В настоящее время я внедряю частный сервер реестра Docker с nginx, настроенным для безопасной пересылки https трафика в работающий экземпляр Docker Registry (т.е. docker-compose) в частной сети (с DNS).DHCP настроен).
У меня вся установка работает, как и ожидалось, но мне пришлось создать самозаверяющие сертификаты , поскольку мне не разрешено использовать "Let's Encrypt" (жесткое требование).Я развернул файл .crt в /usr/local/share/ca-certificates на всех хостах Ubuntu в моей сети и обновил хранилище сертификатов (т.е. через sudo update-ca-certificates -f).
Однако, несмотря на то, что сертификат «доверенный»"(из вышеприведенного шага), сертификат по-прежнему зарегистрирован как" самоподписанный ", и единственный способ обеспечить полную работу Docker Registry - это создать файл , /etc/docker/daemon.json со следующимсодержимое (при условии, что мой экземпляр реестра Docker работает на хосте registry в моем домене lan):
{
"insecure-registries" : [ "registry.lan:5000" ]
}
Это приводит к нарушению работы некоторых функций (т. е. есть некоторые плагины, которые не будут работать, есливключены «небезопасные реестры»).
Вопрос
Как настроить частную сеть (т. е. предположить, что она большую часть времени даже не подключена к Интернету), чтобывсе машины в сети «полностью доверяют» сертификату (т. е. сертификат является «публично доверенным» среди хостов в локальной сети)? то есть какую команду я могу запустить или файл конфигурации можно настроить?
Это выглядит как возможное решение: создайте серверный ключ CA плюс в моей частной сети.
Спасибо.