Ubuntu安装Docker引擎和支持HTTPS的docker-registry服务
虽然本文标题是针对Ubuntu的,但对于CentOS也是可以变通的,无非是几个命令不完全相同,有经验的人可以自行修改,部分不容易找的包或者命令已经在文档中作出了注释,可以作为参考。目录导航:
[*]安装Docker引擎服务
[*]安装docker-enter工具,便于使用docker
[*]安装docker-registry服务
[*]支持HTTPS的docker-registry服务
[*]编译安装nginx
[*]免费制作https所需的可被权威CA认证的SSL证书(DV Certificates)
[*]配置nginx https服务
[*]验证最终结果
[*]CentOS运行python2.7的方法
(1)系统初始化完成后开始安装Docker引擎服务# for service docker
# Refer: https://www.docker.com/
# Refer: https://docs.docker.com/linux/step_one/
静默更新系统,-qq参数需要用在apt-get子命令之前,-y随意
1
apt-get -qq update -y
安装wget工具用于下载文件
1
which wget> /dev/null || apt-get -qq install -y wget
添加docker的软件仓库key
1
wget -qO- https://get.docker.com/gpg | apt-key add -
执行docker安装程序
1
wget -qO- https://get.docker.com/ | sh
执行docker的测试命令,通过此命令看一看到docker引擎的版本等信息
1
docker version
# If you would like to use Docker as a non-root user, you should now consider adding your user to the "docker" group with something like:
# sudo usermod -aG docker your-user
(2)安装docker-enter工具,便于使用docker# for program docker-enter
# Refer: http://dockerpool.com/static/books/docker_practice/container/enter.html
安装curl用于下载文件,此步骤可以省略,但建议安装
1
which curl > /dev/null || apt-get -qq install -y curl
下载并解压util工具,编译并安装nsenter,nsenter是docker-enter的主要组件
#cd /tmp; curl https://www.kernel.org/pub/linux/utils/util-linux/v2.24/util-linux-2.24.tar.gz | tar -zxf-; cd util-linux-2.24;
1
2
3
4
5
6
cd /tmp; wget -q https://www.kernel.org/pub/linux/utils/util-linux/v2.24/util-linux-2.24.tar.gz; tar xzvf util-linux-2.24.tar.gz
cd util-linux-2.24
./configure --without-ncurses && make nsenter
cp nsenter '/usr/local/bin'
which nsenter
cd
下载.bashrc_docker文件,并将此文件添加到当前用户的bash初始化文件中
1
2
wget -P ~ https://github.com/yeasy/docker_practice/raw/master/_local/.bashrc_docker;
echo "[ -f ~/.bashrc_docker ] && . ~/.bashrc_docker" >> ~/.bashrc; source ~/.bashrc
(3)安装docker-registry服务# for service docker-registry
静默安装依赖软件docker-registry的软件包,执行安装程序
1
apt-get -qq -y install build-essential python-dev libevent-dev python-pip libssl-dev liblzma-dev libffi-dev swig
从github获取docker-registry,安装方式还有其他几种,可以参考官方文档https://docs.docker.com/registry/deploying/
1
2
3
git clone https://github.com/docker/docker-registry.git
cd docker-registry
python setup.py install
如果目录存在则进入目录
1
test -d '/usr/local/lib/python2.7/dist-packages/docker_registry-1.0.0_dev-py2.7.egg/config/' && cd /usr/local/lib/python2.7/dist-packages/docker_registry-1.0.0_dev-py2.7.egg/config/
以config_sample.yml模板创建config.yml文件
1
cp config_sample.yml config.yml
以后台程序的方式运行gunicorn,以启动docker-registry
1
nohup gunicorn --access-logfile - --error-logfile - -k gevent -b 0.0.0.0:5000 -w 4 --max-requests 100 docker_registry.wsgi:application >>/tmp/docker-registry.log &
如果要结束docker-registry则执行killall gunicorn
1
killall gunicorn
配置docker可以使用刚刚配置好的docker-registry
把docker.domain.com改成你的域名,后面在配置支持HTTPS的docker-registry服务时会继续使用。
1
2
3
