Docker官方提供了公有的registry:Docker Hub,企业内部可自建私有仓库。常见的可以有2种方式:docker-registry或基于gitlab
【registry方式】
1. openssl生成证书
openssl req -newkey rsa:4096 -nodes -sha256 -keyout registry-test.key -x509 -days 365 -out registry-test.crt
输入相应的国家/省/市/公司等,例如:
Issuer: C=cn, ST=gd, L=gz, O=xj, OU=xj, CN=xj.com [email protected]
注意 CN 设置为相应域名,如: xj.com
2. 本机docker认证
在 /etc/docker/certs.d 下创建目录:xj.com:1234,然后把.crt文件(仅该文件即可,key可以不用)COPY到目录下
3. 重启DOCKER Daemon
systemctl restart docker
4. 创建加密文件
htpasswd -bc htpasswd user 123456 ----目前使用不起作用,后续再跟进
htpasswd -cB htpasswd user1 ----创建htpasswd文件,测试OK
htpasswd -B htpasswd user2 ---在htpasswd文件中追加用户,测试OK
5. 部署registry
1) docker pull registry:2
2) 通过docker run或docker-compose启动,其中可设置认证方式/加密文件路径/证书key/证书等
docker run启动:
docker run -d -p 1234:5000 --restart=always --name myregistry \
-v /home/apps/aa/common/conf/registry/auth:/auth \
-e "REGISTRY_AUTH=htpasswd" \
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
-v /home/apps/aa/common/conf/registry/certs:/certs \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/aa.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/aa.key \
registry:2
6. 部署WebUI
两个 web ui,一个是 docker-registry-frontend,另一个是 hyper/docker-registry-web。
这两个 ui 功能差不多,只需任选其一就可以了。截止目前,docker-registry-frontend 的功能还不完善,没有删除镜像的功能,只能浏览。后一个同时具备 删除和浏览 的功能。
1)docker-registry-frontend方式
参考registry-frontend.yml ,启动后,必须使用https://xj.com:8443 进行访问,目前只能查看,不能修改,删除。
官网:https://github.com/kwk/docker-registry-frontend
2)docker-registry-web方式
docker run -d -p 8080:8080 --name registry-web \
-e REGISTRY_AUTH_ENABLED=false \
-e REGISTRY_READONLY=false \
-e REGISTRY_URL=https://xj.com:1234/v2 \
-e REGISTRY_TRUST_ANY_SSL=true \
-e REGISTRY_NAME=xj.com:1234 hyper/docker-registry-web
3. docker使用registry认证
1) 上述registry设置了登陆认证:用户名/密码+证书。那么访问的各机器的 /etc/docker/certs.d 目录下需有对应registry的证书+使用密码登陆,客户端机器不需要重启docker。
2) docker login -u username -p password xj.com:1234 //上面已设置证书,用户名/密码是上面生成的 user1/123456
3) docker push xj.com:134/aa-html/aa-projectname //用户username需有该registry所关联项目aa-html/aa-projectname的push权限,例如hello用户没有该项目的权限那么无法push。
注意:
1. 若证书过期,直接上上面步骤替换证书,并重启registry即可。
2. 主机上的CA.crt证书和私有仓库上的CA.crt证书不匹配
Error response from daemon: Get https://xj.com:1234/v1/users/: x509: certificate signed by unknown authority
3. docker push时,image名称必须以xj.com:1234开头,否则会报错:denied: requested access to the resource is denied。 如:
docker tag consul xj.com:1234/consul:1.0.0
docker login -u user -p 123456 xj.com:1234
docker push xj.com:1234/consul:1.0.0
【gitlab方式】
1. openssl生成证书
同上
2. 本机docker认证
同上
3. 重启DOCKER Daemon
同上
4. gitlab(安装在/var/opt目录下)本身自带了 registry 的插件,在安装后,会自动有对应的配置,内部通过nginx启动,相应目录:/var/opt/gitlab/nginx和/var/opt/gitlab/registry。/nginx/conf下有对应的配置文件 gitlab-registry.conf,里面有监听端口/ssl的配置等,可参考 gitlab-registry.conf
5. 替换.conf中ssl配置的路径中的证书,并赋权限600,如 /etc/gitlab/ssl 下
6. 重启nginx-registry
7. 设置某个项目使用registry
8. web页面中删除tag,也仅仅是删除索引,未真正删除数据