一、docker仓库
什么是仓库
- Docker 仓库是用来包含镜像的位置,Docker提供一个注册服务器(Register)来保存多个仓库,每个仓库又可以包含多个具备不同tag的镜像。
- Docker运行中使用的默认仓库是 Docker Hub 公共仓库。
二、仓库Registry工作原理
一次docker pull 或 push背后发生的事情:
index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给docker客户端,docker客户端再从registry下载镜像,在下载过程中 registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上。
Docker Registry有三个角色,分别是index、registry和registry client。
- index
- 负责并维护有关用户帐户、镜像的校验以及公共命名空间的信息。
- registry
- 是镜像和图表的仓库,它不具有本地数据库以及不提供用户认证,通过Index Auth service的Token的方式进行认证。
- Registry Client
- Docker充当registry客户端来维护推送和拉取,以及客户端的授权。
情景A:用户要获取并下载镜像。
首先客户端向index请求下载镜像,index会返回镜像所在的仓库地址和token给客户端,客户端持有token直接访问仓库,此时仓库会向index校验token,index再向仓库返回是否合法,若是合法仓库直接将镜像传输给客户端。
情景B:用户要推送镜像到registry中。
客户端向index请求上传,index给客户端一个token,然后客户端访问仓库,仓库校验token,校验完成后客户端给仓库上传镜像。
情景C:用户要从index或registry中删除镜像。
客户端向index请求删除,index向客户端返回允许delete和token,然后客户端访问仓库,校验完成后在仓库中删除,仓库完成删除后和index之间同步信息。
三、搭建本地私有仓库
在生产环境中,有些环境下可能是不被允许连接外网的,所以此时我们就需要搭建一个本地的私有仓库。我们也可以在docker官网创建一个账号,可以把我们本地的镜像上传到官网:Docker Hub
创建账户后,在本机登陆刚刚创建的账号:
用户的登录信息将会保存到用户主目录下 .docker 中,这样就可以保证后面我们不需要频繁的login:
在网页端创建仓库:
在本机 先更改tag和仓库信息,然后再push上传:
可以看到在我们刚刚创建的仓库里面已经有我们上传的镜像了:
我们也可以登出docker:
四、配置镜像加速器
首先进入aliyun官网并登陆自己的账号,登陆进去后进入右上角控制台:
选择容器镜像服务中的镜像加速器:
可以看到我们的加速器地址已经生效了:
五、私有仓库的加密认证
官方文档:Deploy a registry server | Docker Documentation
5.1 非加密下上传拉取
下载registry镜像:
docker run -d -p 5000:5000 --restart=always --name registry registry:latest
--restart=always : 让此容器随着docker引擎自启动
现在我们在私有仓库里上传:
访问私有仓库发现已经上传:
注:既然是仓库就要支持远程拉取的功能,从本机拉取可以用非加密的方式,远程主机拉取必须要加密的方式。先走加密再开认证:
5.2 安装openssl11
首先我们先下载加密的软件包:
5.3 构建加密key和cert
可以看到证书已经到位了:
5.4 有证书的主机使用仓库
先将原来的仓库删掉:
将之前的容器的卷删除掉:
我们需要在本机加一个解析:
但是在上传时遇到一个证书问题,docker引擎此时并不能识别到我们的证书:
我们需要将证书手动放入下面的目录中:
注:目录名称必须和域名相同。
此时上传成功,指定目录里也有相应的文件:
5.5 用户认证功能
我们可以在此基础上加上认证功能:
安装httpd 工具包,使用htpasswd设置用户和密码:
注:再次添加就不要加 -c 了。
将之前的容器删除掉,加上一些设置使用用户和密码的参数,再开启容器:
使用用户认证的方式访问registry,发现我们上传的镜像还在,因为我们挂接的是本地的磁盘:
现在再上传会发现由于用户认证的关系无法上传:
我们需要先登陆再上传:
上传成功!登陆信息储存在:
上传成功: