🐳 Настройка локального реджестри для Docker контейнеров с помощью Podman & Let’s Encrypt SSL — Information Security Squad
🐳 Настройка локального реджестри для Docker контейнеров с помощью Podman & Let’s Encrypt SSL

Частный реджестри или проще говоря реестр для образов контейнеров позволяет вам работать в защищенном режиме локально, поскольку вы всем управляете.

С помощью реестра контейнеров вы создаете образы контейнеров на любом компьютере и помещаете их в локальный реестр контейнеров с помощью Docker или Podman CLI.

Это руководство покажет вам, как создать локальный реестр образов контейнера Docker с помощью Podman.

Podman — это демон-контейнерный движок для разработки, управления и запуска OCI-контейнеров в вашей системе Linux.

У нас есть много руководств по установке Podman:

После установки Podman вы можете приступить к созданию локального реестра Docker.

Шаг 1: Создать домен для реестра Docker

Я создам поддомен для реестра контейнеров — registry.itsecforu.ru и обновлю для него DNS-запись.

Подтвердите, что запись заполнена после ее включения:
$ dig A registry.itsecforu.ru

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el8 <<>> A registry.itsecforu.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23567
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;registry.itsecforu.ru.	IN	A

;; ANSWER SECTION:
registry.itsecforu.ru.	300 IN	A	159.69.179.51

;; Query time: 14 msec
;; SERVER: 213.133.98.98#53(213.133.98.98)
;; WHEN: Thu Jan 16 11:25:14 CET 2020
;; MSG SIZE  rcvd: 75

Шаг 2. Создание незащищенного реестра

Если вы размещаете свой домен локально или хотите использовать реестр без SSL-сертификатов, вы можете сделать это, хотя это не рекомендуется для производственного использования.

Убедитесь, что podman установлен:

$ podman version
Version:            1.4.2-stable2
RemoteAPI Version:  1
Go Version:         go1.12.8
OS/Arch:            linux/amd64

Создайте каталог данных:

sudo mkdir -p /var/lib/registry

Создайте свой небезопасный частный реестр следующим образом:

podman run --privileged -d \
  --name registry \
  -p 5000:5000 \
  -v /var/lib/registry:/var/lib/registry \
  --restart=always \
  registry:2
Содержимое реестра будет храниться в /var/lib/Containers/registry на хост-системе.

Вот мой результат выполнения:

Trying to pull docker.io/library/registry:2...Getting image source signatures
Copying blob c87736221ed0 done
Copying blob e8afc091c171 done
Copying blob 54d33bcb37f5 done
Copying blob b4541f6d3db6 done
Copying blob 1cc8e0bb44df done
Copying config f32a97de94 done
Writing manifest to image destination
Storing signatures
c99542d2802a85825cf75ecfa9ee34b5d4184b70f36acf110f75beaa4120b2aa
Проверьте, работает ли контейнер:
$ podman ps
CONTAINER ID  IMAGE                         COMMAND               CREATED        STATUS            PORTS                   NAMES
c99542d2802a  docker.io/library/registry:2  /entrypoint.sh /e...  3 minutes ago  Up 3 minutes ago  0.0.0.0:5000->5000/tcp  registry

Шаг 2: Создайте безопасный реестр с сертификатом Lets Encrypt

Создадим каталог данных:

sudo mkdir -p /var/lib/registry

Установите certbot-auto, которое мы будем использовать для получения SSL-сертификата Let’s Encrypt для нашего реестра.

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
sudo mv certbot-auto /usr/local/bin/certbot-auto
sudo firewall-cmd --add-service https --permanent
sudo firewall-cmd --reload
Получите SSL сертификат:
export DOMAIN="registry.itsecforu.ru"
export EMAIL="alerts@itsecforu.ru"
sudo /usr/local/bin/certbot-auto --standalone certonly -d $DOMAIN --preferred-challenges http --agree-tos -n -m $EMAIL --keep-until-expiring

Установите адрес электронной почты и доменное имя для реестра

Вам будет показан путь сохранения сертификата и закрытых ключей.

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for registry.itsecforu.ru/
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/registry.itsecforu.ru/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/registry.itsecforu.ru//privkey.pem
   Your cert will expire on 2020-04-15. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
Установите правило cron для автоматического продления:
# crontab -e
00 3 * * * /usr/local/bin/certbot-auto renew --quiet
Теперь создайте безопасный реестр контейнеров
export REG_DOMAIN="registry.itsecforu.ru"
podman run --privileged -d \
  --name registry \
  -p 5000:5000 \
  -v /var/lib/registry:/var/lib/registry \
  -v /etc/letsencrypt/live/${REG_DOMAIN}/fullchain.pem:/certs/fullchain.pem \
  -v /etc/letsencrypt/live/${REG_DOMAIN}/privkey.pem:/certs/privkey.pem \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/fullchain.pem \
  -e REGISTRY_HTTP_TLS_KEY=/certs/privkey.pem \
  registry:2 
Проверьте, успешно ли запущен контейнер.
$ podman ps 
CONTAINER ID  IMAGE                         COMMAND               CREATED        STATUS            PORTS                   NAMES
d5ee3ead9d77  docker.io/library/registry:2  /entrypoint.sh /e...  
Подтвердим, что все работает:
$ podman pull nginx
$ podman images
REPOSITORY                TAG      IMAGE ID       CREATED      SIZE
docker.io/library/nginx   latest   c7460dfcab50   6 days ago   130 MB

$ podman tag docker.io/library/nginx registry.itsecforu.ru:5000/nginx
$ podman images
REPOSITORY                                  TAG      IMAGE ID       CREATED      SIZE
docker.io/library/nginx                     latest   c7460dfcab50   6 days ago   130 MB
registry.itsecforu.ru:5000/nginx   latest   c7460dfcab50   6 days ago   130 MB

$ podman push registry.itsecforu.ru:5000/nginx
Getting image source signatures
Copying blob 17fde96446df done
Copying blob c26e88311e71 done
Copying blob 556c5fb0d91b done
Copying config c7460dfcab done
Writing manifest to image destination
Storing signatures

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40