Red Hat OpenShift: come creare e integrare un registro privato con funzionalità di sicurezza più efficaci

Un registro privato può essere utile per l'archiviazione di immagini dei container Linux per le applicazioni in un'infrastruttura interna controllata (e potenzialmente più sicura).

I container Linux sono tecnologie che consentono di raggruppare e isolare le applicazioni con l'intero ambiente di runtime, completo di tutti i file necessari per l'esecuzione. Diventa così più facile spostare le applicazioni tra gli ambienti (sviluppo, test, produzione, ecc.).

Red Hat nominata Leader nel Gartner® Magic Quadrant™ 2023

Grazie alla completezza della sua visione e alla sua capacità di esecuzione, Red Hat è stata nominata tra le aziende leader del Magic Quadrant™ del 2023 per la gestione dei container.

Leggi il report

In questo articolo illustrerò come creare un registro privato semplice e predisposto per SSL/TLS con un profilo di sicurezza più avanzato, utilizzabile per l'archiviazione dei container in generale e come integrarlo con Red Hat OpenShift, al fine di eseguire deployment OCP disconnessi. Può essere utilizzato anche nei casi in cui OperatorHub non ha accesso a Internet.

Requisiti

Avremo bisogno di:

• FQDN: registry.rhbrlabs.com
• Sistema operativo: Red Hat Enterprise Linux 8.6 e versioni successive
• SELinux: enforcing
• Firewalld: abilitato
• Registro: Podman
• Strumenti Apache
• Volume: 100 Gb montati su /data

Questo registro supporta totalmente le installazioni disconnesse di OpenShift.

Installazione

Per ottenere il massimo in termini di sicurezza del sistema, l'installazione deve prevedere l'utilizzo della crittografia, oltre alle funzionalità di sicurezza già disponibili in Linux.

Crea le directory richieste:

[root@registry ~]# mkdir -p /data/registry/{auth,certs,data}

Certificati

Genera i certificati per il registro dei container. In questo esempio creiamo certificati con una validità di dieci anni:

[root@registry ~]# openssl req -newkey rsa:4096 -nodes -sha256 \
-keyout /data/registry/certs/registry.rhbrlabs.com.key -x509 -days 3650 \
-out /data/registry/certs/registry.rhbrlabs.com.crt \
-subj "/C=US/ST=NorthCarolina/L=Raleigh/O=Red Hat/OU=Engineering/CN=registry.rhbrlabs.com" \
-addext "subjectAltName = DNS:registry.rhbrlabs.com"

Il sistema operativo deve considerare attendibili i certificati generati.

Copia il certificato generato nella directory attendibile anchors ed esegui update-ca-trust:

[root@registry ~]# cp /data/registry/certs/registry.rhbrlabs.com.crt /etc/pki/ca-trust/source/anchors/


[root@registry ~]# update-ca-trust

Account utente

Per controllare gli accessi al registro, bisogna creare gli account utente. L'esempio seguente illustra la creazione di un account per il registro utenti.

Genera un file di autenticazione per il registro delle immagini:

[root@registry ~]# dnf -y install httpd-tools


[root@registry ~]# htpasswd -bBc /data/registry/auth/htpasswd registry redhat12345678

Segreto HTTP

Oltre all'account utente, abbiamo bisogno di un segreto per incrementare l'affidabilità dell'accesso.

Genera un segreto casuale:

[root@registry ~]# date | md5sum


10f207a4cbba51bf00755b5a50718966

Software di registro

Con tutti i dati necessari a disposizione, è il momento di creare il registro.

