【Docker】搭建 Docker 私有化仓库

最新推荐文章于 2024-09-05 04:51:33 发布
最新推荐文章于 2024-09-05 04:51:33 发布
阅读量1.1k 收藏 25
点赞数 18
分类专栏: docker 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013675821/article/details/140877646
版权

搭建 Docker 私有化仓库是一个非常重要的实践,它能够帮助你安全地存储和管理 Docker 镜像,而无需将其发布到公共 Docker Hub。通过使用私有化仓库,你可以:

  • 提高安全性:镜像存储在受控的环境中。
  • 提升效率:在公司网络内传输镜像,速度更快。
  • 实现自动化:配合 CI/CD 系统实现自动镜像管理。

本文将详细介绍如何在不同环境下搭建 Docker 私有化仓库,并提供配置和优化建议。

一、Docker 私有化仓库的基本原理

Docker 私有化仓库(也称为 Docker Registry)是一种允许用户存储和分发 Docker 镜像的软件应用。Docker 官方提供了一个开源的 Docker Registry 镜像,可以在本地或服务器上轻松运行。

Registry 与 Repository

  • Registry:是存储和管理 Docker 镜像的服务。
  • Repository:是 Registry 中具体的一个镜像集合,比如 nginx

镜像标签

  • Tag:是一个指向镜像的标签,如 nginx:latest

二、搭建 Docker 私有化仓库

方法一:使用 Docker 官方 Registry 镜像

Docker 官方提供了一个开源的 Docker Registry 镜像,可以直接使用。

1. 拉取并运行官方 Registry 镜像

首先,拉取官方 Registry 镜像并运行:

docker pull registry:2

运行私有化仓库:

docker run -d -p 5000:5000 --name my-registry registry:2
  • -d:后台运行容器。
  • -p 5000:5000:将主机的 5000 端口映射到容器的 5000 端口。
  • --name my-registry:为容器命名为 my-registry
2. 推送镜像到私有化仓库

将本地镜像推送到私有化仓库:

  1. 给镜像打标签:

    docker tag <IMAGE_ID> localhost:5000/my-image:latest

    例如:

    docker tag ubuntu:latest localhost:5000/ubuntu:latest

  2. 推送镜像到私有仓库:

    docker push localhost:5000/ubuntu:latest
3. 从私有化仓库拉取镜像

在其他 Docker 主机上,从私有化仓库拉取镜像:

docker pull localhost:5000/ubuntu:latest

注意:在其他机器上访问私有仓库时,需要将 localhost 替换为私有仓库所在机器的 IP 地址或域名。

4. 验证仓库中的镜像

使用 curl 验证仓库中存储的镜像:

curl http://localhost:5000/v2/_catalog

返回结果:

{
  "repositories": [
    "ubuntu"
  ]
}
5. 使用 docker-compose 启动私有仓库

你可以使用 docker-compose 来简化启动过程:

version: '3'

services:
  registry:
    image: registry:2
    ports:
      - "5000:5000"
    volumes:
      - ./data:/var/lib/registry

运行 docker-compose

docker-compose up -d

方法二:使用 Harbor 搭建企业级私有仓库

Harbor 是一个开源的企业级 Docker Registry,提供更丰富的功能,如用户管理、访问控制、镜像复制等。

1. 安装 Docker 和 Docker Compose

确保你的系统上已经安装了 Docker 和 Docker Compose。

2. 下载 Harbor 安装包

访问 Harbor 官方下载页面 下载最新版本。

wget https://github.com/goharbor/harbor/releases/download/v2.9.0/harbor-online-installer-v2.9.0.tgz

解压安装包:

tar xzvf harbor-online-installer-v2.9.0.tgz
cd harbor
3. 配置 Harbor

harbor 目录下,有一个 harbor.yml 配置文件。根据需要进行配置:

hostname: reg.mycompany.com  # 修改为你的域名或IP

https:
  port: 443
  certificate: /your/certificate/path
  private_key: /your/private/key/path

harbor_admin_password: Harbor12345  # 设置管理员密码

注意:确保使用正确的域名和证书路径。可以通过 Let’s Encrypt 获取免费 SSL 证书。

4. 安装和启动 Harbor

执行以下命令安装和启动 Harbor:

./install.sh

启动 Harbor 服务:

docker-compose up -d
5. 访问 Harbor Web UI

在浏览器中访问 https://reg.mycompany.com,使用配置的管理员账户登录,默认用户名为 admin,密码为配置文件中设置的 harbor_admin_password

6. 推送镜像到 Harbor

  1. 登录 Harbor:

    docker login reg.mycompany.com

  2. 给镜像打标签:

    docker tag <IMAGE_ID> reg.mycompany.com/myproject/my-image:latest

  3. 推送镜像到 Harbor:

    docker push reg.mycompany.com/myproject/my-image:latest
7. 从 Harbor 拉取镜像

在其他机器上,登录 Harbor 并拉取镜像:

docker login reg.mycompany.com
docker pull reg.mycompany.com/myproject/my-image:latest