# Insecure Registry, Deploying a plain HTTP registry,Using self-signed certificates
grep insecure /etc/default/docker || echo 'DOCKER_OPTS="--insecure-registry docker.domain.com:5000"' >> /etc/default/docker
service docker stop && service docker start
(4)配置支持HTTPS的docker-registry服务编译安装nginx
1
2
3
4
5
6
7
8
9
10
11
12
13
14
wget http://nginx.org/download/nginx-1.8.0.tar.gz
tar zxf nginx-1.8.0.tar.gz
wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.37.tar.gz
tar zxf pcre-8.37.tar.gz
wget https://www.openssl.org/source/openssl-1.0.2e.tar.gz
tar zxf openssl-1.0.2e.tar.gz
wget http://zlib.net/zlib-1.2.8.tar.gz
tar zxf zlib-1.2.8.tar.gz
groupadd -r www
useradd -r -g www www -c "Web user" -d /dev/null -s /sbin/nologin
cd nginx-1.8.0
./configure --prefix=/usr/local/nginx --with-http_ssl_module --user=www --group=www --with-pcre=/root/pcre-8.37 --with-zlib=/root/zlib-1.2.8 --with-openssl=/root/openssl-1.0.2e
make && make install
/usr/local/nginx/sbin/nginx -V
免费制作https所需的可被权威CA认证的SSL证书(DV Certificates)制作证书可以自己制作自签名证书,既可以使用Windows自带的证书服务,也可以使用OpenSSL工具,但弊端是用户必须安装CA证书,浏览器才能承认此证书。如果想申请互联网公认的证书必须由公认的权威CA签发,这样的证书通常需要购买或者试用获得。如果不想花钱或者试用,可以借助Let’s Encrypt CA项目,自己给自己发放管理证书。
Let’s Encrypt CA项目是由Mozilla、思科、Akamai、IdenTrust、EFF和密歇根大学研究人员等共同创建的 ,项目官方网站是https://letsencrypt.org/,Github项目网站是https://github.com/letsencrypt/letsencrypt。此项目为网站(个人网站、非个人网站)提供免费SSL证书,向任何需要加密证书的网站自动发行和管理免费证书。
系统要求(先决条件):
[*]python2.6以上(不含python2.6),CentOS系统默认安装的是python2.6,CentOS升级python的方法参照下文。
[*]要申请的证书的common name也就是证书使用者(持有人)的域名需要指向当前客户端所在的主机,例如你要给自己的网站域名为www.domian.com申请证书,则www.domain.com必须与你执行下列步骤时所在的主机是同一个主机(域名解析到此主机,不区分A记录还是CNAME记录),原因是在生成证书的过程中letsencrypt服务器会与当前客户端进行通信,如果不是同一个主机则将导致无法通过验证或者通信失败,进而导致证书生成失败。 如果,域名不是DNS运营商来得到的,则可以尝试修改hosts文件。例如在Linux下,修改/etc/hosts文件,添加your_ip_address www.yourdomainname.com条目即可。
1
2
3
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --standalone --email dgdenterprise@gmail.com -d www.domain.com
命令会自动根据当前的操作系统下载合适的依赖包(主要是python),并且判断当前系统环境是否满足生成证书的要求,如果不满足系统要求,则该程序会显示出警告或者错误信息。
在命令成功完成后会有较为明显的提示,生成的证书将存放在/etc/letsencrypt/live/www.domain.com/目录下,这个目录下的文件是/etc/letsencrypt/archive/www.domain.com/下的符号链接文件
配置nginx https服务有了证书和key就可以开始配置nginx https服务了。
可选步骤,(尚未验证,读者可忽略此段斜体文字)为docker-registry设置身份验证,需要用到Apache项目中的htpasswd,在CentOS中htpasswd位于httpd-tools包中
1
2
# for htpasswd
apt-get -qq -y install apache2-utils
配置nginx https服务,有两种选择,即可以像配置nginx http服务那样一步一步新建虚拟主机,也可以直接用https代理http。此处选择后者,简单易行。
1
mkdir /usr/local/nginx/conf/vhost
# sed在文件最后一行的上一行插入新行,如果是最后一行插入新行,则可以将i换成a
1
sed -i '$i include vhost/*.conf;' /usr/local/nginx/conf/nginx.conf
# 注意:把下文中的www.yourdomainname.com换成想设置的域名
#注意:把下文中的docker-registry-server换成上文监听5000端口的某个IP地址,建议将此IP地址使用内网IP地址
1
vim /usr/local/nginx/conf/vhost/https_www.yourdomainname.com.conf
server {
listen 443 ssl;
server_name www.yourdomainname.com;
index index.html index.htm;
ssl on;
ssl_certificate /etc/letsencrypt/live/www.yourdomainname.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.yourdomainname.com/privkey.pem;
#ssl_password_file /usr/local/;
