "HEAD / HTTP/1.0\r\n\r\n"; check_http_expect_alive http_4xx; } server { server_name YourDomainName;#如果沒有 DNS 服務器做解析,請刪除此選項使用本機 IP 地址訪問 listen 443 ssl; ssl_certificate key/example.com.bundle.crt; ssl_certificate_key key/example.com.key.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; large_client_header_buffers 4 32k; client_max_body_size 300m; client_body_buffer_size 512k; proxy_connect_timeout 600; proxy_read_timeout 600; proxy_send_timeout 600; proxy_buffer_size 128k; proxy_buffers 4 64k; proxy_busy_buffers_size 128k; proxy_temp_file_write_size 512k; location / { proxy_set_header Host $host; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Port $server_port; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; proxy_redirect off; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://register; proxy_read_timeout 900s; } error_page 500 502 503 504 /50x.html; }
注意上述nginx的upstream配置的端口如果是docker-group端口,則該域名只能pull不能push;如果要push私有倉庫,則需要另外配置docker-hosted端口,然后代理該端口,才能push。
三、客戶端配置
(1)、添加證書
將公鑰放在/etc/pki/ca-trust/source/anchors/下,然后運行命令,更新信任ca。
cp xxxx.com.bundle.crt /etc/pki/ca-trust/source/anchors/ #運行命令,更新信任ca update-ca-trust
(2)、配置docker的鏡像倉庫
vim /etc/docker/daemon.json
{ "registry-mirrors": [ "https://registry.best-docker.com" ] }
然后
#重啟docker
systemctl restart docker
如果對nexus的hosted端口做了https代理,因為docker的pull/push默認是使用https,假設域名為hub.best-docker.com,則直接在客戶端如下就可以push:
docker login hub.best-docker.com
docker tag nginx:latest hub.best-docker.com/test/nginx:0.1 docker push hub.best-docker.com/test/nginx:0.1
四、nexus私有倉庫的pull/push
(1)、nexus配置的倉庫類型只有hosted可以push,其他的都不能push,但是三種類型倉庫都可以pull。
(2)、pull/push地址說明:
該命令是push鏡像到hub.best-docker.com
docker push hub.best-docker.com/test/nginx_lingjian:0.1
該命令是從hub.best-docker.com中下載鏡像,與daemon.json配置沒有關系。
docker pull hub.best-docker.com/test/nginx_lingjian:0.1
如果hub.best-docker.com代理的docker-hosted在registry.best-docker.com代理的docker-group中則也可以使用如下命令pull鏡像:
docker pull registry.best-docker.com/test/nginx_lingjian:0.1
只要往nexus上push完后,可以直接用docker-group的代理pull鏡像
FAQ:
1、push 鏡像到nginx反向代理私有倉庫報錯: error parsing HTTP 404 response body: invalid character '<' looking for beginning of value:
該問題可能是因為往不能push的docker-group上執行push導致,只需要push地址修改為docker-host的地址即可push成功。
2、push 鏡像到nginx反向代理私有倉庫報錯:error parsing HTTP 411 response body: invalid character '<' looking for beginning of value:
網上說是導致問題的原因是 tengine 的 nginx 版本過低, 不支持 chunked-encoding(分塊傳輸編碼) 請求,就會返回 411。我查看我tengine內置的nginx版本為1.2.x,升級tengine版本至最新問題解決。