Возможно ли сделать авторизацию в приватном реестре Docker по SSL?

Question

[Артём Брыкин]

Ситуация следующая: есть сервак с докером на нём контейнер с реестром (nginx нету), есть другой сервак с центральным nginx (он проксирует запросы со шлюза на нужные сервера), ну и есть клиенты (убунта) которые хотят подключиться к реестру.
Как лучше сделать авторизацию по сертификату (нужно ли поднимать для этого отдeльный контейнере с nginx рядом с контейнером реестра или возможно обойтись основным, центральным nginx)?
И возможно ли как-то сделать авторизацию для каждого клиента по отдельному ключу (генерировать на стороне реестра или nginx и кидать клиенту, чтобы тот мог авторизоваться в реестре), чтобы в любой момент этот ключ отозвать?
Так как докером занялся вплотную недавно, то буду рад, если поделитесь Вашим опытом, расскажите как это реализовывали Вы. Возможно какие-то советы по автоматизации. Ссылки на маны приветствуются, хотя от прочитанного в гугле сейчас такая каша в голове, везде у всех по-разному...

Answer 1

[chupasaurus]

1. Можно обойтись центральным.
   
2. Для этого данный вид авторизации и создан. Проще размещать CA на nginx. Для включения авторизации клиентов с отзывом сертификатов нужны три директивы:

   ssl_verify_client on; ssl_trusted_certificate CA.pub; ssl_crl CA.crl;

   
   

Comments

[Артём Брыкин]

Спасибо за столь быстрый ответ! Т.е., вот у меня сейчас получается такой конфиг:

server {
listen 5000 ssl;
server_name docker.xxx.loc;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $http_host;
proxy_pass https://192.168.1.83:5000;
}
ssl_certificate /etc/letsencrypt/live/docker.xxx.ru/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/docker.xxx.ru/privkey.pem; # managed by Certbot
}

аналогично для 443.

И мы эту конструкцию меняем на:

server {
listen 5000 ssl;
server_name docker.xxx.loc;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $http_host;
proxy_pass https://192.168.1.83:5000;
}
ssl_verify_client on;
ssl_certificate /etc/letsencrypt/live/docker.xxx.ru/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/docker.xxx.ru/privkey.pem; # managed by Certbot
ssl_trusted_certificate CA.pub;
ssl_crl CA.crl;
}

Уточняющие вопросы:
1) В данном случае авторизация происходит на стороне nginx, a не докер реестра? Сертификаты не нужно скидывать на сервер с докером и мапить папку в реестр?
2) То есть получается 1 сертификат для всех клиентов докер реестра? Если да, то возможно ли как-то сделать авторизацию для каждого клиента по отдельному ключу.
3) Откуда берутся в данном случае CA.pub\CA.crl (ssh-keygen или certbot тоже может?)?

[chupasaurus]

Артём Брыкин,

1. Верно, всем рулит nginx.
   
2. Прочитайте, что такое Certificate Authority и как оно работает.
   
3. Создаёте свой CA, корневым сертификатом подписываются сертификаты пользователей :)
   

[Артём Брыкин]

Ага, я понял. А средствами docker registry возможно это осуществить такое:
Допустим, что реестр находится на 192.168.1.83, с него генерирую сертификат для клиента с ip 192.168.1.1 (например через openssl), скидываю клиенту и только клиент с этим ip и этим сертификатом может авторизоваться в docker регистре.
Возможно реализовать такую логику?

[chupasaurus]

Артём Брыкин, Сам DR не умеет, поскольку Docker registry - это про хранение образов, а не настройку PKI. Вы бы п.2 из предыдущего моего коммента таки освоили.

[Артём Брыкин]

chupasaurus, Да-да, это я уже понял)
Спасибо за ответ!