云原生之Docker镜像仓库

1. 前言

        同为虚拟化技术,Docker相对于VMWare有什么特点,或者最吸引我的特点?我认为最主要的是Docker Image技术,它让我们非常方便地把应用程序包和其依赖环境打包成一个Docker镜像文件,而且这个文件相对来说还非常小,一般就是几M到几十M,然后不管是开发环境、测试环境、预发布环境还是各个线上环境,只要环境里安装了Docker Engine就可以行为一致地运行起来,不需要去考虑烦人的目标系统的依赖问题。

        那么这个Docker镜像文件怎么管理?是不是手工直接放到文件系统里,每个环境的每台Linux服务器都去scp上传一次,如果这么做,运维人员就有巨大工作量了,所以需要一个集中存储镜像文件的系统,以及很方便的访问API接口服务,一次push推送进镜像管理系统,其它任何Linux服务器按API接口进行pull拉取即可。

        这样的系统叫作Docker镜像仓库,一般有公有仓库和私有仓库两种。

2. 公有仓库Docker Hub

        Docker Hub是Docker提供的一项服务,我们可以查找一般的公共容器镜像,比如基础的Linux系统镜像,这种镜像我们没有必要自己来制作。

        Docker Hub是世界上最大的容器镜像存储库,拥有一系列内容源,包括容器社区开发人员、开放源代码项目和独立软件供应商(ISV)在容器中构建和分发代码。

        官网:https://hub.docker.com/

        我们可以访问免费的公共存储库来存储和共享镜像,也可以为私有存储库选择订阅计划。

        Docker Hub提供以下主要功能:

  1. 仓库:推拉容器镜像。
  2. 团队和组织:管理对容器映像的私有存储库的访问。
  3. 官方镜像:提取并使用Docker提供的高质量容器镜像。
  4. Publisher-Images:拉取并使用外部供应商提供的高质量容器镜像。
  5. 构建:从GitHub和Bitbucket自动构建容器镜像,并将它们推送到Docker Hub。
  6. Webhooks:成功推送到存储库后触发操作,以将Docker Hub与其他服务集成。

        从仓库下载一个镜像:

 docker image pull [OPTIONS] NAME[:TAG|@DIGEST]

        向仓库上传一个镜像:

docker image push [OPTIONS] NAME[:TAG] 

        如果我们在配置image参数时不设置域名和端口,则默认从Docker Hub上拉取镜像。当然互联网上还有一些其它镜像仓库可供使用,可以自己去搜索一下。 

3. 私有仓库Docker Registry

        基础镜像从Docker Hub拉取非常方便,但是我们自己业务系统构建生成的镜像文件,推送到Docker Hub存储起来供我们使用,有几个问题:

  1.  访问慢:毕竟是国外的服务,push和pull肯定不是每时每刻都速度快;
  2.  安全问题:企业的业务系统镜像文件,不可能推送到公共镜像仓库里去;
  3.  内网问题:如果是安全性要求高的内网环境,无法访问互联网,所以访问Docker Hub无从谈起。

        因此,我们需要自己建立一个镜像仓库,在自己的机房环境里,专门供自己业务平台使用,这就是私有仓库。

        Docker Hub上已经制作好了它的镜像registry和docker-registry-web,一个是私有镜像系统本身,一个是它的web管理系统。

        我们可以编写一个docker-compose.yaml来编排这两个服务进行安装和管理:

version: '3'

services:
  api:
    image: registry:2.7.1
    restart: always
    volumes:
      - /data/registry:/var/lib/registry
    ports:
      - 5000:5000
  web:
    image: hyper/docker-registry-web:v0.1.2
    restart: always
    ports:
      - 8080:8080
    environment:
      - REGISTRY_URL=http://api:5000/v2
      - REGISTRY_NAME=192.168.1.100:5000
      - REGISTRY_READONLY=false

        服务安装执行:

docker-compose up -d 

         docker push和docker pull默认是访问https协议的,我们内网一般采用http即可,需要修改/etc/docker/daemon.json:

{                                              
  "insecure-registries" : ["registry:5000"]  
}                                              

        修改配置文件之后,需要重启docker daemon:

sudo systemctl restart docker 

        上面用到了registry域名,我们需要在每个docker swarm节点上/etc/hosts设置域名指向192.168.1.100,或者使用CoreDNS进行配置就更好。 

        一切都准备好之后,我们就可以push和pull镜像文件到我们自己的私有镜像仓库了,只要在docker-compose.yml或其它命令参数里指定registry:5000,如:

image: registry:5000/backend-api:${VERSION}

        最后我们可以访问registry web进行查看和管理我们推送的镜像文件了:http://192.168.1.100:8080/

        界面实在是太简陋,就是显示出镜像文件列表和详情,就不截图说明了。

4. 私有仓库Harbor

        如果嫌弃Docker registry太简陋,需要更强大的管理能力,那就使用CNCF的Harbor系统,CNCF说明参见:Harbor | CNCF,Harbor官网:Harbor,具体的架构分析和安装使用,我们在另外单独的文章中再叙述。

5. 总结

        Docker镜像仓库是Docker镜像文件集中存储和管理的系统,我们发布的镜像文件可以很方便地push进镜像仓库,而容器集群任何节点都可以很方便地pull镜像仓库里的镜像文件下来进行部署。如果你的系统环境很小很简单,使用Docker registry就足够了,不然则使用Harbor吧。

你可能感兴趣的:(云原生,云原生,docker,容器)