centos7+docker综合实验

dockerfile,registry,使用nginx反向代理搭建私有仓库

防伪码:你好阳光

一、实验拓扑:

二、实验要求:

实验机器(两台centos7.2)

1、registry_server和docker宿主机均需安装docker软件包并启动docker服务。

2、搭建私有仓库服务器,为docker主机提供镜像仓库,实现镜像下载与上传功能

3、在docker宿主机上将下载下来的基础镜像生成提供http和ssh服务的新镜像,可以使用docker commit或docker build命令生成新镜像

4、将docker宿主机生成的镜像上传到registry_server。

5、在docker宿主机所有镜像删除,从registry_server服务器下载镜像

6、使用下载的镜像运行一个容器运行在后台,并能访问容器所提供的http和ssh服务。

说明:

docker.hexiaoshuai.com 这是dockerregistry服务器的主机名称,ip是192.168.132.6;因为https的SSL证书要用到主机名,所以要设置主机名。

docker registry 服务器作为处理docker镜像的最终上传和下载,用的是官方的镜像registry。

nginx 1.6.x 是一个用nginx作为反向代理服务器

注:关闭selinux

三、实验步骤:

(1)使用nginx反向代理搭建docker私有仓库

  1. registryserver 和docker host 安装docker并启动服务

2.私有仓库https支持:

A)安装依赖软件包:

在Nginx编译需要PCRE,因为Nginx的Rewrite模块和HTTP核心模块会使用到PCRE正则表达式。需要安装pcre和pcre-devel用yum就能安装。

Zlib库提供了开发人员的压缩算法,在nginx的模块中需要使用gzip压缩。

需要安装zlib和zlib-devel用yum就可以安装

在Nginx中如果需要为服务器提供安全则需要用到OpenSSL库。

需要安装的是openssl和openssl-devel。用yum就可以安装。

B)配置SSL

(1) 编辑/etc/hosts,把docker.hexiaoshuai.com的ip地址添加进来,例如:

ip地址、/etc/hosts、主机名:

(2) 生成根密钥

先把

/etc/pki/CA/cacert.pem 
/etc/pki/CA/index.txt 
/etc/pki/CA/index.txt.attr 
/etc/pki/CA/index.txt.old 
/etc/pki/CA/serial 
/etc/pki/CA/serial.old

删除掉!

(3) 生成根证书

会提示输入一些内容,因为是私有的,所以可以随便输入,最好记住能与后面保持一致,特别是"Common Name”。必须要和hostname显示的一致。

上面的自签证书cacert.pem应该生成在/etc/pki/CA下

(4) 为nginx web服务器生成ssl密钥

注:因为CA中心与要申请证书的nginx服务器是同一个所以就在本机上执行为nginx服务器生成ssl密钥了,否则应该是在另一台需要用到证书的服务器上生成。

查看nginx服务器的密钥

(5) 为nginx生成证书签署请求

输出如下信息

同样会提示输入一些内容,CommoneName一定要是你要授予证书的服务器域名或主机名,challenge password不填

(6) 私有CA根据请求来签发证书

同样会提示输入一些内容,选择y就可以了!

查看nginx的证书

C)安装,配置,运行nginx

(1) 添加组和用户

(2) 编译,安装nginx:

上述选项的解释:

--user=USER 设定程序运行的用户环境(www)
--group=GROUP 设定程序运行的组环境(www)

--prefix=PATH 设定安装目录

--with-pcre启用pcre库,Nginx的Rewrite模块和HTTP核心模块会使用到PCRE正则表达式

--with-http_stub_status_module 是为了启用 nginx 的 NginxStatus 功能,用来监控 Nginx 的当前状态

--with-http_ssl_module                    开启SSL模块,支持使用HTTPS协议的网页

--with-http_realip_module               开启Real IP的支持,该模块用于从客户请求的头数据中读取Real Ip地址

--with-http_addition_module          开启Addtion模块,该模块允许你追加或前置数据到相应的主体部分

--with-http_flv_module模块ngx_http_flv_module 为FlashVideo(FLV)文件提供服务端伪流媒体支持

(3) 编辑/opt/nginx/conf/nginx.conf文件

相关选项含义:

ssl_session_cache会话缓存用于保存SSL会话,这些缓存在工作进程间共享,可以使用ssl_session_cache指令进行配置。1M缓存可以存放大约4000个会话。

ssl_session_timeout缓存超时,默认的缓存超时是5分钟。

ssl_ciphers  HIGH:!aNULL:!MD5使用高强度的加密算法

ssl_prefer_server_ciphers  on依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码。即:在SSLv3或这是TLSv1握手时选择一个密码,通常是使用客户端的偏好。如果这个指令是启用的,那么服务器反而是使用服务器的偏好。

client_max_body_size即允许上传文件大小的最大值

proxy_set_header Host $host和proxy_set_headerX-Forward-For $remote_addr的作用描述:

