镜像仓库 Registry 介绍及实践-http

于 2024-08-11 19:06:45 发布
阅读量387 收藏 4
点赞数 10
分类专栏: 容器 文章标签: docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/codelearning/article/details/141109888
版权

镜像仓库 Docker Registry 实践-http协议

镜像仓库(Registry)是存储和分发容器镜像的服务器应用。容器镜像是容器的可移植打包格式,包含了应用程序及其依赖的所有内容。镜像仓库主要用于存储这些镜像,并允许用户通过网络将镜像拉取到本地进行部署。

镜像仓库的主要功能

  1. 镜像存储: 提供集中式存储,管理多种版本的容器镜像。
  2. 镜像分发: 通过网络分发镜像,支持多种镜像传输协议。
  3. 权限控制: 通过用户认证和授权管理对镜像的访问权限。
  4. 镜像管理: 提供镜像的标签、版本控制等管理功能。

Docker Registry 是一个开源的镜像仓库实现,允许用户在本地或云端搭建自己的镜像仓库,提供了高效的镜像存储和分发功能。

下面记录在本地机器(已经安装docker)搭建和使用 Docker Registry。

1. 部署 Docker Registry

使用 Docker 容器运行一个 Registry 服务:

docker run -d -p 5000:5000 --restart=always --name registry -v /mnt/registry:/var/lib/registry registry:2

root@harbor:~/harbor# docker run -d -p 5000:5000 --restart=always --name registry -v /mnt/registry:/var/lib/registry registry:2
2c60ce3bd400bf8307869e17b2b6308e8ab4a5c1a905378ac4386bfc76585227
root@harbor:~# docker ps
CONTAINER ID   IMAGE     COMMAND     CREATED       STATUS     PORTS             NAMES
2c60ce3bd400   registry:2   "/entrypoint.sh /etc…"   About a minute ago   Up About a minute   0.0.0.0:5000->5000/tcp, :::5000->5000/tcp   registry
  • /mnt/registry:宿主机路径,可以自定义。
  • /var/lib/registryRegistry容器存放镜像的路径,路径是固定的。

这会启动一个在本地监听 5000 端口的镜像仓库服务。

说明:

  1. Docker 使用 /var/lib/docker 作为默认路径来存储所有 Docker 相关文件(包括镜像)。建议您添加附加存储卷,分别给 /var/lib/docker 和 /mnt/registry 挂载至少 100G。

2. 拉取、推送镜像到 Registry

拉取、推送镜像过程与一般使用其他镜像仓库时的操作类似,如果客户端和registry位于同一台机器,host为localhost;如果客户端位于远端,使用registry所在机器的ip地址作为host。

2.1 调用接口查看当前仓库镜像列表

Docker Registry没有像harbor那样的web界面可以直观的查看镜像仓库列表,需要通过调用接口查看:

curl -X GET http://IP:port/v2/_catalog

以本地调用查看为例,由于是新搭建的registry实例,仓库中是空的:

root@harbor:~# curl -X GET http://localhost:5000/v2/_catalog
{"repositories":[]}

2.2 推送镜像

将镜像推送到本地搭建的 Registry 中:

  1. 为镜像打标签,使其指向本地 Registry:
docker tag <image-name> localhost:5000/<your-image-name>:tag
  1. 将镜像推送到本地 Registry:
docker push localhost:5000/<your-image-name>:tag

以本地的kubernetes dashboard镜像推送为例,如下:

root@harbor:~# docker tag kubernetesui/dashboard:v2.7.0 localhost:5000/kubernetesui/dashboard:v2.7.0
root@harbor:~# docker push localhost:5000/kubernetesui/dashboard:v2.7.0
The push refers to repository [localhost:5000/kubernetesui/dashboard]
c88361932af5: Pushed
bd8a70623766: Pushed
v2.7.0: digest: sha256:ef134f101e8a4e96806d0dd839c87c7f76b87b496377422d20a65418178ec289 size: 736

