Linux企业运维——Docker（三）Registry仓库

Linux企业运维——Docker（三）Registry仓库

一、什么是Docker仓库

• Docker仓库是用来包含镜像的位置，Docker提供一个注册服务器（Register）来保存多个仓库，每个仓库又可以包含多个具备不同tag的镜像。
• Docker运行中使用的默认仓库是Docker Hub公共仓库。
  

二、Docker Hub

docker hub是docker公司维护的公共仓库，用户可以免费使用，也可以购买私有仓库。

Docker Hub虽然方便，但是还是有限制：

• 需要网络连接，速度慢
• 所有人都可以访问
• 由于安全原因企业不允许将镜像放到外网

在实际工作中，我们不可能把企业项目push到公有仓库Docker Hub进行管理。好消息是Docker公司已经将Registry开源，我们可以快速构建企业私有仓库，更好的管理镜像。这一篇介绍registry私有仓库搭建。

三、Registry仓库原理及搭建

3.1、工作原理

Docker Registry有三个角色，分别是index、registry和registry client

• index：
  负责并维护有关用户帐户、镜像的校验以及公共命名空间的信息。
  Web UI
  元数据存储
  认证服务
  符号化

• registry：
  是镜像和图表的仓库，它不具有本地数据库以及不提供用户认证，通过Index Auth service的Token的方式进行认证。

• registry client：
  Docker充当registry客户端来维护推送和拉取，以及客户端的授权。

index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候，首先会去index服务上做认证，然后查找镜像所在的registry的地址并放回给docker客户端，docker客户端再从registry下载镜像，在下载过程中 registry会去index校验客户端token的合法性，不同镜像可以保存在不同的registry服务上，其索引信息都放在index服务上。

• 情景A：
  用户要获取并下载镜像
  
• 情景B：
  用户要获取并下载镜像
  
• 情景C：
  用户要从index或registry中删除镜像
  

3.2、私有仓库搭建

（1）下载registry镜像

（2）运行registry容器并开放5000端口


（3）上传镜像到本地仓库
（本地镜像在命名时需要加上仓库的ip和端口）

（4）测试能否成功访问

可以看到成功了，但是这个库目前任何人都可以访问，不安全，下面我们要增加库的安全性

四、为仓库添加证书加密功能

（1）创建证书存放目录并生成证书

（2）删除之前的registry容器

（3）修改本地解析
（域名westos.org要求在主机上有解析）

（4）重建registry容器

（5）尝试上传镜像

出现了问题，意思是证书是被不知名的ca签名的，因为是我们自建的证书，所以会有问题。

（6）拷贝证书到docker主机

因为使用的是自签证书，客户端要与私有仓库通信，那么必须建立一个目录：/etc/docker/certs.d，在这个目录下建立签名的域名的目录，然后把私有仓库的证书拷贝到这个目录即可。

（7）再次尝试上传镜像

可以看到操作成功

五、为仓库添加用户认证功能

（1）创建用户认证文件并安装相关支持软件

（2）添加用户

（3）删除之前的容器并重建，添加用户认证及密钥模块

接下来测试效果
（1）启动server2

（2）安装并配置docker，然后运行



（3）在server2中添加域名解析

（4）server2尝试拉取仓库镜像

因为没有配置证书，所以出现如图报错，配置方法在第4节讲到。

（5）用server1上传镜像

可以看到虽然server1配置了证书，但是由于仓库又添加了身份认证功能，所以操作失败，需要先进行登录。

（6）server1进行身份认证后，再次上传镜像


可以看到上传成功！

（7）配置完证书的server2再次拉取镜像

如图，只有在身份认证通过后才能进行拉取镜像操作。

（8）退出登录并删除仓库