摘要:考慮到這一點(diǎn),我們花費(fèi)了一些時間審查了我們維護(hù)的多種系統(tǒng)�,并在這星期,我給我們的私人注冊中心設(shè)置了添加身份認(rèn)證的目標(biāo)��。你也許知道�,注冊沒有提供身份認(rèn)證的方法。授權(quán)響應(yīng)觸發(fā)客戶端回應(yīng)一組使用基本身份驗(yàn)證的憑據(jù)�。
注:原文作者是 Alex Ianchici,原文地址是 Docker private registry authentication
安全已經(jīng)融入了我們的生活���。我們鎖門���,使用密碼保護(hù)我們的銀行信息,但是通常密碼如此復(fù)雜以至于造成我們很容易忘記它�。用常識來保護(hù)系統(tǒng)的安全是良好的實(shí)踐。這真的很容易呈現(xiàn)�,因?yàn)樗且粋€內(nèi)部的系統(tǒng),沒有必要啟用身份認(rèn)證以及安全傳輸���,但在我們當(dāng)前的遠(yuǎn)程工作時代���,內(nèi)部網(wǎng)絡(luò)可能十分廣泛。
考慮到這一點(diǎn)��,我們花費(fèi)了一些時間審查了我們維護(hù)的多種系統(tǒng)���,并在這星期��,我給我們的私人 Docker 注冊中心設(shè)置了添加身份認(rèn)證的目標(biāo)�����。你也許知道�,Docker 注冊沒有提供身份認(rèn)證的方法����。因此我們決定早期的方案就是在我們的鏡像倉庫前面加一個身份認(rèn)證的代理�����。在我們的案例中�����,我們決定通過 SSL 使用 Nginx 并加上一個內(nèi)部身份認(rèn)證 API�。
該解決方案的幾個優(yōu)勢:
允許我們使用我們內(nèi)部的身份驗(yàn)證 API
可以給其他系統(tǒng)重復(fù)使用身份認(rèn)證
可以通過 Docker 容器實(shí)現(xiàn)(我們使用的容器數(shù)量小于 3 個)
我把一個簡單的身份認(rèn)證服務(wù)和一個 Nginx 容器放在一起����,我們可以在 github 上獲取可用的版本(https://registry.hub.docker.com/u/opendns)。
簡單的基礎(chǔ)身份認(rèn)證服務(wù)
作為 Nginx 代理容器的一個參考���,我們使用 NodeJS 構(gòu)建了一個身份認(rèn)證 API����,非常容易的創(chuàng)建了一個基礎(chǔ)身份認(rèn)證服務(wù)���。所有我們所需要做的就是創(chuàng)建一個真正簡單的 server.js����,使用 htpasswd utility 生成一個資格證書文件,并且在一個 Docker 容器中封裝����,我們可以創(chuàng)建如下 Dockerfile:
FROM google/nodejs
ADD . /app
WORKDIR /app
RUN npm install http-auth
EXPOSE 8000
ENV NODE_PATH /data/node_modules/
CMD ["node", "server.js"]
然后我們測試并部署我們的服務(wù):
ubuntu@trusty-64:/basic-auth# docker build -t opendns/basic-auth-service .
ubuntu@trusty-64:/basic-auth# docker run --name simple-auth opendns/basic-auth-service
ubuntu@trusty-64:/basic-auth# docker inspect --format "{{ .NetworkSettings.IPAddress }}" simple-auth
172.17.0.40
ubuntu@trusty-64:/basic-auth# curl 172.17.0.40:8000
401 Unauthorized
ubuntu@trusty-64:/basic-auth# curl -u testuser:testpassword 172.17.0.40:8000
User authenticated successfully
你可以在這里找到基礎(chǔ)身份認(rèn)證服務(wù)的所有示例代碼�,可用的容器在這里。
Nginx 身份認(rèn)證代理
Nginx 代理的關(guān)鍵部分是配置文件:
# define an /auth section to send the request to an authentication service
location = /auth {
proxy_pass {{auth_backend}};
proxy_pass_request_body off;
proxy_set_header Content-Length "";
proxy_set_header X-Original-URI $request_uri;
proxy_set_header X-Docker-Token "";
}
# use the auth_request directive to redirect all requests to the /auth section above
location / {
proxy_pass {{backend}};
auth_request /auth;
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
proxy_buffering off;
}
使用了 http_auth_request 模塊發(fā)送用戶�����,使用 proxy_pass 指令轉(zhuǎn)發(fā)請求到我們簡單身份認(rèn)證服務(wù)處理��,返回 200 或是 401���。 401 授權(quán)響應(yīng)觸發(fā) Docker 客戶端回應(yīng)一組使用基本身份驗(yàn)證的憑據(jù)���。一旦證書被接受,API 將返回 200��。Nginx 可以發(fā)送請求到私有注冊中心�,把這兩個容器放在一起:
ubuntu@trusty-64:/nginx-auth-proxy# docker run -d --name hello-world hello-world # run a simple web server that prints out “Hello world”
ubuntu@trusty-64:/nginx-auth-proxy# docker inspect --format "{{ .NetworkSettings.IPAddress }}" hello-world
172.17.0.41
ubuntu@trusty-64:/nginx-auth-proxy# docker run -d -e AUTH_BACKEND=http://172.17.0.40:8000 -e BACKEND=http://172.17.0.41:8081 -p 0.0.0.0:8080:80 nginx-auth
ubuntu@trusty-64:/nginx-auth-proxy# curl 0.0.0.0:8080
401 Authorization Required
401 Authorization Required
nginx/1.6.1
ubuntu@trusty-64:/nginx-auth-proxy# curl -u testuser:testpassword 0.0.0.0:8080
Hello world
唯一剩下的事情是給這些容器添加 SSL 證書,然后你就可以好好的玩耍了���。你可以在這里找到 Nginx 身份認(rèn)證代理的代碼���,在這里是可用的容器��。使用這個方案需要注意幾件事:
使用基礎(chǔ)認(rèn)證意味著每個請求都將訪問身份認(rèn)證 API
基礎(chǔ)認(rèn)證意味著你的證書不受阻礙的發(fā)送����,除非你使用 SSL 加密了你的連接�。注意:永遠(yuǎn)不要在沒有 SSL 的情況下發(fā)送基礎(chǔ)認(rèn)證證書。Docker 的客戶端和注冊中心不會接受 HTTP 方式的基礎(chǔ)認(rèn)證
訪問私有注冊中心需要對到身份認(rèn)證代理的請求做一定限制
該解決方案另外一個有趣的附帶影響就是��,在私有注冊中心啟用 SSL 已經(jīng)降低了每個 pull 請求花費(fèi)的時間�,比如��,除非在注冊中心的 URL 上指定了端口���,否則在連接 80 端口之前��,客戶端首先初始化嘗試連接 443 端口�。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/26335.html