# 再次调用接口查看镜像列表
root@harbor:~# curl -X GET http://localhost:5000/v2/_catalog
{"repositories":["kubernetesui/dashboard"]}
# 查看镜像的tag列表
root@harbor:~# curl -X GET http://localhost:5000/v2/kubernetesui/dashboard/tags/list
{"name":"kubernetesui/dashboard","tags":["v2.7.0"]}

2.3 拉取镜像

从本地 Registry 中拉取镜像:

docker pull localhost:5000/<your-image-name>:tag

root@harbor:~# docker pull localhost:5000/kubernetesui/dashboard:v2.7.0
v2.7.0: Pulling from kubernetesui/dashboard
Digest: sha256:ef134f101e8a4e96806d0dd839c87c7f76b87b496377422d20a65418178ec289
Status: Image is up to date for localhost:5000/kubernetesui/dashboard:v2.7.0
localhost:5000/kubernetesui/dashboard:v2.7.0

2.4 从远端推送拉取

如果是http协议部署,客户端侧远端推送需要信任配置,以docker为例,编辑/etc/docker/daemon.json:

# 例如registry搭建在ip为192.168.0.156的机器上,在另外的机器上配置进行拉取推送
[root@k8s ~]# cat /etc/docker/daemon.json
{
   "insecure-registries": ["http://192.168.0.156:5000"]
}
# 重启docker生效
systemctl daemon-reload; systemctl restart docker

[root@k8s ~]#  docker pull 192.168.0.156:5000/kubernetesui/dashboard:v2.7.0
v2.7.0: Pulling from kubernetesui/dashboard
ee3247c7e545: Pull complete
8e052fd7e2d0: Pull complete
Digest: sha256:ef134f101e8a4e96806d0dd839c87c7f76b87b496377422d20a65418178ec289
Status: Downloaded newer image for 192.168.0.156:5000/kubernetesui/dashboard:v2.7.0
192.168.0.156:5000/kubernetesui/dashboard:v2.7.0
[root@k8s ~]#  docker push 192.168.0.156:5000/kubernetesui/dashboard:v2.7.0
The push refers to repository [192.168.0.156:5000/kubernetesui/dashboard]
c88361932af5: Layer already exists
bd8a70623766: Layer already exists
v2.7.0: digest: sha256:ef134f101e8a4e96806d0dd839c87c7f76b87b496377422d20a65418178ec289 size: 736

3. 配置认证

上述情况中Docker Registry是允许自由访问的,如果需要开放给其他人使用或者增强安全性,可以配置认证。

3.1 创建密码文件

# 方法1:使用Apache的htpasswd创建加密文件
yum -y install httpd-tools
# 创建管理员admin,密码为123456,存入密码文件
mkdir auth
htpasswd -Bbn admin 123456 > auth/htpasswd

# 方法2:使用httpd容器镜像生成
docker run --entrypoint htpasswd httpd:2 -Bbn admin 123456 > auth/htpasswd

# 查看密码文件
root@harbor:~# cat auth/htpasswd
admin:$2y$05$YXUsPY1os2h7BpkqNLdSQOixnzZ5YX/DgFYH3Qyu8I.JnMvUx7mTq

3.2 启动带认证的 Docker Registry

  • REGISTRY_AUTH=htpasswd # 以 htpasswd 的方式认证
  • REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm # 注册认证
  • REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd # 认证的用户密码
# 停止并删除之前的容器
docker container stop registry
docker rm registry

# 启动带有认证的Registry
docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /mnt/registry:/var/lib/registry \
  -v "$(pwd)"/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  registry:2、
  
# 本地登录测试
root@harbor:~# docker login localhost:5000
Username: admin
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

# 远端测试。此时从远端推送提示需要认证
[root@k8s ~]#  docker push 192.168.0.156:5000/kubernetesui/dashboard:v2.7.0
The push refers to repository [192.168.0.156:5000/kubernetesui/dashboard]
c88361932af5: Preparing
bd8a70623766: Preparing
no basic auth credentials

# 登录
[root@k8s ~]# docker login 192.168.0.156:5000 -u admin -p 123456
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

