Docker Registry是Dockers镜像的存储和管理中心,在一个离线或没有外网网络的环境下使用大量docker镜像,需要提供一个镜像仓库时需要怎么操作比较合适呢?
Registry可以通过push的方式上传镜像到仓库中,默认将上传的镜像数据保存在/var/lib/registry目录。那么在离线时我们可以将regsitry本身的镜像save成tar包,将/var/lib/registry数据目录也打包成tar包,然后在目标机器上通过volume的形式挂载运行即可提供服务。
具体的实现步骤如下:
前置说明:
拟定有两台已经安装了Docker的机器A和B,A机器所在网络能够访问公网,B机器所在网络不能访问公网。
这样为了模拟了部分企业网络隔离的场景。
A机器准备数据
下载docker registry镜像
在有A机器上下载registry的docker镜像
docker pull docker.io/registry
可以直接在docker hub的官网下载最新版本,也可以使用国内的提供的免费的镜像仓库。例如
docker pull hub.c.163.com/library/registry:latest
创建docker镜像存储目录
在A机器上创建一个保存docker镜像overlay的本地目录
mkdir -p /data/registry-data
添加http访问权限
修改文件/etc/docker/daemon.json
,之后就可以使用http的方式registry,默认是使用https的方式访问。
{
"insecure-registries":["127.0.0.1:5000"],
"log-driver": "json-file",
"log-opt": {
"max-size": "100m",
"max-file": "5"
}
}
这里主要添加insecure-registries
配置即可,另外的两条是对docker log的限制。
有多条时配置时,可以使用逗号,
分隔多个。
重启docker服务
修改完/etc/docker/daemon.json后,需要重启docker服务才能使配置生效。
systemctl restart docker
其他的系统分别使用不同的方法重启。
例如:
centos6/redhat6
service docker restart
或者部分环境可以使用如下方法重启服务
/etc/init.d/docker restart
运行registry服务
在A机器上运行registry服务并将/data/registry-data目录挂载到容器内/var/lib/registry目录中
docker run
-d --name=registry \
-v /registry-data:/var/lib/registry \
-p 5000:5000 docker.io/registry
修改本地镜像tag
docker镜像上传时需要指定仓库名称和镜像名称
docker tag docker.io/centos 127.0.0.1:5000/centos
这里的例子将镜像的仓库名称写成127.0.0.1:5000
,也可以根据环境信息配置,建议使用域名的方式管理镜像。
上传镜像到本地的registry仓库中
在A机器上将需要的镜像都push到该registry中,
docker push 127.0.0.1:5000/centos
这里只提供了一个centos的镜像下载和上传的方法,类推可以将需要的镜像都上传到本地registry中。
打包registry镜像
在A机器上打包registry镜像
docker save -o registry.tar docker.io/registry
由于B 机器上可能没有registry仓库本身的镜像,这里可以将registry的镜像save成tar包。
打包/data/registry-data目录
在A机器上打包/data/registry-data目录
tar czvf registry-images-data.tar.gz /data/registry-data
移动数据
将registry.tar 和 registry-images-data.tar.gz 两个文件复制到B机器上。
复制的方法可以有多种 ,比如scp/ftp/U盘/等方式;
建议在复制前先使用md5sum/sha256计算一个校验值,在目标机器再次校验一次,确保文件在传输过程中没有异常。
B 机器建立离线registry
修改B机器上docker配置文件添加http访问权限
修改文件/etc/docker/daemon.json
,之后就可以使用http的方式registry,默认是使用https的方式访问。
{
"insecure-registries":["127.0.0.1:5000"],
"log-driver": "json-file",
"log-opt": {
"max-size": "100m",
"max-file": "5"
}
}
这里主要添加insecure-registries
配置即可,另外的两条是对docker log的限制。
有多条时配置时,可以使用逗号,
分隔多个。
重启docker服务
修改完/etc/docker/daemon.json后,需要重启docker服务才能使配置生效。
systemctl restart docker
其他的系统分别使用不同的方法重启。
例如:
centos6/redhat6
service docker restart
或者部分环境可以使用如下方法重启服务
/etc/init.d/docker restart
导入registry镜像
在B机器上导入registry的镜像
docker load -i registry.tar
镜像registry的镜像导入到本地的docker中
解压镜像数据
在B机器上解压镜像数据
tar xf registry-images-data.tar.gz -C /data/registry-data
这里的路径建议配置一致,如果路径不一致可能导致启动的registry无法找到正确的数据目录。
运行registry容器
在B机器上运行registry
docker run \
-d --name=registry \
-v /data/registry-data:/var/lib/registry \
-p 5000:5000 docker.io/registry
验证使用
在B机器所在 网络中,根据要求修改tag,通过docker pull
的方式从该registry中下载镜像使用。例如:
docker pull 127.0.0.1:5000/centos