背景
开启 HTTPS 方式大概分为两种,一种为Nexus 服务本身开启代理,另外一种使用 Nginx 进行反向代理实现 HTTPS, 由于我使用的方式是使用 Docker 进行的Nexus 的配置, 故使用第二种方式 Nginx反向代理实现各个仓库的 HTTPS。
操作
一、制作自签证书
使用,使用脚本自动生成需要的域名证书。(需要在hosts文件给定域名的解析地址)
[root@k8s ~]# cat /etc/hosts10.22.1.22 best-docker.com
| 参数 | 意义 |
| C | 国家 |
| ST | 州 |
| L | 本地名称 |
| O | 组织名称 |
| OU | 组织单元名称 |
| CN | 命令名称 |
脚本参数修改位置:
gen.cert.sh:
gen.root.sh:
二、nginx反向代理https
将证书配置在nginx服务器上,并在nginx配置中添加如下(docker-practice里的)
upstream register{ server "YourHostName OR IP":5001; #端口为上面添加的私有镜像仓库是设置的 HTTP 选项的端口号 check interval=3000 rise=2 fall=10 timeout=1000 type=http; check_http_send "HEAD / HTTP/1.0\r\n\r\n"; check_http_expect_alive http_4xx;}server { server_name YourDomainName;#如果没有 DNS 服务器做解析,请删除此选项使用本机 IP 地址访问 listen 443 ssl; ssl_certificate key/example.com.bundle.crt; ssl_certificate_key key/example.com.key.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; large_client_header_buffers 4 32k; client_max_body_size 300m; client_body_buffer_size 512k; proxy_connect_timeout 600; proxy_read_timeout 600; proxy_send_timeout 600; proxy_buffer_size 128k; proxy_buffers 4 64k; proxy_busy_buffers_size 128k; proxy_temp_file_write_size 512k; location / { proxy_set_header Host $host; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Port $server_port; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; proxy_redirect off; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://register; proxy_read_timeout 900s; } error_page 500 502 503 504 /50x.html;}
注意上述nginx的upstream配置的端口如果是docker-group端口,则该域名只能pull不能push;如果要push私有仓库,则需要另外配置docker-hosted端口,然后代理该端口,才能push。
三、客户端配置
(1)、添加证书
将公钥放在/etc/pki/ca-trust/source/anchors/下,然后运行命令,更新信任ca。
cp xxxx.com.bundle.crt /etc/pki/ca-trust/source/anchors/#运行命令,更新信任caupdate-ca-trust
(2)、配置docker的镜像仓库
vim /etc/docker/daemon.json
{ "registry-mirrors": [ "https://registry.best-docker.com" ]} 然后
#重启dockersystemctl restart docker
如果对nexus的hosted端口做了https代理,因为docker的pull/push默认是使用https,假设域名为hub.best-docker.com,则直接在客户端如下就可以push:
docker login hub.best-docker.com docker tag nginx:latest hub.best-docker.com/test/nginx:0.1docker push hub.best-docker.com/test/nginx:0.1
四、nexus私有仓库的pull/push
(1)、nexus配置的仓库类型只有hosted可以push,其他的都不能push,但是三种类型仓库都可以pull。
(2)、pull/push地址说明:
该命令是push镜像到hub.best-docker.com
docker push hub.best-docker.com/test/nginx_lingjian:0.1
该命令是从hub.best-docker.com中下载镜像,与daemon.json配置没有关系。
docker pull hub.best-docker.com/test/nginx_lingjian:0.1
如果hub.best-docker.com代理的docker-hosted在registry.best-docker.com代理的docker-group中则也可以使用如下命令pull镜像:
docker pull registry.best-docker.com/test/nginx_lingjian:0.1
只要往nexus上push完后,可以直接用docker-group的代理pull镜像
FAQ:
1、push 镜像到nginx反向代理私有仓库报错: error parsing HTTP 404 response body: invalid character '<' looking for beginning of value:
该问题可能是因为往不能push的docker-group上执行push导致,只需要push地址修改为docker-host的地址即可push成功。
2、push 镜像到nginx反向代理私有仓库报错:error parsing HTTP 411 response body: invalid character '<' looking for beginning of value:
网上说是导致问题的原因是 tengine 的 nginx 版本过低, 不支持 chunked-encoding() 请求,就会返回 411。我查看我tengine内置的nginx版本为1.2.x,升级tengine版本至最新问题解决。
参考:
1、
2、