# 推送成功
[root@k8s ~]#  docker push 192.168.0.156:5000/kubernetesui/dashboard:v2.7.0
The push refers to repository [192.168.0.156:5000/kubernetesui/dashboard]
c88361932af5: Layer already exists
bd8a70623766: Layer already exists
v2.7.0: digest: sha256:ef134f101e8a4e96806d0dd839c87c7f76b87b496377422d20a65418178ec289 size: 736

# 接口认证测试
[root@k8s ~]# curl -X GET http://192.168.0.156:5000/v2/_catalog -u admin
Enter host password for user 'admin':
{"repositories":["kubernetesui/dashboard"]}

4. 参考资料

  1. Deploy a registry server | CNCF Distribution
  2. https://distribution.github.io/distribution/about/deploying/#native-basic-auth
lldhsds
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
云原生之容器编排实践-在K8S集群中使用Registry2搭建私有镜像仓库
Heartsuit的博客
02-18 1621
基于前面搭建的3节点 Kubernetes 集群,今天我们使用 Registry2 搭建私有镜像仓库,这在镜像安全性以及离线环境下运维等方面具有重要意义。作为测试环境,本次使用 Registry2 搭建了私有镜像仓库,实际生产环境建议使用 Harbor;创建了一个 local-storage 的 StorageClass ,并使用本地磁盘的方式创建使用 PV ,实际建议使用 NFS 。
Docker仓库】部署Docker Registry web-ui管理镜像仓库
jks212454的博客
11-10 2358
Docker仓库】部署Docker Registry web-ui管理镜像仓库
docker-镜像注册中心-registry实践
hijunmeng的专栏
05-05 1824
docker-registr镜像注册中心实践 参考 Docker学习之Docker Registry - 简书 https://www.jianshu.com/p/fef890c4d1c2
docker实践(3) 容器镜像原理和容器仓库registry详解
黄规速博客:学如逆水行舟,不进则退
06-11 3075
1. docker安装并运行spring boot 1.1 下载官方的 CentOS 镜像到本地 必须先启动docker才能下载: docker pull centos 1.2 运行一个 Docker 容器: [root@localhost~]#docker run-i-t centos/bin/bash[root@d
镜像迁移到registry_镜像批量迁移利器:image-transfer
weixin_36307344的博客
01-15 149
概述用户业务在上云或者云迁移过程中,需要对镜像进行批量迁移。基于此背景,腾讯云容器专家团队开发了镜像批量迁移工具:image-transfer。该工具支持多种云厂商镜像仓库之间的批量迁移,同时支持腾讯云镜像仓库 TCR 个人版 CCR 一键全量迁移至腾讯云镜像仓库企业版 TCR。本文首先介绍业务上云/迁移过程中镜像迁移的痛点。随后详细介绍镜像批量迁移工具 image-transfer 的设计思想,...
镜像迁移到registry_使用registry镜像
weixin_34443842的博客
12-29 627
Docker Hub 公有镜像在国内拉取加速配置通过加速,国内用户能够快速访问最流行的 Docker 镜像仓库 registry.docker-cn.com 包含流行的公有镜像。私有镜像仍需要从 Docker Hub 镜像库中拉取。以下命令直接从镜像加速地址进行拉取:$ docker pull registry.docker-cn.co...文章耕耘实录2019-04-0120031浏览量Doc...
Docker仓库Docker私有仓库Registry开启用户认证
jks212454的博客
05-06 1493
Docker仓库Docker私有仓库Registry开启用户认证
云原生之容器编排实践-minikube传递秘钥使用阿里云私有镜像仓库
Heartsuit的博客
09-04 500
,我并没有看到一个选项来指定拉取镜像的密钥,好像无法将镜像的密钥作为运行命令的一部分进行传递。中拉取私有容器镜像仓库镜像时,并不能直接拉取,还需要进行认证秘钥信息的配置,这在后续文章中会专门介绍到。两种方式下如何指定镜像拉取的密钥,完成从阿里云私有镜像仓库的拉取操作,然后部署到。即可根据指定的秘钥完成从阿里云私有镜像仓库的拉取操作,然后部署到。描述文件中使用的格式,不过是以单行命令的形式出现。显然,我们需要将私有镜像仓库的认证信息以某种方式告诉。Note:如果你的镜像仓库是公开的,那么直接。
Docker】(三)使用registry远程镜像仓库管理镜像
积木成林,聚沙成塔
01-05 1458
本篇主要记录了如何使用DockerRegistry来解决镜像的存储与共享问题,介绍了国内、国外的镜像仓库使用方式,而在实际工作中,除了我们会自行打包构建服务以外,有时候还会涉及到一部分环境的搭建,例如中间件的安装。下一篇将会介绍如何使用Registry中已有的镜像来安装中间件,并将容器数据持久化到宿主机中。
为什么有了Dockerregistry还需要Harbor?
02-25
一、Harbor的安全机制二、Harbor的镜像同步三、Harbor与K8s的集成实践四、两个小贴士五、总结Habor是由VMWare公司开源的容器镜像仓库。事实上,Habor是在DockerRegistry上进行了相应的企业级扩展,从而获得了更加...
KubeKey 实践-部署高可用 Kubernetes 集群.pdf
05-07
### KubeKey 实践-部署高可用 Kubernetes 集群 #### 一、概述 随着容器技术的发展,Kubernetes 成为了容器编排领域的事实标准。Kubernetes 的强大功能为企业提供了高度自动化、可扩展且可靠的基础设施服务。然而,...
npm国内镜像 安装失败的几种解决方案
08-30
同时,为了保持最佳实践,建议定期检查和更新`.npmrc`中的registry配置,确保其与当前项目的需求相匹配。 以上内容详细介绍了npm在国内安装失败时的解决方案,希望能对开发者们的学习和工作有所帮助。在实际操作中...
create-react-app构建项目慢的解决方法
08-27
在开发React应用时,`create-react-app` 是一个非常受欢迎的工具,它提供了一种快速、无痛的方式来创建一个新的React项目,集成了许多开箱即用的配置和最佳实践。然而,有时候使用`create-react-app`创建项目时,...
docker 好用的加速器
xiaogg3678的专栏
08-07 277
docker 好用的加速器
docker 部署 mysql8
最新发布
 
