docker 创建私有仓库

前言

和Maven的管理一样，Dockers不仅提供了一个中央仓库，同时也允许我们使用registry搭建本地私有仓库。

使用私有仓库有许多优点：
1.节省网络带宽，针对于每个镜像不用每个人都去中央仓库上面去下载，只需要从私有仓库中下载即可；

2.安全，提供镜像资源利用，针对于公司内部使用的镜像，推送到本地的私有仓库中，以供公司内部相关人员使用。

如何在本地搭建私有仓库

目前Docker Registry已经升级到了v2，最新版的Docker已不再支持v1。Registry v2使用Go语言编写，在性能和安全性上做了很多优化，重新设计了镜像的存储格式。

搭建私有仓库

docker pull registry

下载镜像测试：

下载完之后我们通过该镜像启动一个容器

docker run -d -p 5000:5000 registry

默认情况下，会将仓库存放于容器内的/var/lib/registry目录下，这样如果容器被删除，则存放于容器中的镜像也会丢失，所以我们一般情况下会指定本地一个目录挂载到容器内的/var/lib/registry下，如下：

docker run -d -p 5000:5000 -v /var/registry:/var/lib/registry registry

测试

接下来我们就要操作把一个本地镜像push到私有仓库中。

docker pull nginx

接下来修改一下该镜像的tag。

docker tag nginx 10.254.128.241:5000/nginx

接下来把打了tag的镜像上传到私有仓库。

docker push 10.254.128.241:5000/nginx
The push refers to repository [10.254.128.241:5000/nginx]

Get https://10.254.128.241:5000/v2/: http: server gave HTTP response to HTTPS client

可以看到push失败

因为Docker从1.3.X之后，与docker registry交互默认使用的是https，然而此处搭建的私有仓库只提供http服务，所以当与私有仓库交互时就会报上面的错误。

不推荐方法：(为了解决这个问题需要在启动docker server时增加启动参数为默认使用http访问。修改docker配置文件地址为：/etc/sysconfig/docker，在其中增加OPTIONS='--insecure-registry 10.254.128.241:5000'
或者vim /etc/docker/daemon.json
{ "insecure-registries":["10.254.128.241:5000"]}
service docker restart
重启完之后我们再次运行推送命令，把本地镜像推送到私有服务器上。
docker push 10.254.128.241:5000/nginx
到此就搭建好了Docker私有仓库。上面搭建的仓库是不需要认证的) 安全问题不考虑这个方法

自制证书

openssl生成证书：

主机名+hosts

hostname   registry.xp.com

vim /etc/hosts
10.254.128.241  registry.xp.com
 
mkdir certs && cd certs

openssl req -x509 -days 3650  -nodes -newkey rsa:2048 -keyout domain.key -out domain.crt
（参数根据实际情况定） 

生成过程中会提示填入各种信息，注意CN一栏的信息要填入跟访问的地址相同的域名，例如这里应该为registry.xp.com，证书名字随便设置，在启动容器时与此处对应

生成结果为秘钥文件domain.key，以及证书文件domain.crt。

其中证书文件需要发送给用户，并且配置到用户Docker Host上，注意路径需要跟域名一致，例如：/etc/docker/certs.d/registry.xp.com/ca.crt

mkdir -p /etc/docker/certs.d/registry.xp.com：5000
cp domain.crt /etc/docker/certs.d/registry.xp.com：5000/ca.crt（配置到用户Docker Host）
cat domain.crt >> /etc/pki/tls/certs/ca-bundle.crt（配置到服务器的证书上，注意是追加）
注：如果从服务器上需要到registry服务器push or pull 镜像，需要把registry服务器的证书追加到从服务器的 /etc/pki/tls/certs/ca-bundle.crt

启动容器：

docker run -d –p 5000:5000 --restart=always --name registry
 
-v `pwd`/certs:/certs
 
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt（环境变量指定证书）
 
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key（环境变量指定私钥）
 
-v /data/registry2:/var/lib/registry    registry

启动后就可以往私有仓库pull & push 了

查看私有仓库镜像

curl -X GET http://10.254.128.241:5000/v2/_catalog

查看镜像tag:

curl -X GET 10.254.128.241:5000/v2//tags/list

如果需要加用户名密码访问：

mkdir auth
 
docker run --entrypoint htpasswd registry -Bbn xpkj xpkj_password > auth/htpasswd

启动容器时多添加几个环境变量

docker run -d –p 5000:5000 --restart=always --name registry
 
-v `pwd`/auth:/auth
 
-e "REGISTRY_AUTH=htpasswd"
 
 
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm"
 
-e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd"
 
-v `pwd`/certs:/certs
 
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt
 
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key
 
-v /data/registry2:/var/lib/registry    registry

启动命令

docker login 10.254.128.241:5000