私有仓库就是本地组建的一个与DockerHub相似的镜像仓库。Docker 官方提供了一个叫做 registry 的镜像用于搭建本地私有仓库
服务端、客户端的安装
部署
- 服务端拉取 registry 镜像
# 拉取镜像
docker pull registry
# 查看远程仓库镜像文件,首次查看为空,格式:{"repositories":[]}
curl http://localhost:5000/v2/_catalog
- 修改客户端配置
# 编结相关文件,如果没有就创建
vi /etc/docker/daemon.json
{
"registry-mirror":[
"http://hub-mirror.c.163.com" # 下载镜像的地址
],
"insecure-registries":[
"192.168.233.132:5000" # 指定服务端访问地址
]
}
# 刷新配置文件并重启docker
systemctl daemon-reload && systemctl restart docker && systemctl status docker
- 服务端运行 registry 镜像的容器
docker run -itd -v /usr/local:/var/lib/registry -p 5000:5000 --name registry --restart=always registry:latest
- 客户端推送镜像到服务端
# 拉取镜像或本地构建镜像
docker pull hello-world:latest
# 为镜像设置标签
docker tag hello-world:latest 192.168.233.132:5000/test-hello-world:1.0.0
# 推送镜像到服务端
docker push 192.168.233.132:5000/test-hello-world:1.0.0
# 强制删除镜像
docker rmi -f 镜像id
配置私有仓库认证
- 服务端生成签名证书
# 创建指定目录
mkdir -p /usr/local/docker/registry/certs
# 生成自签名证书
openssl req -newkey rsa:2048 -nodes -sha256 \
-keyout /usr/local/docker/registry/certs/domain.key \
-x509 \
-days 365 \
-out /usr/local/docker/registry/certs/domain.crt
openssl req:创建证书签名请求等功能;
-newkey:创建 CSR 证书签名文件和 RSA 私钥文件;
rsa:2048:指定创建的 RSA 私钥长度为 2048;
-nodes:对私钥不进行加密;
-sha256:使用 SHA256 算法;
-keyout:创建的私钥文件名称及位置;
-x509:自签发证书格式;
-days:证书有效期;
-out:指定 CSR 输出文件名称及位置
- 服务端生成鉴权密码文件
# 创建指定件目录
mkdir -p /usr/local/docker/registry/auth
# 如果没有 htpasswd 功能需要安装 httpd
yum install -y httpd
# 创建用户和密码。htpasswd -Bbn <账号> <密码> /usr/local/docker/registry/auth/htpasswd
htpasswd -Bbn root pwd > /usr/local/docker/registry/auth/htpasswd
- 创建私有仓库
docker run -itd \
-v /usr/local:/var/lib/registry \
-v /usr/local/docker/registry/certs:/certs \
-v /usr/local/docker/registry/auth:/auth \
-e "REGISTRY_AUTH=htpasswd" \
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
-p 5000:5000 \
--name registry --restart=always registry:latest
- 客户端推送镜像到服务端