最近想尝试一下极狐GitLab(可以理解为 GitLab 在中国的发行版)内置的容器镜像仓库,这样就不用自己安装 Harbor 之类的了。于是找了个服务器安装了一个极狐GitLab 的私有化部署版本,安装过程可以参考过往的技术文章使用Omnibus 安装极狐GitLab。
极狐GitLab 私有化实例部署成功以后,接下来就需要启用内置的容器镜像仓库了。需要在 /etc/gitlab/gitlab.rb 文件中对于容器仓库的配置内容进行修改:
registry_nginx['enable'] = true
registry_nginx['listen_port'] = 5050registry_external_url 'http://jihu-instance.url:5050'
gitlab_rails['registry_enabled'] = true
gitlab_rails['registry_host'] = "jihu-instance.url"
gitlab_rails['registry_port'] = "5005"
gitlab_rails['registry_path'] = "/var/opt/gitlab/gitlab-rails/shared/registry"为了使用上的安全,想给容器镜像仓库启用 HTTPS,所以需要配置 SSL 证书。在这个过程中,使用自签名的证书,以下三个命令即可生成对应的 csr、cert 和 key,将生成在证书都放在 /etc/gitlab/ssl 目录下面,注意 ssl 目录的权限应该为 755.
$ openssl genrsa -out ca.key 2048$ openssl req -new -x509 -days 365 -key ca.key -subj "/C=CN/ST=LN/L=DL/O=JH/CN=jh-instance.url" -out ca.crt$ openssl req -newkey rsa:2048 -nodes -keyout jh-instance.url.key -subj "/C=CN/ST=LN/L=DL/O=JH/CN=jhma.jihulab.net" -out jh-instance.url.csr$ openssl x509 -req -extfile <(printf "subjectAltName=DNS:jh-instance.url,DNS:www.jh-instance.url") -days 365 -in jh-instance.url.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out jh-instance.url.crt接着在 /etc/gitlab/gitlab.rb 配置文件中写入证书配置信息:
registry_nginx['ssl_certificate'] = "/etc/gitlab/ssl/jh-instance.url.crt"
registry_nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/jh-instance.url.key"配置完成以后需要执行 gitlab-ctl reconfigure 让配置生效。
接着将如下内容写入 .gitlab-ci.yml 文件进行测试:
component-job-build-image:image: name: docker:20.10.7-dindstage: buildscript:- docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY- docker build -t $CI_REGISTRY_IMAGE:1.0.0 .- docker push $CI_REGISTRY_IMAGE:1.0.0
触发 CI/CD 流水线,会遇到如下错误:
tls: failed to verify certificate: x509: certificate signed by unknown authority 这句话的意思也就是说自签名的这个 x509 证书,docker 不信任。为了解决这个问题,需要在 daemon.json 文件中写入如下内容:
{"insecure-registries" : [ "jh-instance.url:5050" ]
}然后重启 docker
$ systemctl daemon-reload
$ systemctl restart docker然后重新执行流水线,就可以看到 Job 会执行成功:
至此,使用自签名证书启用极狐GitLab 内置的容器镜像仓库所带来的 x509 证书不受信任的问题就解决了。
