搭建docker registry私库

前言

自己在k8s上部署服务的过程中,需要用到一个私有的镜像仓库,记录一下搭建的过程。

准备

  • 一台服务器

部署

  1. 部署docker。我的部署方式是基于docker进行部署,所以首先需要在服务器上部署docker,部署方式参考官方
  2. 拉取官方registry镜像:docker pull registry
  3. 创建配置文件:vim config.yml
version: 0.1
log:
  fields:
    service: registry
storage:
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
  delete:
    enabled: true
http:
  addr: :5000
  headers:
    X-Content-Type-Options: [nosniff]
health:
  storagedriver:
    enabled: true
    interval: 10s
    threshold: 3
  1. 启动服务:docker run -d --name registry -v data_path:/var/lib/registry -v config_path:/etc/docker/registry/config.yml -p 5000:5000 registry

使用nginx反向代理你的服务器

配置域名解析

由于我只是在家里使用,所以我在我的网关上配置一个dns解析,这样家里所有设备都能够正常解析了,如果需要外网访问的话,可以使用ddns配置解析,然后端口映射到nginx所在服务器


image.png
生成ssl证书(可选)

这里根据官方的教程,我们手动生成一个证书,然后客户端配置允许不安全即可。

 $ mkdir -p certs
 $ openssl req \
  -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
  -addext "subjectAltName = DNS:myregistry.domain.com" \
  -x509 -days 365 -out certs/domain.crt
添加nginx配置(使用https)

如果需要使用https的话,需要按照上面的步骤先生成证书,然后添加以下nginx配置

upstream registry-proxy {
  server 192.168.3.5:5000;
}

server {
  listen 443 ssl;
  server_name your_domain; # 注意修改这里的域名,和下面的证书为上面生成的路径
  ssl_certificate  /etc/nginx/conf.d/certs/domain.crt; 
  ssl_certificate_key /etc/nginx/conf.d/certs/domain.key;
  proxy_set_header Host   $http_host;
  proxy_set_header X-Real-IP $remote_addr;
  client_max_body_size 0;              
  chunked_transfer_encoding on;
  add_header 'Docker-Distribution-Api-Version' 'registry/2.0' always;
  location / {
    auth_basic off;
    proxy_set_header Host       $http_host;
    proxy_set_header X-Real-IP    $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_read_timeout         900;
    proxy_pass http://registry-proxy;
  }
  location /_ping {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
  location /v2/_ping {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
  location /v2/_catalog {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
}
添加nginx配置(使用http)

如果仅在局域网环境下使用,可以选择使用http,添加如下nginx配置

upstream registry-proxy {
  server 192.168.3.5:5000;
}

server {
  listen 80;
  server_name your_domain; # 注意修改这里的域名
  proxy_set_header Host   $http_host;
  proxy_set_header X-Real-IP $remote_addr;
  client_max_body_size 0;              
  chunked_transfer_encoding on;
  add_header 'Docker-Distribution-Api-Version' 'registry/2.0' always;
  location / {
    auth_basic off;
    proxy_set_header Host       $http_host;
    proxy_set_header X-Real-IP    $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_read_timeout         900;
    proxy_pass http://registry-proxy;
  }
  location /_ping {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
  location /v2/_ping {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
  location /v2/_catalog {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
}
配置客户端

由于我们使用的是自签的证书(或者是http),需要在客户端配置信任,如果使用受信任的证书,比如使用lets encrypt的证书,那么可以跳过这一步。

$ mkdir -p /etc/docker
$ vim /etc/docker/daemon.json
{
  "insecure-registries" : ["https://myregistrydomain.com"]
}

保存之后,重启下客户端的docker服务:systemctl restart docker

你可能感兴趣的:(搭建docker registry私库)