[英]Redirecting to docker registry with nginx
我想做的就是控制顶级端点(MY_ENDPOINT,用户将登录并拉取图像。注册表和容器正在托管(DOCKER_SAAS),所以我只需要一个看似简单的重定向。具体来说,你通常会做的事情:
docker login -u ... -p ... DOCKER_SAAS
docker pull DOCKER_SAAS/.../...
我想允许:
docker login -u ... -p ... MY_ENDPOINT
docker pull MY_ENDPOINT/.../...
更理想的是,我更喜欢:
docker login MY_ENDPOINT
docker pull MY_ENDPOINT/.../...
最后一项的区别在于端点包含用户名和密码的散列版本,该版本设置为Authorization
header (使用Basic
) - 所以用户甚至不需要担心用户名和密码,只需要担心他们的URL。 我已经尝试了proxy_pass
,因为我们已经在进行基本打包(使用 HTTPS),但是由于 404 失败(部分原因是我们不处理 /v2 - 我还需要重定向它吗?)。 这使我想到了https://docs.docker.com/registry/recipes/nginx/ ,但这似乎只有在您托管注册表时才有意义。 我想要做的甚至可能吗?
听起来 DOCKER_SAAS 前面还有一个DOCKER_SAAS
或类似的反向代理服务器。 基础设施看起来像这样吗?
[MY_ENDPOINT: nginx] <--> ([DOCKER_SAAS ENDPOINT: ?] <--> [DOCKER_REGISTRY])
我的猜测是,由于服务器[DOCKER_SAAS ENDPOINT: ?]
显然配置了固定域名,因此它在请求 header (例如Host: DOCKER_SAAS.TLD
)中期望该域名。 所以问题可能是当从[MY_ENDPOINT: nginx]
代理到[DOCKER_SAAS ENDPOINT: ?]
时发送了错误的Host
header,即默认情况下主机DOCKER_SAAS.TLD
MY_ENDPOINT.TLD
应该发送. 例如:
upstream docker-registry {
server DOCKER_SAAS.TLD:8443;
}
server {
...
server_name MY_ENDPOINT.TLD;
location / {
proxy_pass https://docker-registry/;
proxy_set_header Host DOCKER_SAAS.TLD; # set the header explicitly
...
}
}
或者
server {
...
server_name MY_ENDPOINT.TLD;
location / {
proxy_pass https://DOCKER_SAAS.TLD:8443/;
proxy_set_header Host DOCKER_SAAS.TLD; # set the header explicitly
...
}
}
关于这一点:
我更喜欢: docker login MY_ENDPOINT
这可以在代理服务器( [MY_ENDPOINT: nginx]
)上设置,是的。 ( Authorization: "Basic..."
可以用从MY_ENDPOINT
中提取的相应令牌动态填充,依此类推)。 但是,无论如何,docker CLI 仍会要求输入用户名和密码。 是的,用户可以输入虚拟值(使 CLI 满意),或者这也可以工作:
docker login -u lalala -p 123 MY_ENDPOINT
但这将是不一致的,并且宁愿让用户感到困惑,恕我直言。 所以最好让它...
这个简单的配置适用于 GitHub 和 Amazon ECR:
server {
listen 80;
server_name localhost;
location / {
proxy_set_header Authorization "Basic ${NGINX_AUTH_CREDENTIALS}";
proxy_pass https://registry.example.com;
}
}
${NGINX_AUTH_CREDENTIALS}
是 Docker 用于验证的实际 hash 的占位符。 使用docker login
一次后,您可以从$HOME/.docker/config.json
获取它:
{
"auths": {
"registry.example.com": {
"auth": "THIS STRING"
}
}
由于代理注入/替换身份验证 header,因此无需使用docker login
,只需使用代理的地址而不是注册表地址进行拉取。
我尝试使用curl
测试 GitHub 的代理时遇到了几个40X
错误:
GET /v2/repo_name/image_name/tags/list
。-XGET
) 尽管docker pull
从一开始就完美无缺,所以我建议使用它进行测试。
location /
匹配所有内容,包括/v2/
,因此在代理中没有特别需要。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.