08-07 210
连接时报错:2059 Authentication plugin ‘caching_sha2_password’ cannot be loaded。解决方式:更改配置文件恢复 MySQL8以前的校验规则,或者使用新版的navicat,或者使用MySQL8的Workbench连接数据库。MySQL8使用了新的密码校验规则 低版本的navicat可能无法连接mysql。
微服务实战系列之玩转Docker(九)
splendid_java的专栏
08-07 1389
伙伴们,立秋了,有何收获?每当节气更替之时,意味着半个月又过去了。“士别三日当刮目相待”,那就让心中的忖量,再多激几层浪。有梦想,必有回响。——碎碎念在博主的玩转docker系列中,前八回重在介绍docker的基础概念、核心机制、重要组成、原理以及相关实践过程。掌握了这些内容,我想各位盆友能够独立完成小型项目的部署了。可我们总是在前一个目标达成之时,期待再次“点火”,奔赴“星辰大海”。那么容器的大海又是啥?容器云呗。何谓容器云?简单理解是把一堆容器“组合”
docker 部署 RabbitMQ
 
08-07 225
docker 部署 RabbitMQ
Docker高级应用讲解
lssffy的博客
08-07 647
Docker是一种开源的容器化平台,用于自动化应用的部署、扩展和管理。虽然Docker的基本使用已经能够满足大多数开发和测试需求,但在生产环境中,往往需要更高级的特性和配置来确保系统的高可用性、安全性和性能。本篇文章将深入探讨Docker的高级应用,包括网络、存储、编排、安全、性能优化以及与CI/CD和Kubernetes的集成。自定义网络允许用户创建具有特定配置的网络,以满足复杂的网络需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lldhsds

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值