前言
和Maven的管理一样,Dockers不仅提供了一个中央仓库,同时也允许我们使用registry搭建本地私有仓库。
使用私有仓库有许多优点:
1.节省网络带宽,针对于每个镜像不用每个人都去中央仓库上面去下载,只需要从私有仓库中下载即可;
2.安全,提供镜像资源利用,针对于公司内部使用的镜像,推送到本地的私有仓库中,以供公司内部相关人员使用。
如何在本地搭建私有仓库
目前Docker Registry已经升级到了v2,最新版的Docker已不再支持v1。Registry v2使用Go语言编写,在性能和安全性上做了很多优化,重新设计了镜像的存储格式。
搭建私有仓库
docker pull registry
下载镜像测试:
下载完之后我们通过该镜像启动一个容器
docker run -d -p 5000:5000 registry
默认情况下,会将仓库存放于容器内的/var/lib/registry目录下,这样如果容器被删除,则存放于容器中的镜像也会丢失,所以我们一般情况下会指定本地一个目录挂载到容器内的/var/lib/registry下,如下:
docker run -d -p 5000:5000 -v /var/registry:/var/lib/registry registry
测试
接下来我们就要操作把一个本地镜像push到私有仓库中。
docker pull nginx
接下来修改一下该镜像的tag。
docker tag nginx 10.254.128.241:5000/nginx
接下来把打了tag的镜像上传到私有仓库。
docker push 10.254.128.241:5000/nginx
The push refers to repository [10.254.128.241:5000/nginx]
Get https://10.254.128.241:5000/v2/: http: server gave HTTP response to HTTPS client
可以看到push失败
因为Docker从1.3.X之后,与docker registry交互默认使用的是https
,然而此处搭建的私有仓库只提供http服务,所以当与私有仓库交互时就会报上面的错误。
不推荐方法:(为了解决这个问题需要在启动docker server时增加启动参数为默认使用http访问。修改docker配置文件地址为:/etc/sysconfig/docker,在其中增加OPTIONS='--insecure-registry 10.254.128.241:5000'
或者vim /etc/docker/daemon.json
{ "insecure-registries":["10.254.128.241:5000"]}
service docker restart
重启完之后我们再次运行推送命令,把本地镜像推送到私有服务器上。
docker push 10.254.128.241:5000/nginx
到此就搭建好了Docker私有仓库。上面搭建的仓库是不需要认证的) 安全问题不考虑这个方法
自制证书
openssl生成证书:
主机名+hosts
hostname registry.xp.com
vim /etc/hosts
10.254.128.241 registry.xp.com
mkdir certs && cd certs
openssl req -x509 -days 3650 -nodes -newkey rsa:2048 -keyout domain.key -out domain.crt
(参数根据实际情况定)
生成过程中会提示填入各种信息,注意CN一栏的信息要填入跟访问的地址相同的域名,例如这里应该为registry.xp.com,证书名字随便设置,在启动容器时与此处对应
生成结果为秘钥文件domain.key,以及证书文件domain.crt。
其中证书文件需要发送给用户,并且配置到用户Docker Host上,注意路径需要跟域名一致,例如:/etc/docker/certs.d/registry.xp.com/ca.crt
mkdir -p /etc/docker/certs.d/registry.xp.com:5000
cp domain.crt /etc/docker/certs.d/registry.xp.com:5000/ca.crt(配置到用户Docker Host)
cat domain.crt >> /etc/pki/tls/certs/ca-bundle.crt(配置到服务器的证书上,注意是追加)
注:如果从服务器上需要到registry服务器push or pull 镜像,需要把registry服务器的证书追加到从服务器的 /etc/pki/tls/certs/ca-bundle.crt
启动容器:
docker run -d –p 5000:5000 --restart=always --name registry
-v `pwd`/certs:/certs
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt(环境变量指定证书)
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key(环境变量指定私钥)
-v /data/registry2:/var/lib/registry registry
启动后就可以往私有仓库pull & push 了
查看私有仓库镜像
curl -X GET http://10.254.128.241:5000/v2/_catalog
查看镜像tag:
curl -X GET 10.254.128.241:5000/v2//tags/list
如果需要加用户名密码访问:
mkdir auth
docker run --entrypoint htpasswd registry -Bbn xpkj xpkj_password > auth/htpasswd
启动容器时多添加几个环境变量
docker run -d –p 5000:5000 --restart=always --name registry
-v `pwd`/auth:/auth
-e "REGISTRY_AUTH=htpasswd"
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm"
-e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd"
-v `pwd`/certs:/certs
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key
-v /data/registry2:/var/lib/registry registry
启动命令
docker login 10.254.128.241:5000