如何解决 docker registry x509 证书不信任问题？

最近想尝试一下极狐GitLab（可以理解为 GitLab 在中国的发行版）内置的容器镜像仓库，这样就不用自己安装 Harbor 之类的了。于是找了个服务器安装了一个极狐GitLab 的私有化部署版本，安装过程可以参考过往的技术文章使用Omnibus 安装极狐GitLab。

极狐GitLab 私有化实例部署成功以后，接下来就需要启用内置的容器镜像仓库了。需要在 /etc/gitlab/gitlab.rb 文件中对于容器仓库的配置内容进行修改：

registry_nginx['enable'] = true
registry_nginx['listen_port'] = 5050

registry_external_url 'http://jihu-instance.url:5050'
gitlab_rails['registry_enabled'] = true
gitlab_rails['registry_host'] = "jihu-instance.url"
gitlab_rails['registry_port'] = "5005"
gitlab_rails['registry_path'] = "/var/opt/gitlab/gitlab-rails/shared/registry"

为了使用上的安全，想给容器镜像仓库启用 HTTPS，所以需要配置 SSL 证书。在这个过程中，使用自签名的证书，以下三个命令即可生成对应的 csr、cert 和 key，将生成在证书都放在 /etc/gitlab/ssl 目录下面，注意 ssl 目录的权限应该为 755.

$ openssl genrsa -out ca.key 2048

$ openssl req -new -x509 -days 365 -key ca.key -subj "/C=CN/ST=LN/L=DL/O=JH/CN=jh-instance.url" -out ca.crt

$ openssl req -newkey rsa:2048 -nodes -keyout jh-instance.url.key -subj "/C=CN/ST=LN/L=DL/O=JH/CN=jhma.jihulab.net" -out jh-instance.url.csr

$ openssl x509 -req -extfile <(printf "subjectAltName=DNS:jh-instance.url,DNS:www.jh-instance.url") -days 365 -in jh-instance.url.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out jh-instance.url.crt

接着在 /etc/gitlab/gitlab.rb 配置文件中写入证书配置信息：

registry_nginx['ssl_certificate'] = "/etc/gitlab/ssl/jh-instance.url.crt"
registry_nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/jh-instance.url.key"

配置完成以后需要执行 gitlab-ctl reconfigure 让配置生效。

接着将如下内容写入 .gitlab-ci.yml 文件进行测试：

component-job-build-image:
  image: 
    name: docker:20.10.7-dind
  stage: build
  script:
    - docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY
    - docker build -t $CI_REGISTRY_IMAGE:1.0.0 .
    - docker push $CI_REGISTRY_IMAGE:1.0.0

触发 CI/CD 流水线，会遇到如下错误：

tls: failed to verify certificate: x509: certificate signed by unknown authority 这句话的意思也就是说自签名的这个 x509 证书，docker 不信任。为了解决这个问题，需要在 daemon.json 文件中写入如下内容：

{
    "insecure-registries" : [ "jh-instance.url:5050" ]
}

然后重启 docker

$ systemctl daemon-reload
$ systemctl restart docker

然后重新执行流水线，就可以看到 Job 会执行成功：

至此，使用自签名证书启用极狐GitLab 内置的容器镜像仓库所带来的 x509 证书不受信任的问题就解决了。