如何解决使用 nginx 重定向到 docker 注册表 为什么是 404?如何处理/v2/
我想要做的就是控制顶级端点(用户将在其中登录和拉取图像的 MY_ENDPOINT。正在托管注册表和容器 (DOCKER_SAAS),所以我只需要一个看似简单的重定向。具体来说,您将在哪里通常这样做:
docker login -u ... -p ... DOCKER_SAAS
docker pull DOCKER_SAAS/.../...
我想允许:
docker login -u ... -p ... MY_ENDPOINT
docker pull MY_ENDPOINT/.../...
我更喜欢:
docker login MY_ENDPOINT
docker pull MY_ENDPOINT/.../...
最后一项的不同之处在于端点包含用户名和密码的散列版本,该版本被设置为 Authorization
标头(使用 Basic
) - 因此用户不会甚至需要担心用户名和密码,只是他们的 URL。我已经尝试了 proxy_pass
,因为我们已经在为基本打包(使用 HTTPS)做了,但是失败了 404(部分原因是我们不处理 /v2 - 我还需要通过重定向吗? )。这让我想到了 https://docs.docker.com/registry/recipes/nginx/,但这似乎只有在您托管注册表时才有意义。我正在尝试做的事情可能吗?
解决方法
听起来 DOCKER_SAAS
前面还有一个 Nginx 或类似的反向代理服务器。基础设施看起来像这样吗?
[MY_ENDPOINT: nginx] <--> ([DOCKER_SAAS ENDPOINT: ?] <--> [DOCKER_REGISTRY])
我的猜测是,由于服务器 [DOCKER_SAAS ENDPOINT: ?]
显然配置了一个固定的域名,它期望在请求标头中准确地使用该域名(例如 Host: DOCKER_SAAS.TLD
)。所以问题可能是当从 [MY_ENDPOINT: nginx]
代理到 [DOCKER_SAAS ENDPOINT: ?]
时发送了错误的 Host
标头,即默认情况下发送了主机标头 MY_ENDPOINT.TLD
,但它应该改为DOCKER_SAAS.TLD
。例如:
upstream docker-registry {
server DOCKER_SAAS.TLD:8443;
}
server {
...
server_name MY_ENDPOINT.TLD;
location / {
proxy_pass https://docker-registry/;
proxy_set_header Host DOCKER_SAAS.TLD; # set the header explicitly
...
}
}
或
server {
...
server_name MY_ENDPOINT.TLD;
location / {
proxy_pass https://DOCKER_SAAS.TLD:8443/;
proxy_set_header Host DOCKER_SAAS.TLD; # set the header explicitly
...
}
}
关于这个:
我更喜欢:docker login MY_ENDPOINT
这可以在代理服务器([MY_ENDPOINT: nginx]
)上设置,是的。 (Authorization: "Basic ..."
可以用从 MY_ENDPOINT
中提取的相应标记动态填充,依此类推)。但是,无论如何,docker CLI 仍然会要求输入用户名和密码。是的,用户可以输入虚拟值(以使 CLI 满意),或者这也可以:
docker login -u lalala -p 123 MY_ENDPOINT
但这会不一致,而且会混淆用户,恕我直言。所以最好让它...
,这个简单的配置适用于 GitHub 和 Amazon ECR:
server {
listen 80;
server_name localhost;
location / {
proxy_set_header Authorization "Basic ${NGINX_AUTH_CREDENTIALS}";
proxy_pass https://registry.example.com;
}
}
${NGINX_AUTH_CREDENTIALS}
是 Docker 用于身份验证的实际散列的占位符。您可以在使用一次 $HOME/.docker/config.json
后从 docker login
获取它:
{
"auths": {
"registry.example.com": {
"auth": "THIS STRING"
}
}
由于代理注入/替换认证头,所以不需要使用docker login
,只需使用代理地址而不是注册地址。
为什么是 404?
我在尝试使用 40X
测试 GitHub 代理时出现了几个 curl
错误:
- 错误的凭据 - 404,而不是通常的 401 或 403。
- GET /v2/_catalog - 404(GitHub 尚不支持,在 backlog 中)。改用
GET /v2/repo_name/image_name/tags/list
。 - curl 没有 -XGET - 405,它无论如何都会提供响应,但要获得 200,您需要明确使用 GET (
-XGET
)
尽管 docker pull
从一开始就完美无缺,所以我建议使用它进行测试。
如何处理/v2/
location /
匹配所有内容,包括 /v2/
,因此在代理中没有特别需要。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。