nginx为了实现反向代理的需求而增加了一个ngx_http_proxy_module模块。其中proxy_set_header指令就是该模块需要读取的配置文件。在这里,所有设置的值的含义和http请求同中的含义完全相同,除了Host外还有X-Forward-For。
        Host的含义是表明请求的主机名,因为nginx作为反向代理使用,而如果后端真实的服务器设置有类似防盗链或者根据http请求头中的host字段来进行路由或判断功能的话,如果反向代理层的nginx不重写请求头中的host字段,将会导致请求失败【默认反向代理服务器会向后端真实服务器发送请求,并且请求头中的host字段应为proxy_pass指令设置的服务器】。
同理,X_Forward_For字段表示该条http请求是有谁发起的?如果反向代理服务器不重写该请求头的话,那么后端真实服务器在处理时会认为所有的请求都来自反向代理服务器,如果后端有防攻击策略的话,那么机器就被封掉了。因此,在配置用作反向代理的nginx中一般会增加两条配置,修改http的请求头:
proxy_set_header Host $host;
proxy_set_header X-Forward-For $remote_addr;
这里的$host和$remote_addr都是nginx的导出变量,可以再配置文件中直接使用。

(4) 验证配置、启动服务、验证是否启动

3、配置,运行docker

1)停止docker

(2)编辑/etc/sysconfig/docker文件,加上如下一行

DOCKER_OPTS="--insecure-registry docker.hexiaoshuai.com --tlsverify --tlscacert /etc/pki/CA/cacert.pem"

(3) 把根证书复制到/etc/docker/certs.d/docker.hexiaoshuai.com/目录下

(4) 启动docker

4、运行私有仓库容器

1)将本地文件载入到镜像库

配置私有仓库位置

2)运行私有仓库

可以通过 -v 参数来将镜像文件存放在本地的指定路径。例如上面的例子将上传的镜像放到 /opt/data/registry 目录。

-p(小写的)用于将容器的5000端口映射宿主机的5000端口。

3)验证registry:

用浏览器输入: https://docker.hexiaoshuai.com

或者:curl -i -k https://docker.hexiaoshuai.com

curl是通过url语法在命令行下上传或下载文件的工具软件,它支持http,https,ftp,ftps,telnet等多种协议,常被用来抓取网页和监控Web服务器状态

服务端的配置就到此完成!

注意:注意防火墙

5、Docker客户端配置

1)编辑/etc/hosts,把docker.benet.com的ip地址添加进来,例如

2)把docker registry服务器端的根证书追加到ca-certificates.crt文件里

先从docker registry服务器端把文件/etc/pki/CA/cacert.pem拷贝到本机,然后执行命令:

cat ./cacert.pem>>/etc/pki/tls/certs/ca-certificates.crt

(3) 验证docker.yy.com下的registry:

用浏览器输入: https://docker.hexiaoshuai.com

(4) 使用私有registry步骤:

登录: dockerlogin -u testuser -p pwd123 -e "[email protected]" https://docker.hexiaoshuai.com

从本地文件载入一个镜像测试,为基础镜像打个标签

发布:上传镜像到本地私有仓库

查看镜像的存储目录和文件(在镜像服务器)

从私有仓库pull下来image,查看image

查看私有仓库是否有对应的镜像

或浏览器查看

私有仓库搭建完毕

(2)docker应用案例:使用dockerfile创建sshd镜像模板并提供http访问应用

1)创建一个sshd_dockerfile工作目录

在主机上生成ssh秘钥对,并创建authorized_keys文件

2)编写dockerfile文件

以上选项的含义解释:

FROM centos:centos6选择一个已有的os镜像作为基础

MAINTAINER 镜像的作者

RUN yum install -y openssh-server sudo安装openssh-server和sudo软件包

添加测试用户admin,密码admin,并且将此用户添加到sudoers里

RUN useradd admin

RUN echo "admin:admin" | chpasswd

RUN echo "admin   ALL=(ALL)       ALL" >> /etc/sudoers

下面这两句比较特殊,在centos6上必须要有,否则创建出来的容器sshd不能登录

RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key

RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key

注意:centos7上必须要有,否则创建出来的容器sshd不能登录

RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key

RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key

RUN ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

RUN ssh-keygen -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key

将公钥信息上传到远程连接用户的宿主目录的.ssh下

ADD authorized_keys /home/admin/.ssh/authorized_keys

启动sshd服务并且暴露22端口

RUN mkdir /var/run/sshd

EXPOSE 22 80

CMD ["/run.sh"]   也可以写成这种方式CMD ["/usr/sbin/sshd", "-D"]

在sshd_dockerfile目录下,使用docker  build命令来创建镜像,注意:在最后还有一个”.”,表示使用当前目录中的dockerfile

[[email protected]_dockerfile]# docker build --no-cache -t "centos:httpdv1" .