方法三:使用 GitLab Container Registry

GitLab 提供了集成的 Container Registry,可以作为私有化 Docker 仓库使用。

1. 安装 GitLab

参考 GitLab 官方文档 安装 GitLab。

2. 启用 Container Registry

编辑 GitLab 配置文件 /etc/gitlab/gitlab.rb,启用 Registry:

registry_external_url 'https://registry.mycompany.com'

重新配置 GitLab:

gitlab-ctl reconfigure
3. 登录 GitLab Container Registry
docker login registry.mycompany.com
4. 推送镜像到 GitLab Container Registry

  1. 给镜像打标签:

    docker tag <IMAGE_ID> registry.mycompany.com/mygroup/myproject/my-image:latest

  2. 推送镜像:

    docker push registry.mycompany.com/mygroup/myproject/my-image:latest
5. 从 GitLab Container Registry 拉取镜像
docker pull registry.mycompany.com/mygroup/myproject/my-image:latest

三、配置私有化仓库的安全性

1. 使用 HTTPS 保护传输

在生产环境中,强烈建议为 Docker 私有化仓库配置 HTTPS,以保护数据传输安全。

生成自签名证书

使用 openssl 生成自签名证书:

mkdir -p certs
openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key -x509 -days 365 -out certs/domain.crt

生成过程会提示输入信息,如下所示:

Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Shenzhen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:localhost
Email Address []:admin@example.com

将证书挂载到容器中:

docker run -d -p 5000:5000 --name my-registry \
  -v `pwd`/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

2. 配置认证访问

Docker 私有化仓库支持使用基础认证(Basic Auth)保护访问。

创建用户和密码文件

使用 htpasswd 创建用户和密码文件:

apt-get install apache2-utils -y
htpasswd -cB htpasswd myuser
  • myuser:用户名。
  • 你会被提示输入密码并确认。
启动带认证的 Registry

将认证文件挂载到容器中:

docker run -d -p 5000

:5000 --name my-registry \
  -v `pwd`/certs:/certs \
  -v `pwd`/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

3. 配置防火墙

为确保私有化仓库的安全性,建议配置防火墙规则,仅允许特定的 IP 或子网访问仓库。

# 允许 192.168.1.0/24 子网访问
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 5000 -j ACCEPT

# 拒绝其他 IP 访问
iptables -A INPUT -p tcp --dport 5000 -j DROP

四、管理和监控私有化仓库

1. 查看仓库中的镜像

使用 curl 查看仓库中的镜像:

curl -u myuser:mypassword https://localhost:5000/v2/_catalog

2. 查看镜像标签

查看指定镜像的标签:

curl -u myuser:mypassword https://localhost:5000/v2/<repository>/tags/list

例如:

curl -u myuser:mypassword https://localhost:5000/v2/ubuntu/tags/list

3. 删除镜像

删除指定镜像的标签:

curl -X DELETE -u myuser:mypassword https://localhost:5000/v2/<repository>/manifests/<digest>

获取 digest

curl -u myuser:mypassword -I -H "Accept: application/vnd.docker.distribution.manifest.v2+json" \
https://localhost:5000/v2/<repository>/manifests/<tag>

例如:

curl -u myuser:mypassword -I -H "Accept: application/vnd.docker.distribution.manifest.v2+json" \
https://localhost:5000/v2/ubuntu/manifests/latest

4. 配置镜像清理策略

定期清理不再使用的镜像和标签,节省存储空间。可以使用 Registry GC 工具。

  1. 停止 Registry:

    docker stop my-registry

  2. 运行垃圾回收:

    docker run --rm -v /var/lib/registry:/var/lib/registry registry:2 garbage-collect /etc/docker/registry/config.yml

  3. 重启 Registry:

    docker start my-registry

5. 使用监控工具

可以使用 Prometheus 和 Grafana 监控 Registry 的性能和使用情况。

五、常见问题和解决方案

1. Docker 客户端无法连接私有仓库

  • 检查私有仓库的网络配置和防火墙规则。
  • 确保使用正确的域名或 IP 地址。
  • 如果使用自签名证书,确保客户端信任该证书。

2. 推送镜像失败

  • 检查用户权限和认证配置。
  • 检查仓库的存储空间是否已满。
  • 确保 Docker 客户端版本与 Registry 版本兼容。

3. 镜像拉取速度慢

  • 使用 CDN 或镜像加速服务。
  • 配置缓存代理,减少重复下载。

总结

通过本文的介绍,你应该已经掌握了搭建 Docker 私有化仓库的基本步骤和配置方法。无论是使用官方的 Docker Registry 镜像,还是更强大的 Harbor 或 GitLab Container Registry,私有化仓库都能为你的镜像管理带来更高的安全性和效率。

