Docker仓库

仓库(Repository)是集中存放镜像的地方。

一个容易混淆的概念是注册服务器(Registry)。实际上注册服务器是管理仓库的具体服务器,每个服务器上可以有多个仓库,而每个仓库下面有多个镜像。从这方面来说,仓库可以被认为是一个具体的项目或目录。例如对于仓库地址 docker.sina.com.cn/centos:centos63 来说,docker.sina.com.cn是注册服务器地址,centos 是仓库名,centos63 是仓库的 tag

 

Docker Hub 官方仓库

目前 Docker 官方维护了一个公共仓库 Docker Hub,其中已经包括了超过 15,000 的镜像。大部分需求,都可以通过在 Docker Hub 中直接下载镜像来实现。

 

注册&登录

可以通过命令行执行docker login 命令来输入用户名、密码和邮箱来完成注册和登录。注册成功后,本地用户目录的 .docker/config.json中将保存用户的认证信息。

基本操作

用户无需登录即可通过docker search 命令来查找官方仓库中的镜像,并利用docker pull 命令来将它下载到本地。

根据是否是官方提供,可将镜像资源分为两类。一种是类似 centos 这样的基础镜像,被称为基础或根镜像。这些基础镜像是由 Docker 公司创建、验证、支持、提供。这样的镜像往往使用单个单词作为名字。还有一种类型,比如tianon/centos 镜像,它是由 Docker 的用户创建并维护的,往往带有用户名称前缀。可以通过前缀user_name/ 来指定使用某个用户提供的镜像,比如tianon用户。另外,在查找的时候通过 -s N 参数可以指定仅显示评价为 N 星以上的镜像。

 

创建自己的仓库----镜像仓库

拓扑:

wKiom1jrOBiji7aOAAAjyHnLD5E476.png-wh_50

说明:

docker.benet.com 这是docker registry服务器的主机名称,ip192.168.1.107;因为httpsSSL证书要用到主机名,所以要设置主机名。

dockerregistry 服务器作为处理docker镜像的最终上传和下载,用的是官方的镜像registry

nginx 1.6.x 是一个用nginx作为反向代理服务器

注:关闭selinux

1)私有仓库https支持:

修改主机名:改为docker.benet.com

wKioL1jrONqDNg6bAAAPN5EZUlQ879.png-wh_50

配置ip地址

wKiom1jrONuAsQJaAABoAfQlc8M591.png-wh_50

连接xshell

yum 安装依赖软件包

yum -y install pcre-devel zlib-devel openssl openssl-devel


Nginx编译需要PCRE,因为NginxRewrite模块和HTTP核心模块会使用到PCRE正则表达式。需要安装pcrepcre-develyum就能安装。

Zlib库提供了开发人员的压缩算法,在nginx的模块中需要使用gzip压缩。

需要安装zlibzlib-develyum就可以安装

Nginx中如果需要为服务器提供安全则需要用到OpenSSL库。

需要安装的是opensslopenssl-devel。用yum就可以安装。


生成根密钥

生成根证书

wKioL1jrONuQDcVhAABL4blem2M557.png-wh_50


nginx web服务器生成ssl密钥

#mkdir /etc/pki/CA/ssl

#cd /etc/pki/CA/ssl

wKiom1jrONzx_MnrAAA1w3T-VzQ717.png-wh_50

wKioL1jrONyTF6eXAAAUzu0yeN4148.png-wh_50

注:因为CA中心与要申请证书的nginx服务器是同一个所以就在本机上执行为nginx服务器生成ssl密钥了,否则应该是在另一台需要用到证书的服务器上生成。

查看nginx服务器的密钥


nginx生成证书签署请求

wKiom1jrON2RIwsCAABNzf95Qk8582.png-wh_50

同样会提示输入一些内容,Commone Name一定要是你要授予证书的服务器域名或主机名,challenge password不填。


私有CA根据请求来签发证书

wKioL1jrOivyAfY_AABESXiDKc0993.png-wh_50

安装,配置,运行nginx

wKiom1jrON6QWyqhAAA8EjPuO2o906.png-wh_50

wKioL1jrON6iH8YDAAAzEGzow5o627.png-wh_50


wKiom1jrOtizQiZFAAA9EdJS2Jk616.png-wh_50

配置防火墙  安装docker


wKiom1jrON7DAcJDAAAv5KsGwDc511.png-wh_50

编辑/etc/sysconfig/docker文件,加上如下一行

DOCKER_OPTS="--insecure-registry docker.benet.com --tlsverify --tlscacert /etc/pki/CA/cacert.pem"


wKioL1jrON_Ci33FAAA0AmHVmHY516.png-wh_50

把根证书复制到/etc/docker/certs.d/docker.yy.com/目录下

mkdir -p /etc/docker/certs.d/docker.benet.com

cp /etc/pki/CA/cacert.pem /etc/docker/certs.d/docker.benet.com/ca-certificates.crt


wKiom1jrON-SN-bCAAA4MSzUPn8705.png-wh_50


验证registry:

wKioL1jrON-jDamUAAAvtHvVT44883.png-wh_50

安装docker客户端

wKioL1jrOODQawWDAABGjaveqe0888.png-wh_50



wKiom1jrOOCxfn5bAABQynF98Vs983.png-wh_50

wKiom1jrOOHyR7HTAABXo8mCpss563.png-wh_50

上传镜像到本地私有仓库

docker push docker.benet.com/centos:centos6

查看私有仓库是否有对应的镜像

# curl 192.168.0.167:5000/v1/search

查看镜像的存储目录和文件(在镜像服务器)

tree /opt/data/registry/repositories


wKioL1jrOOHDfErZAABZRzm0ra8751.png-wh_50


(1) 弊端:

server端可以login到官方的Docker Hub,可以pull,push官方和私有仓库
client端只能操作搭设好的私有仓库
私有仓库不能search!

(2) 优点:

所有的build,pull,push操作只能在私有仓库的server端操作,降低企业风险!

(3) clientdocker login到官方的https://index.docker.io/v1/网站,出现x509: certificate signed by unknown authority错误时

重命名根证书mv /etc/pki/tls/certs/ca-certificates.crt /etc/pki/tls/certs/ca-certificates.crt.bak 
重启docker服务servicedocker restart!