title: Docker系列之三:镜像仓库
categories: Docker
tags:
- Docker
timezone: Asia/Shanghai
date: 2019-02-25
环境
[root@centos181001 ~]# cat /etc/centos-release
CentOS Linux release 7.6.1810 (Core)
[root@centos181001 ~]# docker -v
Docker version 18.09.1, build 4c52b90
简介
保存和分发镜像的最直接方法就是使用 Docker Hub。
Docker Hub 是 Docker 公司维护的公共 Registry。用户可以将自己的镜像保存到 Docker Hub 免费的 repository 中。如果不希望别人访问自己的镜像,也可以购买私有 repository或者建立自己的repository
除了 Docker Hub,quay.io 是另一个公共 Registry,提供与 Docker Hub 类似的服务。
(一):使用Docker Hub的公共Registry
1.在Docker Hub 上注册一个账号。
https://hub.docker.com/
2.在Docker宿主机上登录
docker login -u "1327133225" -p "xiaoliu"
## 命令帮助
[root@centos181001 ~]# docker login --help
Usage: docker login [OPTIONS] [SERVER]
## 登录到Docker registry
Log in to a Docker registry
Options:
-p, --password string Password
--password-stdin Take the password from stdin
-u, --username string Username
3.上传镜像到Docker Hub
## 1.先需要将上传的镜像命名
## 将本地已有的``nginx:latest``命令为``1327133225/nginx:latest``
## 新镜像格式为``用户名/镜像名:镜像标签``
docker image tag nginx:latest 1327133225/nginx:latest
## 2.上传
docker push 1327133225/nginx
## 3.这个时候可以登录Docker Hub查看已上传镜像
https://hub.docker.com/u/1327133225
## 4.现在我们可以在任意可以联网的电脑上执行以下命令从Docker Hub下载自己上传的镜像
docker pull 1327133225/nginx
## 注意:从Docker Hub删除已上传镜像只能登录到Docker Hub网页进行操作
(二):搭建本地私有Registry(部署纯HTTP仓库)
按照以下搭建的本地私有仓库,会允许所有人访问本仓库。
https://docs.docker-cn.com/registry/deploying/#run-a-local-registry
1.下载官方Registry镜像
docker pull registry:2.7.1
2.启动Registry容器
默认情况下,会将仓库存放于容器内的/tmp/registry目录下,这样如果容器被删除,则存放于容器中的镜像也会丢失,所以我们挂载本地/home/registry用于存放上传的image
docker run -d \
--restart always \
--name registry \
-p 5000:5000 \
-v /home/registry:/var/lib/registry \
registry:2.7.1
3.创建并编辑配置文件,允许不安全的连接
官方推荐TLS认证,如果是外网使用的话建议使用TLS认证。
官网介绍:https://docs.docker-cn.com/registry/insecure/#deploying-a-plain-http-registry
cat </etc/docker/daemon.json
{"insecure-registries":["11.11.11.61:5000"]}
EOF
systemctl restart docker
4.将镜像命名
repository 的完整格式为:[registry-host]:[port]/[username]/xxx
只有 Docker Hub 上的镜像可以省略 [registry-host]:[port]
这里的username可以省略
docker image tag nginx:latest 11.11.11.61:5000/1327133225/nginx:latest
docker image tag nginx:latest 11.11.11.61:5000/nginx:latest
5.上传镜像到私有仓库
docker push 11.11.11.61:5000/1327133225/nginx:latest
docker push 11.11.11.61:5000/nginx:latest
## 查看仓库都上传了那些镜像
curl -X GET http://127.0.0.1:5000/v2/_catalog
6.现在可以在任何可以访问11.11.11.61的电脑上下载镜像
cat </etc/docker/daemon.json
{"insecure-registries":["11.11.11.61:5000"]}
EOF
systemctl restart docker
docker pull 11.11.11.61:5000/123/nginx:latest
(三):添加Docker原生支持的账号密码验证
官网介绍:https://docs.docker-cn.com/registry/deploying/#native-basic-auth
这里我们采用Docker原生支持的基本验证来实现基本的账号密码验证。
1.创建存放密码文件的目录
mkdir auth
2.启动一个临时容器,用来生成密码文件
docker run \
--name registry \
--entrypoint htpasswd \
registry:2.7.1 -Bbn admin xiaoliu > auth/htpasswd
3.删除刚才启动的临时容器
docker rm -f registry
4.启动私有仓库
docker run -d \
-p 5000:5000 \
--restart=always \
--name registry \
-v `pwd`/auth:/auth \
registry:2.7.1
5.这个时候如果直接推送和拉取本地仓库镜像会提示错误,需要登录后使用
docker login http://11.11.11.61:5000
(四).使用自签名证书搭建本地私有Registry
1.下载官方Registry镜像
docker pull registry:2.7.1
2.生成自签名证书
mkdir -p certs
openssl req \
-newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
-x509 -days 365 -out certs/domain.crt
3.启动
docker run -d \
--restart=always \
--name registry \
-v "$(pwd)"/certs:/certs \
-e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/server.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/server.key \
-p 443:443 \
registry:2.7.1
4.测试
将domain.crt文件复制到 /etc/docker/certs.d/myregistrydomain.com:5000/ca.crt每个Docker主机上。您不需要重新启动Docker。
docker pull hello-world
docker image tag hello-world:latest test.com/hello-world:latest
docker push test.com/hello-world:latest
curl -X GET 11.11.11.61:443/v2/_catalog
docker pull test.com/hello-world:latest
附录:
https://docs.docker.com/registry/deploying/