cangloe
关注
专栏目录
docker搭建私有npm仓库
qq_37312180的博客
11-29 4658
docker搭建私有npm仓库
Docker 搭建本地私有仓库
qq_44870887的博客
10-20 1071
文章目录一、搭建本地私有仓库1、首先下载registry 镜像2、在daemon.json文件中添加私有镜像仓库地址3、运行 registry 容器4、为镜像打标签5、上传到私有仓库6、列出私有仓库的所有镜像7、列出私有仓库的centos镜像有哪些tag8、先删除原有的centos的镜像,再测试私有仓库下载 一、搭建本地私有仓库 有时候使用Docker Hub这样的公共仓库可能不方便,这种情况下用户可以使用registry创建一个本地仓库供私人使用,这点跟Maven的管理类似。 使用私有仓库有许多优点: ①
Docker 私有仓库与 Harbor 部署使用
m0_59430185的博客
12-07 1197
文章目录一、部署私有仓库1. 下载 registry 镜像2. 在 daemon.json 文件中添加私有镜像仓库地址3. 运行 registry 容器4. Docker 容器的重启策略如下5. 为镜像打标签6. 上传到私有仓库7. 列出私有仓库的所有镜像8. 列出私有仓库的 centos 镜像有哪些 tag9. 删除原有 centos 镜像,测试私有仓库下载二、Harbor1. Harbor 简介2. Harbor 的特性3. Harbor 的组件①Proxy②Registry③Core services
Docker私有仓库搭建与使用
欲川
08-31 2140
文章目录1. Docker Registry2. Docker私有Registry2.1 使用docker-distribution自建Registry2.2 使用官方镜像自建Registry 1. Docker Registry 网上有很多的Registry服务器都支持第三方用户注册,而后基于用户名去做自己的仓库,但是使用互联网上的Registry有一个缺陷,那就是我们去推送和下载镜像时都不会很快,而在生产环境中很可能并行启动的容器将达到几十、上百个,而且很有可能每个服务器本地是没有镜像的,此时如果通
Docker 搭建私人仓库
最新发布
2401_86394304的博客
09-05 1061
官方私人镜像仓库搭建很简单(就是需要有魔法,否则就异步到第二种方法吧),只需要 login、pull、tag、push 几种命令就完事了。而本地私人镜像仓库则比较麻烦一点而且只能存储在本地不能公开。下面我们就来简单的介绍一下怎么搭建自己的私人仓库吧!
docker】一文讲完docker搭建私有仓库
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
01-05 4263
搭建Docker私有仓库主要有以下几种方式:使用Docker官方提供的Registry镜像:Docker官方提供了一个用于构建私有镜像仓库的Registry镜像,只需将镜像下载并运行容器,然后暴露5000端口即可使用。可以通过修改Docker的配置文件daemon.json,在其中添加私有镜像仓库地址来实现。
搭建Docker私有仓库
zn2021220822的博客
07-04 4563
Docker registry是存储Docker image的仓库,运行push、pull、 search 时,是通过Docker daemon与docker registry通信。Docker Hub(Docker埠,内有大量存储库或叫仓库)是Docker提供的一项服务,用于查找和与您的团队共享容器镜像。它是世界上最大的容器镜像存储库,拥有一系列内容源,包括容器社区开发人员、开放源代码项目和独立软件供应商(ISV)在容器中构建和分发代码。
Docker私有仓库搭建
qq_48810547的博客
01-29 1590
浏览器访问:http://192.168.66.66登录 Harbor WEB UI 界面,默认的管理员用户名和密码是 admin/Harbor12345上传成功。
Docker--Harbor私有仓库搭建
夏颜的博客
07-23 1309
Harbor是VMware公司开源的企业级DockerRegistry项目,其目标是帮助用户迅速搭建一个企业级的DockerRegistry服务。Harbor以Docker公司开源的Registry为基础,提供了图形管理UI、基于角色的访问控制(RoleBasedAccessControl)、AD/LDAI们成以心宙计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。......
docker私有仓库搭建
08-20
docker有公共仓库,相当于在公共仓库中存在着大量的镜像资源,但是如果本地要使用这些镜像,需要手动pull到本地,如果下次再用还需要pull,并且docker的公共仓库是在国外的,这样频繁的pull一个镜像很耗时,而且网路受限,经常容易断掉,很麻烦。所以有两个应对策略,第一个就是使用daocloud加速器,第二个就是本地搭建私有仓库,当从公共仓库中pull下来的镜像,存到本地私有仓库,下次还需要使用直接从本地下载,那速度就快很多了。
docker搭建私有仓库
qq_31155349的博客
10-12 1324
docker官方提供了Registry镜像,可以用来搭建本地私有镜像仓库。本文示例私有镜像仓库搭建,以及实现登录验证功能。 目录 一、启动 Docker Registry 二、上传镜像到本地私有仓库 三、配置私有仓库认证 3.1 确定宿主机IP地址 3.2 生成自签名证书 3.3 生成用户名和密码 3.4 启动Docker Registry本地镜像仓库服务 3.5 配置Docker Registry访问接口 3.6 通知docker使用私有仓库 3.7 测试推送镜像 3.7.1 镜
搭建Harbor:企业级Docker私有镜像仓库实战
"详解基于Harbor搭建Docker私有镜像仓库" 在云环境中,管理和分发Docker镜像成为了一项重要任务。Harbor作为VMware公司开源的企业级Docker Registry服务器,为用户提供了一个安全、高效的方式来存储和分发Docker...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值