docker 私有仓库以及高级配置
一、docker搭建私有仓库
- 优点:
- 节省网络带宽,针对于每个镜像不用每个人都去中央仓库上面去下载,只需要从私有仓库中下载即可;
- 提供镜像资源利用,针对于公司内部使用的镜像,推送到本地的私有仓库中,以供公司内部相关人员使用。
2. 具体操作流程:
- 环境准备:安装运行docker-registry
docker run -d -p 5000:5000 --restart=always -v /Users/cilu/dockergit/private_registry:/var/lib/registry registry
#参数解释:
-v /Users/cilu/dockergit/private_registry:/var/lib/registry默认情况下,会将仓库存放于容器内的/var/lib/registry目录下,指定本地目录挂载到容器。
-p 5000:5000 端口映射
--restart=always1 在容器退出时总是重启容器,主要应用在生产环境- 修改要上传的镜像的标签及仓库名
docker tag nginx:latest 192.168.10.53/nginx:latest - 上传镜像至私有仓库
docker push 192.168.10.53/nginx:latest
若有报错"Get https://192.168.10.53/v1/_ping: dial tcp 192.168.10.53:443: getsockopt: connection refused"
则需要设置insecurt registry 192.168.10.53:5000- 删除本地的镜像
docker rmi 192.168.10.53/nginx:latest- 从私有仓库拉取镜像
docker pull 192.168.10.53/nginx:latest二、私有仓库高级配置
- 准备站点证书
- 新建一个文件夹,以下步骤均在该文件夹中进行。
mkdir /home/chy/ssl
cd /home/chy/ssl- 如果你拥有一个域名,国内各大云服务商均提供免费的站点证书。你也可以使用 openssl 自行签发证书。这里假设我们将要搭建的私有仓库地址为 docker.domain.com ,下面我们介绍使用 openssl 自行签发 docker.domain.com 的站点 SSL 证书。
1)第一步创建 CA 私钥。
openssl genrsa -out "root-ca.key" 4096
2) 第二步利用私钥创建 CA 根证书请求文件。
openssl req -new -key "root-ca.key" -out "root-ca.csr" -sha256
根据输出提示填写
3) 第三步配置 CA 根证书,新建 root-ca.cnf 。
vim root-ca.cnf
[root_ca]
basicConstraints = critical,CA:TRUE,pathlen:1
keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
subjectKeyIdentifier=hash
4) 第四步签发根证书。
openssl x509 -req -days 3650 -in "root-ca.csr" \
-signkey "root-ca.key" -sha256 -out "root-ca.crt" \
-extfile "root-ca.cnf" -extensions \
root_ca
5) 第五步生成站点 SSL 私钥。
openssl genrsa -out "docker.domain.com.key" 4096
6) 第六步使用私钥生成证书请求文件。
openssl req -new -key "docker.domain.com.key" -out "site.csr" -sha256
根据输出提示填写7) 第七步配置证书,新建 site.cnf 文件。
vim site.cnf
[server]
authorityKeyIdentifier=keyid,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage=serverAuth
keyUsage = critical, digitalSignature, keyEncipherment
subjectAltName = DNS:docker.domain.com, IP:127.0.0.1
subjectKeyIdentifier=hash8)第八步签署站点 SSL 证书。
openssl x509 -req -days 750 -in "site.csr" -sha256 \
-CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial \
-out "docker.domain.com.crt" -extfile "site.cnf" -extensions server
- 这样已经拥有了 docker.domain.com 的网站 SSL 私钥 docker.domain.com.key 和 SSL 证书 docker.domain.com.crt 及 CA 根证书 root-ca.crt 。
1)新建 ssl 文件夹并将 这三个 文件移入,删除其他文件。
mkdir -p /etc/docker/registry/ssl
cd /home/chy/ssl/
mv docker.domain.com.key docker.domain.com.crt root-ca.crt /etc/docker/registry/ssl/
rm -rf *
2. 配置私有仓库
- 私有仓库默认的配置文件位于 /etc/docker/registry/config.yml ,我们先在本地编辑 config.yml ,之后挂载到容器中。
vim /etc/docker/registry/config.yml
version: 0.1
log:
accesslog:
disabled: true
level: debug
formatter: text
fields:
service: registry
environment: staging
storage:
delete:
enabled: true
cache:
blobdescriptor: inmemory
filesystem:
rootdirectory: /var/lib/registry
auth:
htpasswd:
realm: basic-realm
path: /etc/docker/registry/auth/nginx.htpasswd
http:
addr: :443
host: https://docker.domain.com
headers:
X-Content-Type-Options: [nosniff]
http2:
disabled: false
tls:
certificate: /etc/docker/registry/ssl/docker.domain.com.crt
key: /etc/docker/registry/ssl/docker.domain.com.key
health:
storagedriver:
enabled: true
interval: 10s
threshold: 33. 生成 http 认证文件
mkdir /etc/docker/registry/auth
cd /etc/docker/registry
docker run --rm \
--entrypoint htpasswd \
registry \
-Bbn username password > auth/nginx.htpasswd
#将上面的username password替换为你自己的用户名和密码。
4. 编辑 docker-compose.yml
vim docker-compose.yml
version: '3'
services:
registry:
image: registry
ports:
- "443:443"
volumes:
- ./:/etc/docker/registry
- registry-data:/var/lib/registry
volumes:
registry-data:
5. 修改 hosts
编辑 /etc/hosts
vim /etc/hosts
127.0.0.1 docker.domain.com
6. 启动
- 这里需要提前装好compose命令,安装详情请参考 https://www.cnblogs.com/YatHo/p/7815400.html
安装成功之后启动命令:
docker-compose up -d
这样我们就搭建好了一个具有权限认证、TLS 的私有仓库,接下来我们测试其功能是否正常。
7. 测试私有仓库功能
- 由于自行签发的 CA 根证书不被系统信任,所以我们需要将 CA 根证书 ssl/root-ca.crt 移入 /etc/docker/certs.d/docker.domain.com 文件夹中。
mkdir -p /etc/docker/certs.d/docker.domain.com
cp ssl/root-ca.crt /etc/docker/certs.d/docker.domain.com/ca.crt
- 登录到私有仓库
docker login docker.domain.com
- 尝试推送、拉取镜像
docker pull nginx
docker tag nginx docker.domain.com/username/nginx
docker push docker.domain.com/username/nginx
docker rmi docker.domain.com/username/nginx
docker pull docker.domain.com/username/nginx - 如果我们退出登录,尝试推送镜像。
docker logout docker.domain.com
docker push docker.domain.com/username/nginx
no basic auth credentials
#发现会提示没有登录,不能将镜像推送到私有仓库中。