楔子
我们一般测试开发的时候,都习惯于直接从公共镜像仓库hub.docker.com拉取所需镜像,但是实际生产环境中可能涉及自建镜像和网络等各方面的原因,这个时候或许预先搭建自己的镜像仓库可能会更方便些,如下就来讲讲基于证书访问的docker registry的搭建流程。
创建自签名证书
首先,不管是Registry客户端还是服务器端都默认已经安装docker、openssl等工具。另外这儿Registry Server和客户端是一台主机且IP是10.0.2.15,域名vienfu.dockerhub.com,因此要做域名的解析配置:
echo "10.0.2.15 vienfu.dockerhub.com" >> /etc/hosts
然后开始创建自签名证书:
mkdir -p /root/certs.d
cd /root/certs.d
openssl req -newkey rsa:2048 -nodes -sha256 -keyout ./domain.key -x509 -days 365 -out ./domain.crt # 根据提示依次填入所需信心,注意Common Name处要填入之前被解析的域名vienfu.dockerhub.com
# 客户端证书拷贝
mkdir -p /etc/docker/certd.d/vienfu.dockerhub.com:5000
cp /root/certs.d/domain.crt /etc/docker/certd.d/vienfu.dockerhub.com:5000/ca.crt
# 如果后续欲通过curl证书访问registry接口,还需要做如下操作:
cat /root/certs.d/domain.crt >> /etc/ssl/certs/ca-certificates.crt
以上所有操作完成后,重启docker:systemctl restart docker
创建Registry容器
首先,可以预先拉取registry镜像:
docker pull registry:2
如果考虑到持久化和镜像的删除问题,可以预先做如下操作:
mkdir -p /root/docker_image_mgr/registry
cat << EOF >> /root/docker_image_mgr/config.yml
version: 0.1
log:
fields:
service: registry
storage:
delete:
enabled: true # 其中delete.enabled是为镜像删除设置的字段
cache:
blobdescriptor: inmemory
filesystem:
rootdirectory: /var/lib/registry
http:
addr: :5000
headers:
X-Content-Type-Options: [nosniff]
health:
storagedriver:
enabled: true
interval: 10s
threshold: 3
EOF
启动registry容器:
docker run -d -p 5000:5000 --name my-registry -v /root/docker_image_mgr/registry:/var/lib/registry -v /root/docker_image_mgr/config.yml:/etc/docker/config.yml -v /root/certs.d:/root -e REGISTRY_HTTP_TLS_CERTIFICATE=/root/domain.crt -e REGISTRY_HTTP_TLS_KEY=/root/domain.key registry:2
# 启动之后,docker ps看一下启动状态
root@kolla:~# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
ed96182fa77d registry:2 "/entrypoint.sh /etc/" 15 hours ago Up 15 hours 0.0.0.0:5000->5000/tcp my-registry
如此Registry Server启动完成,下面不妨测试一下可否向该Registry Server上传镜像。
docker tag hello-world vienfu.dockerhub.com:5000/hello-world:test
docker push vienfu.dockerhub.com:5000/hello-world:test
简单通过curl命令来查看镜像是否上传:
root@kolla:~#curl -X GET https://vienfu.dockerhub.com:5000/v2/_catalog
{"repositories":["hello-world"]}
如此我们看到镜像也的确上传成功了。
仓库加鉴权
出于安全考虑,一般在认证之后还需要做一个鉴权来控制用户的访问权限,这儿仅介绍最基本的鉴权方式:用户名和密码访问模式。
首先创建一个用户及访问的密码,这儿假设用户名和密码分别是vienfu、Fch19880810:
mkdir -p /root/auth
docker run --entrypoint htpasswd registry:2 -Bbn vienfu Fch19880810 > /root/auth/htpasswd
然后把之前起的容器停掉并且删除:
docker stop my-registry
docker rm my-registry
最后启动一个带鉴权的registry容器:
docker run -d -p 5000:5000 --name my-registry \
-v /root/auth:/auth \
-v /root/docker_image_mgr/registry:/var/lib/registry \
-v /root/docker_image_mgr/config.yml:/etc/docker/registry/config.yml \
-v /root/certs.d:/root \
-e "REGISTRY_AUTH=htpasswd" \
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/root/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/root/domain.key \
registry:2
那也不妨测试一下,实际上我们不难发现,这个时候如果我们直接docker push来上传镜像会失败,这是因为设置了鉴权访问的参数需要先做如下操作:
docker login vienfu.dockerhub.com:5000 # 根据提示输入之前设置的用户名和密码
如此我们再通过docker push上传镜像就ok啦,最后也通过curl命令来查看一下吧:
root@kolla:~# curl -u vienfu:Fch19880810 -X GET https://vienfu.dockerhub.com:5000/v2/_catalog
{"repositories":["hello-world"]}
好啦,自此私有镜像仓库的搭建工作算是完成了。
结语
以上完整讲述了私有镜像仓库的搭建流程,但实际生产环境中可能会涉及高可用、异地数据同步及一致性等问题,这些问题都需要我们去一一解决(这儿暂不做这方面的展开);另外,企业级应用还可以考虑使用Harbor,它会提供一整套的解决方案包括用户管理、操作界面、镜像签名、漏扫、高可用等一系列功能,刚兴趣的同学可参照我的另两篇博客:基于NFS后端存储搭建Harbor和基于CEPH后端存储搭建Harbor。