保护本地码头专用注册中心

Question

我正在尝试创建一个安全的私有码头注册中心，它只能在本地网络中工作，并且可以被IP地址访问。我已经阅读了很多关于这个问题的文章，但其中大多数都提到需要有一个指向有效的公共IP地址(注册中心所在的地方)的注册域名，然后获得该域名的证书。

我想知道是否有一种方法可以使用以下属性创建一个码头注册中心：

• 只能从本地网络访问
• 使用有效证书(而不是码头仍然认为“不安全”的自签名证书)进行安全保护。

我如何获得这样一个注册中心的有效证书？我知道不能单独为IP地址创建证书，但我可以为已注册但不指向任何公共IP的域生成证书(我已经阅读了一些关于dns-01挑战的内容，因此我相信这是可能的)，然后使用该证书，只要我将该域映射到主机文件中服务器的本地IP。

如果这是不可能的，什么是创造一个安全的，本地的，私人的码头注册最好的选择？

Answer 1

使用Nginx保护您的码头注册中心。

有关文件如下：

https://github.com/docker/distribution/tree/master/contrib/compose

如果将根CA添加到/usr/local/share/ca证书并在客户端上运行update-ca-certificates命令，则可以使用自签名证书。