什么是仓库
Docker 仓库是用来包含镜像的位置,Docker提供一个注册服务器(Register)来保存多个仓库,每个仓库又可以包含多个具备不同
tag的镜像。
Docker运行中使用的默认仓库是Docker Hub公共仓库。
Docker Hub
docker hub是docker公司维护的公共仓库,用户可以免费使用,也可以购买私有仓库。
首先在https://hub.docker.com/网站注册一个账号
在docker hub上新建一个公共仓库
我们要上传镜像必须要认证
Username: night455
Password:
认证成功后会有一个./docker的文件
然后我们上传我们封装好的文件
[root@server1 ~]# docker tag nginx:small night455/nginx:small
我们也可以不指定名字使用默认的nginx那么他就会存放在默认的目录中
[root@server1 ~]# docker push night455/nginx
The push refers to repository [docker.io/night455/nginx]
上传成功后我们 就可以在我们的tags中看到了
我们可以再我们的主机上直接拉取文件
[root@server1~]# docker pull night455/nginx
[root@server1~]# docker images
REPOSITORY TAG IMAGE IDCREATED SIZE
night455/nginx latest 2560dbd4eele3 0 minutes ago 31.1MB
[ rooteserver1~]# docker run -d --name web night455/nginx
db5cbf2ea89d468ddc7fd8dd89978bb51dd5ad4d157ab3d0482217c6d2e4e03b
[ rooteserver1~1# docker ps
STATUS NAMES CONTAINER ID STAUS PORTS IMAGE
db5cbf2ea89d night455/nginx "nginx-g ' daemon of.."1 second ago Up Less than a second web
如果想删除本地镜像
docker rmi night455/nginx
删除docker hub中的镜像仓库
Registry 工作原理
一次docker pull或push背后发生的事情
index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给
docker客户端,docker客户端再从registry下载镜像,在下载过程中registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上。
·Docker Registry有三个角色,分别是index、registry和registry client。
·index
·负责并维护有关用户帐户、镜像的校验以及公共命名空间的信息。
·Web UI
·元数据存储
·认证服务
·符号化
·registry
·是镜像和图表的仓库,它不具有本地数据库以及不提供用户认证,通过Index Auth service的Token的方式进行认证。
·Registry Client
·Docker充当registry客户端来维护推送和拉取,以及客户端的授权。
情景A:用户要获取并下载镜像。
情景B:用户要推送进行到registry中
客户端要从我们的index或者registry中删除镜像
配置镜像加速器
从docker hub上下载镜像的速度太慢,需要配置镜像加速器,这里以阿里云为例:(需要提前注册阿里云帐号)
·配置docker daemon文件:
#vim/etc/docker/daemon.json
"registry-mirrors":["https://vo5twm71.mirror.aliyuncs.com"]
·重载docker服务:
#systemctl daemon-reload
#systemctl restart docker
搭建私有仓库
·docker hub虽然方便,但是还是有限制
·需要internet连接,速度慢
·所有人都可以访问
·由于安全原因企业不允许将镜像放到外网
·好消息是docker公司已经将registry开源,我们可以快速构建企业私有仓库
·https://docs.docker.com/registry/deploying/
下载registry镜像
docker pull registry
然后docker history查看镜像信息
docker volume prune删除不用个卷
然后我们运行
docker run -d --name registry -p 5000:5000 registry
查看正在运行的容器
docker ps
然后我们先重命名
docker tag game2048:latest localhost:5000/game2048
查看
docker images
然后我们上传
docker push localhost:5000/game2048
然后我们下载看看
先删除本地存在的镜像
docker rmi game2048 localhost:5000/game2048
然后直接拉取就可以了
docker pull localhost:5000/game2048
docker respect registry查看数据保存的位置
然后我们再打开一台虚拟机,配置好docker
为Docker仓库添加证书加密功能
·生成证书(域名westos.org要求在主机上有解析)
首先docker -p cert创建证书
[root@server1~]# openssl req \
> -newkey rsa:4096-nodes -sha256-keyout certs/westos.org.key \
> -×509-days 365-out certs/westos.org.crt
要去/etc/hosts 做好解析
[root@server1~]# ls certs/
westos.org.crt westos.org.key
然后我们运行,并且重新命名然后将本地的目录挂载到容器内部的certs中,
然后我们重新上传容器利用ubuntu,我们先给他重新命名
然后上传
[root@serverl ~]# docker push req.westos.org/ubuntu
然后我们创建文件拷贝文件
[root@server1 ~]# mkdir /etc/docker/certs.d/
[root@server1~]# cd /etc/docker/certs.d/
[root@serverl certs.d]#ls
[root@server1 certs.d]# mkdir reg.westos.org
[root@server1 certs.d]# cd reg.westos.org/
[root@server1 reg.westos.org]#1s
[root@server1 reg.westos.org]# cp ~/certs/westos.org.crt .
[root@server1 reg.westos.org]# mv westos.org.crt ca.crt
然后我们重新上传
然后文件在我们的opt中
然后我们去客户端拉取镜像
报错我们把认证文件拷贝到server2中
然后在去拉取即可成功
做完加密我们去做认证
·为Docker仓库添加用户认证功能
·生成用户密码文件
·#mkdif auth
·#docker run --rm --entrypoint htpasswd\
registry -Bbn admin westos>auth/htpasswd
·#cat auth/htpasswd
admin:$2y$05$/Kx8NTcidQK5 WOBOsR176ewFMeBYKj81A4gZmvgFJQKkqtPQql8oa
我们也可以再追加一个用户
docker run --rm --entrypoint htpasswd registry -Bbn admin redhat >> auth/htpasswd
然后我们启动registry的基础认证
这个时候我们重新拉取一个镜像nignx
然后
我们没有做认证
重新上传
然后我们去server2拉取
先做认证
然后直接拉取即可
本章节讲解了docker仓库的工作原理、并实践了docker私有仓库的构建,接下来我们要学习的是docker的网络模型。
docker 仓库子命令
·docker search查询镜像
·docker pull拉取镜像
·docker push上传镜像
·docker login登录仓库
·docker logout登出仓库