Linux企业运维——Docker(三)Registry仓库

Linux企业运维——Docker(三)Registry仓库

文章目录

    • Linux企业运维——Docker(三)Registry仓库
    • 一、什么是Docker仓库
    • 二、Docker Hub
    • 三、Registry仓库原理及搭建
      • 3.1、工作原理
      • 3.2、私有仓库搭建
    • 四、为仓库添加证书加密功能
    • 五、为仓库添加用户认证功能

一、什么是Docker仓库

  • Docker仓库是用来包含镜像的位置,Docker提供一个注册服务器(Register)来保存多个仓库,每个仓库又可以包含多个具备不同tag的镜像。
  • Docker运行中使用的默认仓库是Docker Hub公共仓库。
    Linux企业运维——Docker(三)Registry仓库_第1张图片

二、Docker Hub

docker hub是docker公司维护的公共仓库,用户可以免费使用,也可以购买私有仓库。
Linux企业运维——Docker(三)Registry仓库_第2张图片
Docker Hub虽然方便,但是还是有限制:

  • 需要网络连接,速度慢
  • 所有人都可以访问
  • 由于安全原因企业不允许将镜像放到外网

在实际工作中,我们不可能把企业项目push到公有仓库Docker Hub进行管理。好消息是Docker公司已经将Registry开源,我们可以快速构建企业私有仓库,更好的管理镜像。这一篇介绍registry私有仓库搭建。

三、Registry仓库原理及搭建

3.1、工作原理

Docker Registry有三个角色,分别是index、registry和registry client

  • index:
    负责并维护有关用户帐户、镜像的校验以及公共命名空间的信息。
    Web UI
    元数据存储
    认证服务
    符号化

  • registry:
    是镜像和图表的仓库,它不具有本地数据库以及不提供用户认证,通过Index Auth service的Token的方式进行认证。

  • registry client:
    Docker充当registry客户端来维护推送和拉取,以及客户端的授权。

Linux企业运维——Docker(三)Registry仓库_第3张图片
index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给docker客户端,docker客户端再从registry下载镜像,在下载过程中 registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上。

  • 情景A:
    用户要获取并下载镜像
    Linux企业运维——Docker(三)Registry仓库_第4张图片
  • 情景B:
    用户要获取并下载镜像
    Linux企业运维——Docker(三)Registry仓库_第5张图片
  • 情景C:
    用户要从index或registry中删除镜像
    Linux企业运维——Docker(三)Registry仓库_第6张图片

3.2、私有仓库搭建

(1)下载registry镜像
Linux企业运维——Docker(三)Registry仓库_第7张图片
(2)运行registry容器并开放5000端口
Linux企业运维——Docker(三)Registry仓库_第8张图片
Linux企业运维——Docker(三)Registry仓库_第9张图片
(3)上传镜像到本地仓库
(本地镜像在命名时需要加上仓库的ip和端口)
Linux企业运维——Docker(三)Registry仓库_第10张图片
(4)测试能否成功访问
在这里插入图片描述
可以看到成功了,但是这个库目前任何人都可以访问,不安全,下面我们要增加库的安全性

四、为仓库添加证书加密功能

(1)创建证书存放目录并生成证书
Linux企业运维——Docker(三)Registry仓库_第11张图片
(2)删除之前的registry容器
Linux企业运维——Docker(三)Registry仓库_第12张图片
(3)修改本地解析
(域名westos.org要求在主机上有解析)
Linux企业运维——Docker(三)Registry仓库_第13张图片
(4)重建registry容器
Linux企业运维——Docker(三)Registry仓库_第14张图片
(5)尝试上传镜像
在这里插入图片描述
出现了问题,意思是证书是被不知名的ca签名的,因为是我们自建的证书,所以会有问题。

(6)拷贝证书到docker主机

因为使用的是自签证书,客户端要与私有仓库通信,那么必须建立一个目录:/etc/docker/certs.d,在这个目录下建立签名的域名的目录,然后把私有仓库的证书拷贝到这个目录即可。
Linux企业运维——Docker(三)Registry仓库_第15张图片
(7)再次尝试上传镜像
Linux企业运维——Docker(三)Registry仓库_第16张图片
可以看到操作成功

五、为仓库添加用户认证功能

(1)创建用户认证文件并安装相关支持软件
Linux企业运维——Docker(三)Registry仓库_第17张图片
(2)添加用户
Linux企业运维——Docker(三)Registry仓库_第18张图片
(3)删除之前的容器并重建,添加用户认证及密钥模块
Linux企业运维——Docker(三)Registry仓库_第19张图片
接下来测试效果
(1)启动server2
Linux企业运维——Docker(三)Registry仓库_第20张图片
(2)安装并配置docker,然后运行
在这里插入图片描述
Linux企业运维——Docker(三)Registry仓库_第21张图片
在这里插入图片描述
(3)在server2中添加域名解析
Linux企业运维——Docker(三)Registry仓库_第22张图片
(4)server2尝试拉取仓库镜像
在这里插入图片描述
因为没有配置证书,所以出现如图报错,配置方法在第4节讲到。

(5)用server1上传镜像
Linux企业运维——Docker(三)Registry仓库_第23张图片
可以看到虽然server1配置了证书,但是由于仓库又添加了身份认证功能,所以操作失败,需要先进行登录。

(6)server1进行身份认证后,再次上传镜像
Linux企业运维——Docker(三)Registry仓库_第24张图片
Linux企业运维——Docker(三)Registry仓库_第25张图片
可以看到上传成功!

(7)配置完证书的server2再次拉取镜像
Linux企业运维——Docker(三)Registry仓库_第26张图片
如图,只有在身份认证通过后才能进行拉取镜像操作。

(8)退出登录并删除仓库
在这里插入图片描述

你可能感兴趣的:(Linux企业运维实战,docker,linux,运维,容器)