Crea il registro dei container utilizzando l'immagine docker.io/library/registry:2:

[root@registry ~]# dnf -y install podman


[root@registry ~]# podman create --name ocp-registry --net host -p 5000:5000 \
   -v /data/registry/data:/var/lib/registry:z -v /data/registry/auth:/auth:z \
   -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry" \
   -e "REGISTRY_HTTP_SECRET=10f207a4cbba51bf00755b5a50718966" \
   -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd -v /data/registry/certs:/certs:z \
   -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/registry.rhbrlabs.com.crt \
   -e REGISTRY_HTTP_TLS_KEY=/certs/registry.rhbrlabs.com.key docker.io/library/registry:2

Il comando riportato in precedenza genera un messaggio simile a questo:

Trying to pull docker.io/library/registry:2...
Getting image source signatures
Copying blob fd4a5435f342 done 
Copying blob 213ec9aee27d done 
Copying blob 4583459ba037 done 
Copying blob b136d5c19b1d done 
Copying blob 6f6a6c5733af done 
Copying config dcb3d42c17 done 
Writing manifest to image destination
Storing signatures
Port mappings have been discarded as one of the Host, Container, Pod, and None network modes are in use
22633f37262a4ab2d64fc8beb44bb80618b11802974fb2f45d31d98db3cf14e8

Ora il registro è pronto all'uso, ma c'è bisogno di un metodo per controllare l'avvio e l'arresto del servizio.

Controllo dell'avvio

Crea un file UNIT dedicato al registro per far partire automaticamente il container all'avvio:

[root@registry ~]# cat /etc/systemd/system/ocp-registry.service


[Unit]
Description=OCP Registry
[Service]
Restart=always
ExecStart=/usr/bin/podman start -a ocp-registry
ExecStop=/usr/bin/podman stop -t 10 ocp-registry
[Install]
WantedBy=network-online.target

Avvia il container:

[root@registry ~]# systemctl daemon-reload


[root@registry ~]# systemctl enable --now ocp-registry.service

Registro privato in esecuzione

Firewall

Noi stiamo utilizzando un firewall locale, pertanto dobbiamo autorizzare la porta di servizio del registro.

Autorizza la porta TCP 5000 su Firewalld:

[root@registry ~]# firewall-cmd --permanent --add-port=5000/tcp


[root@registry ~]# firewall-cmd --reload

Verifica del funzionamento del registro

A questo punto controlliamo l'accesso al nuovo registro.

Verifica che l'autenticazione e l'SSL/TLS ritenuto attendibile funzioni:

[root@registry ~]# curl -u 'registry:redhat12345678' https://registry.rhbrlabs.com:5000/v2/_catalog


{"repositories":[]}

Integrazione con Red Hat OpenShift

Se intendi utilizzare il registro con OCP, crea un file con le informazioni di autenticazione in formato base64.

Genera un file temporaneo con le informazioni di autenticazione per le installazioni disconnesse di OpenShift:

[root@registry ~]# cat <<EOF > ~/registry-secret.json
"registry.rhbrlabs.com:5000": {
   "email": "registry@redhat.com",
   "auth": "$(echo -n 'registry:redhat12345678' | base64 -w0)"
}
EOF

Conclusioni

Ora il nuovo registro privato con funzionalità di sicurezza aggiuntive è operativo. Un servizio di registro privato è un ottimo metodo per controllare gli accessi e soddisfare standard di sicurezza più rigorosi, dal momento che i servizi di registro pubblici sono più soggetti a problematiche di sicurezza.

In questo post ti ho accompagnato nella creazione da zero di un registro ottimizzato per la sicurezza. È una soluzione efficiente, ma non dispone di funzionalità avanzate come l'alta disponibilità, il mirroring, il caching e la replica geografica, già presenti in soluzioni più robuste.

Tutte queste funzioni, insieme alla scansione delle vulnerabilità dei container, al supporto dello storage di oggetti e alla scalabilità automatica, sono integrate in Red Hat Quay.

La piattaforma per il registro dei container Red Hat Quay è una soluzione ottimizzata in termini di sicurezza per lo storage, la distribuzione e la governance dei container e degli artefatti cloud native su qualsiasi infrastruttura. È disponibile come componente standalone o può essere eseguita su Red Hat OpenShift.