当前位置: 首页 > article >正文

如何解决 docker registry x509 证书不信任问题?

article 2025/1/5 3:12:03

最近想尝试一下极狐GitLab(可以理解为 GitLab 在中国的发行版)内置的容器镜像仓库,这样就不用自己安装 Harbor 之类的了。于是找了个服务器安装了一个极狐GitLab 的私有化部署版本,安装过程可以参考过往的技术文章使用Omnibus 安装极狐GitLab。

极狐GitLab 私有化实例部署成功以后,接下来就需要启用内置的容器镜像仓库了。需要在 /etc/gitlab/gitlab.rb 文件中对于容器仓库的配置内容进行修改:

registry_nginx['enable'] = true
registry_nginx['listen_port'] = 5050

registry_external_url 'http://jihu-instance.url:5050'
gitlab_rails['registry_enabled'] = true
gitlab_rails['registry_host'] = "jihu-instance.url"
gitlab_rails['registry_port'] = "5005"
gitlab_rails['registry_path'] = "/var/opt/gitlab/gitlab-rails/shared/registry"

为了使用上的安全,想给容器镜像仓库启用 HTTPS,所以需要配置 SSL 证书。在这个过程中,使用自签名的证书,以下三个命令即可生成对应的 csr、cert 和 key,将生成在证书都放在 /etc/gitlab/ssl 目录下面,注意 ssl 目录的权限应该为 755.

$ openssl genrsa -out ca.key 2048

$ openssl req -new -x509 -days 365 -key ca.key -subj "/C=CN/ST=LN/L=DL/O=JH/CN=jh-instance.url" -out ca.crt

$ openssl req -newkey rsa:2048 -nodes -keyout jh-instance.url.key -subj "/C=CN/ST=LN/L=DL/O=JH/CN=jhma.jihulab.net" -out jh-instance.url.csr

$ openssl x509 -req -extfile <(printf "subjectAltName=DNS:jh-instance.url,DNS:www.jh-instance.url") -days 365 -in jh-instance.url.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out jh-instance.url.crt

接着在 /etc/gitlab/gitlab.rb 配置文件中写入证书配置信息:

registry_nginx['ssl_certificate'] = "/etc/gitlab/ssl/jh-instance.url.crt"
registry_nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/jh-instance.url.key"

配置完成以后需要执行 gitlab-ctl reconfigure 让配置生效。

接着将如下内容写入 .gitlab-ci.yml 文件进行测试:

component-job-build-image:
  image: 
    name: docker:20.10.7-dind
  stage: build
  script:
    - docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY
    - docker build -t $CI_REGISTRY_IMAGE:1.0.0 .
    - docker push $CI_REGISTRY_IMAGE:1.0.0

触发 CI/CD 流水线,会遇到如下错误:

tls: failed to verify certificate: x509: certificate signed by unknown authority 这句话的意思也就是说自签名的这个 x509 证书,docker 不信任。为了解决这个问题,需要在 daemon.json 文件中写入如下内容:

{
    "insecure-registries" : [ "jh-instance.url:5050" ]
}

然后重启 docker

$ systemctl daemon-reload
$ systemctl restart docker

然后重新执行流水线,就可以看到 Job 会执行成功:

至此,使用自签名证书启用极狐GitLab 内置的容器镜像仓库所带来的 x509 证书不受信任的问题就解决了。


http://www.kler.cn/a/225245.html

相关文章:

  • 自组织映射 (Self-Organizing Map, SOM) 算法详解与PyTorch实现
  • 实战设计模式之建造者模式
  • Flutter-插件 scroll-to-index 实现 listView 滚动到指定索引位置
  • 我用AI学Android Jetpack Compose之开篇
  • C++模板相关概念汇总
  • 深度学习模型预测值集中在某一个值
  • Linux系统各目录作用
  • 微服务-微服务Alibaba-Nacos 源码分析 (源码流程图)
  • Leetcode 《面试经典150题》169. 多数元素
  • 蓝桥杯算法赛第4场小白入门赛强者挑战赛
  • 数据分析中需要用的的python知识(包括Numpy、Pandas、Matplotlib)
  • SQL 语句
  • 通过与chatGPT交流实现零样本事件抽取
  • 网络通信--术语对照表
  • Angular组件(二) 分割面板ShrinkSplitter
  • 5G安卓核心板开发板_MT6833天玑700规格参数
  • Unity之做一个最简单的FPS游戏demo
  • nginx反向代理----->微服务网关----->具体微服务
  • 【C++提高编程(四)】
  • MySQL系列:系列结构和基础管理
  • 有深浅入数据分析 - 启发法(凭人类的天性做分析)
  • Git 怎么设置用户的权限
  • blender 画笔的衰成曲线Falloff Curve
  • Git介绍与常用命令总结
  • 前端超好玩的小游戏合集来啦--周末两天用html5做一个3D飞行兔子萝卜小游戏
  • 算法学习-匈牙利算法