保护本地docker私人registry
我试图创build一个安全的私人Dockerregistry,只能在本地networking工作,并通过IP地址访问。 我已经阅读了很多关于这个问题的文章,但是他们大多数都在谈论需要一个注册域名指向一个有效的公共IP地址(registry在哪里),然后获得这个域名的证书。
我想知道是否有创build一个dockerregistry具有以下属性的方法:
-
只能从本地networking访问
-
用有效证书保护(不是由docker工人认为“不安全”的自签名证书)
我将如何获得这样一个registry的有效证书? 据我所知,证书不能单独为IP地址创build,但我可以为注册的域名生成证书,但不指向任何公共IP(我已经读过关于dns-01的一些挑战,所以我相信这是可能的),然后使用该证书,只要将该域映射到我的hosts文件中的服务器的本地IP即可。
如果这是不可能的,创造一个安全,本地,私人dockerregistry的最佳select是什么?
使用Nginx来保护你的Docker Registry。
相关文件在这里:
https://github.com/docker/distribution/tree/master/contrib/compose
如果将根CA添加到/ usr / local / share / ca-certificates并在客户端上运行update-ca-certificates命令,则可以使用自签名证书。