搭建docker registry私库

前言

自己在k8s上部署服务的过程中，需要用到一个私有的镜像仓库，记录一下搭建的过程。

准备

一台服务器

部署

部署docker。我的部署方式是基于docker进行部署，所以首先需要在服务器上部署docker，部署方式参考官方
拉取官方registry镜像：docker pull registry
创建配置文件：vim config.yml

version: 0.1
log:
  fields:
    service: registry
storage:
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
  delete:
    enabled: true
http:
  addr: :5000
  headers:
    X-Content-Type-Options: [nosniff]
health:
  storagedriver:
    enabled: true
    interval: 10s
    threshold: 3

启动服务：docker run -d --name registry -v data_path:/var/lib/registry -v config_path:/etc/docker/registry/config.yml -p 5000:5000 registry

使用nginx反向代理你的服务器

配置域名解析

由于我只是在家里使用，所以我在我的网关上配置一个dns解析，这样家里所有设备都能够正常解析了，如果需要外网访问的话，可以使用ddns配置解析，然后端口映射到nginx所在服务器

image.png

生成ssl证书（可选）

这里根据官方的教程，我们手动生成一个证书，然后客户端配置允许不安全即可。

 $ mkdir -p certs
 $ openssl req \
  -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
  -addext "subjectAltName = DNS:myregistry.domain.com" \
  -x509 -days 365 -out certs/domain.crt

添加nginx配置（使用https）

如果需要使用https的话，需要按照上面的步骤先生成证书，然后添加以下nginx配置

upstream registry-proxy {
  server 192.168.3.5:5000;
}

server {
  listen 443 ssl;
  server_name your_domain; # 注意修改这里的域名，和下面的证书为上面生成的路径
  ssl_certificate  /etc/nginx/conf.d/certs/domain.crt; 
  ssl_certificate_key /etc/nginx/conf.d/certs/domain.key;
  proxy_set_header Host   $http_host;
  proxy_set_header X-Real-IP $remote_addr;
  client_max_body_size 0;              
  chunked_transfer_encoding on;
  add_header 'Docker-Distribution-Api-Version' 'registry/2.0' always;
  location / {
    auth_basic off;
    proxy_set_header Host       $http_host;
    proxy_set_header X-Real-IP    $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_read_timeout         900;
    proxy_pass http://registry-proxy;
  }
  location /_ping {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
  location /v2/_ping {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
  location /v2/_catalog {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
}

添加nginx配置（使用http）

如果仅在局域网环境下使用，可以选择使用http，添加如下nginx配置

upstream registry-proxy {
  server 192.168.3.5:5000;
}

server {
  listen 80;
  server_name your_domain; # 注意修改这里的域名
  proxy_set_header Host   $http_host;
  proxy_set_header X-Real-IP $remote_addr;
  client_max_body_size 0;              
  chunked_transfer_encoding on;
  add_header 'Docker-Distribution-Api-Version' 'registry/2.0' always;
  location / {
    auth_basic off;
    proxy_set_header Host       $http_host;
    proxy_set_header X-Real-IP    $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_read_timeout         900;
    proxy_pass http://registry-proxy;
  }
  location /_ping {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
  location /v2/_ping {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
  location /v2/_catalog {
    auth_basic off;
    proxy_pass http://registry-proxy;
  }
}

配置客户端

由于我们使用的是自签的证书（或者是http），需要在客户端配置信任，如果使用受信任的证书，比如使用lets encrypt的证书，那么可以跳过这一步。

$ mkdir -p /etc/docker
$ vim /etc/docker/daemon.json
{
  "insecure-registries" : ["https://myregistrydomain.com"]
}

保存之后，重启下客户端的docker服务：systemctl restart docker