执行docker images查看新生成的镜像

使用刚才建好的镜像运行一个容器,将容器的端口映射到主机的10122

docker run -dit --name webserver1 -p10122:22 -p 80:80 --restart=always centos:httpdv1

在宿主主机打开一个终端,连接刚才新建的容器

注:admin用户是容器中的用户,192.168.0.101地址是宿主机的地址

测试sudo执行授权命令:

用docker  inspect查看容器的ip地址,在宿主机上直接ssh连接容器

测试httpd服务,访问网页

sshd和httpd验证成功

综合实验结束。

时间: 12-11

centos7+docker综合实验的相关文章

Linux Centos7 综合实验(DNS+DHCP+WEB)

一.Linux Centos7 综合实验(DNS+DHCP+WEB) 1.实验需要的设备:两台客户机,一个二层交换机,一个三层交换机,一个Centos7作为dhcp和dns服务器,一个路由器,一个web服务器(sever2016) 2.实验目的 1.sw2为二层交换机,分别有vlan10,vlan20,vlan100 三个vlan,f1/1-3是接入链路,f1/0为中继链路.2.sw1为三层交换机,分别为三个vlan提供网关,vlan10:192.168.10.1/24.vlan20:192.1

centos7.3网络实验环境(金个人)

centos7.3网络实验环境网络拓扑:服务器IP:192.168.10.7客户端IP:192.168.10.8 centos7桌面快捷键:alt+F1  应用程序菜单(即开始菜单)alt+F2  运行程序,如运行gedit.gnome-terminal.firefox.gnome-control-center display等程序Ctrl+Shift+t    打开标签Ctrl+Shift+n   打开终端(独立)F2    重命名F5    刷新,Ctrl+RF9    显示窗口左侧导航栏F

【Linux程序设计】之环境系统函数综合实验

这个系列的博客贴的都是我大二的时候学习Linux系统高级编程时的一些实验程序,都挺简单的.贴出来纯粹是聊胜于无. 实验题目:Linux环境下系统函数综合实验 实验目的:熟悉并掌握Linux环境下数学函数.字符函数.系统时间与日期函数.环境控制函数.内存分配函数以及数据结构中常用函数的使用方法. 一.Linux环境下数学函数的使用 设计程序,满足如下要求: 1.使用rand函数产生10个介于1到10之间的随机数值.要求在程序中对每行代码添加注释. 1 #include<stdio.h> 2 #i

eigrp综合实验

上配置,供参考 INTERNET: Current configuration : 1192 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname INTERNET ! boot-start-marker boot-end-marker ! ! no aaa new-mode

Keepalived+Haproxy双主高可用负载均衡web和mysql综合实验

日期及版本:2014.5.4v1.0 架构图 实验目的: 1.Haproxy+Keepalived双主双机高可用模型,keepalived为Haproxy主从提供高可用保证haproxy-master若挂掉haproxy-backup能无缝接管,haproxy为后端Web提供负载均衡,缓解并发压力,实现WEB站点负载均衡+高可用性: 2. Haproxy反代web做动静分离: 3. Haproxy反代mysql 算法leastconn和roundrobin的不同效果: 系统环境: OS:cent

CCNP第四天 OSPF综合实验(1)

ospf综合实验(1) 本实验主要考察ospf中的接口上的多种工作方式 实验如图所示: 所用拓扑为CCNP标准版,如图: ------------------------------------------------------------------------------------------------------------------------------------- 1. 全网可达 由于CCNP中帧中继是默认全部开启,而且是全连通的,所以在物理接口和多点子接口上建议关闭逆向a

综合实验一

一.实验背景: 1.××学院要建立校园网,使得南.北两个校区能够相互通信 2.北校区的行政楼和1号楼业务往来密切.需要时刻保持畅通,网络间断时间不能超过1分钟,网络平均无故障时间10000小时以上 3.行政楼和1号楼均能满足多种用户需求.能够自动隔离广播风暴 要求:请你设计一个网络模型来满足该需求 二.实验拓扑:    三.需求分析: 1.建立路由协议来满足南北校区的相互通信(默认路由.RIP.OSPF.静态路由) 2.可以考虑网络冗余.使得线路时刻保持畅通:设备冗余,满足用户需求:购买高质量网

如何利用PC机搭建综合实验环境之Vmware workstation篇

无论学习windows还是linux,还是学习这些系统上的应用,我们都需要一台甚至多台服务器.但一台服务器动辄上万元,做为正在学习的学生或个人根本无力购买.况且一些实验不止需要一台,还需要多台服务器.再加上供电等因素,个人买服务器来做实验真的是不可能的事情.但不通过实验的话又很难将知识串联起来,实践是检验真理的唯一标准.因此,今天我们来讲如何通过一台PC模拟多台服务器.PC,并且模拟交换机.路由器.防火墙.AAA服务器,最后将交换机,路由器.防火墙.服务器连接起来,搭建成一个综合的实验环境,完成

Linux运维实战之DNS综合实验

本次博文主要是对Linux系统中DNS知识的总结. DNS的基础知识(参见http://sweetpotato.blog.51cto.com/533893/1596973) DNS的基础配置(参见http://sweetpotato.blog.51cto.com/533893/1598225) DNS的高级配置(参见http://sweetpotato.blog.51cto.com/533893/1607383) [本次博文的主要内容] 1.以一个综合案例总结Linux系统中DNS的配置 2.B