location / {
client_max_body_size 0;
proxy_connect_timeout 300s;
proxy_send_timeout 900;
proxy_read_timeout 900;
proxy_buffer_size 32k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_redirect off;
proxy_hide_headerVary;
proxy_set_header Accept-Encoding '';
proxy_set_header Host $host;
proxy_set_header Referer $http_referer;
proxy_set_header Cookie $http_cookie;
proxy_set_header X-Real-IP$remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_headers_hash_max_size 51200;
proxy_headers_hash_bucket_size 6400;
proxy_pass http://docker-registry-server/;
}
}
1
vim /usr/local/nginx/conf/vhost/http_www.yourdomainname.com.conf
server {
listen 80;
server_name www.yourdomainname.com;
index index.html index.htm;
location / {
client_max_body_size 0;
proxy_connect_timeout 300s;
proxy_send_timeout 900;
proxy_read_timeout 900;
proxy_buffer_size 32k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_redirect off;
proxy_hide_headerVary;
proxy_set_header Accept-Encoding '';
proxy_set_header Host $host;
proxy_set_header Referer $http_referer;
proxy_set_header Cookie $http_cookie;
proxy_set_header X-Real-IP$remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_headers_hash_max_size 51200;
proxy_headers_hash_bucket_size 6400;
proxy_pass http://docker-registry-server/;
}
}
1
2
/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx -s reload
(5)验证最终结果此时可以使用docker命令,将从其他地方导入的images或从hub.docker.com网站pull的镜像,commit或tag成www.yourdomainname.com/imagesname ,然后push到自己建的docker-registry上。
附加:CentOS将python2.6切换到python2.7的方法文章可以参考《How to install Python 2.7 and Python 3.3 on CentOS 6》或《Installing python 2.7 on centos 6.3. Follow this sequence exactly for centos machine only》。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
yum groupinstall -y "Development tools"
yum install -y zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gdbm-devel db4-devel libpcap-devel xz-devel
echo '/usr/local/lib' >> /etc/ld.so.conf
ldconfig
# Python 2.7.6:
wget -c http://python.org/ftp/python/2.7.6/Python-2.7.6.tar.xz
tar xf Python-2.7.6.tar.xz
cd Python-2.7.6
./configure --prefix=/usr/local --enable-unicode=ucs4 --enable-shared LDFLAGS="-Wl,-rpath /usr/local/lib"
make && make altinstall
cd
# First get the setup script for Setuptools:
wget -c https://bitbucket.org/pypa/setuptools/raw/bootstrap/ez_setup.py
python2.7 ez_setup.py
easy_install-2.7 pip
# Install virtualenv for Python 2.7 and create a sandbox called my27project:
pip2.7 install virtualenv
virtualenv-2.7 my27project
# Check the system Python interpreter version:
python --version
# This will show Python 2.6.6
# Activate the my27project sandbox and check the version of the default Python interpreter in it:
source my27project/bin/activate
python --version
# This will show Python 2.7.6
# 在这里运行生成证书的程序
# 生成证书完毕后执行deactivate,退出virtualenv
deactivate
tag:Ubuntu安装docker,Ubuntu安装docker-registry,Ubuntu安装docker-enter,Ubuntu安装docker引擎,Ubuntu 容器虚拟化
页:
[1]