使用 nginx 重定向到 docker 注册表

Question

我想做的就是控制顶级端点（MY_ENDPOINT，用户将登录并拉取图像。注册表和容器正在托管（DOCKER_SAAS），所以我只需要一个看似简单的重定向。具体来说，你通常会做的事情：

docker login -u ... -p ... DOCKER_SAAS
docker pull DOCKER_SAAS/.../...

我想允许：

docker login -u ... -p ... MY_ENDPOINT
docker pull MY_ENDPOINT/.../...

更理想的是，我更喜欢：

docker login MY_ENDPOINT
docker pull MY_ENDPOINT/.../...

最后一项的区别在于端点包含用户名和密码的散列版本，该版本设置为Authorization header （使用Basic ） - 所以用户甚至不需要担心用户名和密码，只需要担心他们的URL。 我已经尝试了proxy_pass ，因为我们已经在进行基本打包（使用 HTTPS），但是由于 404 失败（部分原因是我们不处理 /v2 - 我还需要重定向它吗？）。 这使我想到了https://docs.docker.com/registry/recipes/nginx/ ，但这似乎只有在您托管注册表时才有意义。 我想要做的甚至可能吗？

Answer 1

听起来 DOCKER_SAAS 前面还有一个DOCKER_SAAS或类似的反向代理服务器。 基础设施看起来像这样吗？

[MY_ENDPOINT: nginx]  <--> ([DOCKER_SAAS ENDPOINT: ?] <--> [DOCKER_REGISTRY])

我的猜测是，由于服务器[DOCKER_SAAS ENDPOINT: ?]显然配置了固定域名，因此它在请求 header （例如Host: DOCKER_SAAS.TLD ）中期望该域名。 所以问题可能是当从[MY_ENDPOINT: nginx]代理到[DOCKER_SAAS ENDPOINT: ?]时发送了错误的Host header，即默认情况下主机DOCKER_SAAS.TLD MY_ENDPOINT.TLD应该发送. 例如：

upstream docker-registry {
  server DOCKER_SAAS.TLD:8443;
}

server {
  ...
  server_name MY_ENDPOINT.TLD;

  location / {
    proxy_pass https://docker-registry/;
    proxy_set_header Host DOCKER_SAAS.TLD; # set the header explicitly
    ...
  }
}

或者

server {
  ...
  server_name MY_ENDPOINT.TLD;

  location / {
    proxy_pass https://DOCKER_SAAS.TLD:8443/;
    proxy_set_header Host DOCKER_SAAS.TLD; # set the header explicitly
    ...
  }
}

关于这一点：

我更喜欢： docker login MY_ENDPOINT

这可以在代理服务器（ [MY_ENDPOINT: nginx] ）上设置，是的。 （ Authorization: "Basic..."可以用从MY_ENDPOINT中提取的相应令牌动态填充，依此类推）。 但是，无论如何，docker CLI 仍会要求输入用户名和密码。 是的，用户可以输入虚拟值（使 CLI 满意），或者这也可以工作：

docker login -u lalala -p 123 MY_ENDPOINT

但这将是不一致的，并且宁愿让用户感到困惑，恕我直言。 所以最好让它...

Answer 2

这个简单的配置适用于 GitHub 和 Amazon ECR：

server {
    listen 80;
    server_name localhost;

    location / {
        proxy_set_header Authorization "Basic ${NGINX_AUTH_CREDENTIALS}";
        proxy_pass https://registry.example.com;
    }
}

${NGINX_AUTH_CREDENTIALS}是 Docker 用于验证的实际 hash 的占位符。 使用docker login一次后，您可以从$HOME/.docker/config.json获取它：

{
    "auths": {
        "registry.example.com": {
            "auth": "THIS STRING"
    }
}

由于代理注入/替换身份验证 header，因此无需使用docker login ，只需使用代理的地址而不是注册表地址进行拉取。

为什么是 404？

我尝试使用curl测试 GitHub 的代理时遇到了几个40X错误：

• 错误的凭据 - 404，而不是通常的 401 或 403。
• GET /v2/_catalog - 404（GitHub 尚不支持，在积压中）。 请改用GET /v2/repo_name/image_name/tags/list 。
• curl 没有 -XGET - 405，它无论如何都会给出响应，但要获得 200，您需要显式使用 GET ( -XGET )

尽管docker pull从一开始就完美无缺，所以我建议使用它进行测试。

如何处理 /v2/

location /匹配所有内容，包括/v2/ ，因此在代理中没有特别需要。