当前位置：首页 > news >正文

【k8s】--insecure-registry详解 ( 访问仓库、https、http)

news 2025/7/12 12:23:54

文章目录

一、--insecure-registry是什么
二、如何使用--insecure-registry
三、--insecure-registry的安全风险
四、--insecure-registry的替代方案
五、总结
参考

一、–insecure-registry是什么

--insecure-registry是docker中用来设置与docker registry通信的安全限制的一个参数，如果设置为true或1，意味着Docker将会在与这个registry通信时跨过证书问题，不再验证registry的TLS认证证书，可以忽略证书错误，从而绕过Docker安全机制。

这个描述很奇怪，https一般是服务器端开启的，客户端必须按照Https访问。除非docker服务器端同时开启了https、http，然后客户端默认禁用http，而--insecure-registry 允许本地开启http

这个参数的使用主要是为了方便在开发过程中迅速测试镜像，或者当运行docker的主机不具备安全加密能力的时候，可以选择打开这个开关。

在正式的生产环境中，一般情况下禁用这个选项，因为这个选项的打开为我们的系统带来很大的安全隐患。

二、如何使用–insecure-registry

使用–insecure-registry，我们可以在运行docker命令时添加这个参数。

docker run --rm --insecure-registry registry.local:5000 busybox

在上面的命令中，我们通过--insecure-registry参数指定了registry的地址为registry.local:5000，这意味着docker将会忽略registry.local:5000的SSL证书认证。

在Docker 1.13.1及之后的版本中，可以使用以下的方式来配置–insecure-registry的默认值：

{"insecure-registries" : ["registry.local:5000"]
}

这个配置文件需要保存为 /etc/docker/daemon.json。

需要注意的是，在Windows操作系统中，这个配置文件需要在C:\ProgramData\Docker\config目录下创建。

记得使用 service docker restart 重启docker服务

上述方法只能对单个服务器生效，如果想对所有的生效，可以使用 “insecure-registries” : [ “0.0.0.0/0” ]

三、–insecure-registry的安全风险

虽然使用--insecure-registry参数可以帮助我们快速测试镜像，但是打开这个选项也带来了很大的安全风险。

当我们忽略SSL证书时，意味着所有与该registry通信的数据都是明文传输，容易受到中间人攻击。黑客可以通过在通信过程中截取传输的数据，来获取敏感信息或者篡改数据。

同时，如果registry服务器本身被黑客攻击，会助长黑客利用中间人攻击的可能性，可以通过域名欺骗等方式进行攻击。

四、–insecure-registry的替代方案

如果我们有必要经常使用–insecure-registry，可以选择使用内部CA证书，将证书写入docker TLS认证证书池中，实现相对的安全性。这个过程需要创建自签名证书来为docker registry签名。

下面是一个创建自签名证书的例子：

openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out csr.pem
openssl x509 -req -in csr.pem -signkey key.pem -out cert.crt

执行完上面的命令，会生成三个文件：key.pem、csr.pem、cert.crt，其中cert.crt就是我们创建的自签名证书。我们将cert.crt拷贝到所有需要访问registry的docker客户端主机上，然后重新启动docker服务。

当我们在运行docker命令时，可以使用–tlsverify参数打开docker TLS验证。我们可以将上面生成的key.pem，csr.pem，cert.crt放在服务器的某个目录中，然后使用以下命令启动docker：

docker --tlsverify --tlscacert=/path/to/ca.pem --tlscert=/path/to/cert.pem --tlskey=/path/to/key.pem -H=127.0.0.1:5555 version

通过使用–tlsverify参数，在与registry通信时，Docker将会验证认证证书的有效性，实现了更高的安全性。

五、总结

–insecure-registry是Docker中用来临时绕过TLS认证证书认证的参数，可以在开发、测试过程中节省时间和精力。但是在生产环境中，为了保证系统的安全性，我们需要关闭这个参数。

如果确实有必要经常使用这个参数，我们可以选择使用内部CA证书来实现相对的安全性。

在使用–insecure-registry时，我们需要时刻注意安全风险，并采取相应的防范措施。

参考

–insecure-registry详解

【k8s】--insecure-registry详解 ( 访问仓库、https、http)

文章目录

一、–insecure-registry是什么

二、如何使用–insecure-registry

三、–insecure-registry的安全风险

四、–insecure-registry的替代方案

五、总结

参考

相关文章：

【k8s】--insecure-registry详解 ( 访问仓库、https、http)

ElementUI，修改el-cascader的默认样式

外卖系统海外版：代码与美食的完美交融

Java代码解析：初学者的编程入门指南

数据结构--图

AXure的情景交互

数据库操作习题12.12

Redis之INCR命令，通常用于统计网站访问量，文章访问量，分布式锁

window运行celery报错

玩转Docker（五）：网络

选择合适教育管理软件：必须考虑的10个关键问题

前端不同架构的分层设计

android系统镜像文件

相位的重要性

（三十三）补充Python经典面试题（吸收高级编程特性）

SQL进阶理论篇（四）：索引的结构原理（B树与B+树）

springMVC-模型数据的处理

计算机组成原理-微指令的设计与微程序控制单元的设计

PyTorch机器学习与深度学习

羊奶vs牛奶，羊大师告诉你谁是更营养的选择？

STM32+rt-thread判断是否联网

Qt Widget类解析与代码注释

sqlserver 根据指定字符解析拼接字符串

Java 加密常用的各种算法及其选择

相机Camera日志分析之三十一：高通Camx HAL十种流程基础分析关键字汇总（后续持续更新中）

select、poll、epoll 与 Reactor 模式

C++使用 new 来创建动态数组

AGain DB和倍数增益的关系

MFC 抛体运动模拟：常见问题解决与界面美化

MacOS下Homebrew国内镜像加速指南（2025最新国内镜像加速）