docker之搭建私有仓库registry7

置顶 已于 2024-01-15 11:42:06 修改
阅读量935 收藏 1
点赞数 1
文章标签: docker 容器 运维
于 2022-02-06 14:05:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/westos_yanzheng/article/details/122783035
版权

搭建私有仓库的意义

在生产环境中,你的服务器可能不能上网
在内网集群里面,布置容器大量应用的时候,成千上万的,体量很大,分布密度比传统的虚拟化大很多,分布在不同节点上面跑,从远端仓库拉取很消耗网络资源和时间,所以必须在内网里面布置一个私有仓库,让其部署效率变快。
官方文档网址:https://docs.docker.com/registry/deploying/
在这里插入图片描述

搭建私有仓库

在宿主机上面拉取registry镜像

[root@docker1 docker]# docker pull registry

重要信息

[root@docker1 docker]# docker history registry
<missing>           2 months ago        /bin/sh -c #(nop)  EXPOSE 5000                  0B                  
<missing>           2 months ago        /bin/sh -c #(nop)  VOLUME [/var/lib/registry]   0B

–restart=always开机自启动

[root@docker1 ~]#  docker run -d -p 5000:5000 --restart=always --name registry registry

向仓库上传自己的镜像,要先将镜像改名成仓库地址和端口加镜像名称,后面不加版本便为最新版

[root@docker1 ~]# docker tag webserver:v4 localhost:5000/webserver

上传

[root@docker1 ~]# docker push localhost:5000/webserver

删掉本地的镜像

[root@docker1 ~]# docker images 
REPOSITORY                        TAG                 IMAGE ID            CREATED             SIZE
webserver                         v4                  0fce27d5ac56        47 hours ago        31.7MB
localhost:5000/webserver          latest              0fce27d5ac56        47 hours ago        31.7MB

[root@docker1 ~]# docker rmi webserver:v4 
Untagged: webserver:v4
[root@docker1 ~]# docker rmi localhost:5000/webserver:latest 
Untagged: localhost:5000/webserver:latest
Untagged: localhost:5000/webserver@sha256:e1fcc49060c0bfcabaf933ce8ca297fc4df63b80113f5098d931f9fac65464fe
Deleted: sha256:0fce27d5ac5666a7fef70f3ad01b64177509acf11495c42ff85ef392b68e979f
Deleted: sha256:0bd5d2b3dad5cbee261f44fbe012ed0d0809990d75503463fb5d4ec17a582149
Deleted: sha256:5ee35935b3b95e4a02f7dde3541e235eb6d67421bd52157d29e13b2055dff9c2
Deleted: sha256:502cc226f58a8c7b0adf7a06b92a2d5156d08d7af7b21bc6e4d6a69

从仓库拉取镜像

[root@docker1 ~]# docker pull localhost:5000/webserver 
[root@docker1 ~]# docker images
REPOSITORY                        TAG                 IMAGE ID            CREATED             SIZE
localhost:5000/webserver          latest              0fce27d5ac56        47 hours ago        31.7MB

搭建私有仓库的功能

实验环境的搭建:

开启另一个虚拟机docker2,安装上docker就行,并且启动

[root@docker2 yum.repos.d]# yum install -y docker-ce
[root@docker2 yum.repos.d]# systemctl enable docker

没有ip,所以修改内核参数,docker1修改过,把内核文件复制给docker2就可以了

[root@docker2 yum.repos.d]# docker info 
WARNING: bridge-nf-call-iptables is disabled
WARNING: bridge-nf-call-ip6tables is disabled

[root@docker1 sysctl.d]# scp docker.conf docker2:/etc/sysctl.d/
[root@docker2 yum.repos.d]# sysctl --system

无认证加密功能认证仓库的搭建

docker2 拉取docker1仓库的镜像,默认仓库是不支持非加密访问远端仓库。

[root@docker2 sysctl.d]# docker info 
Insecure Registries:
  127.0.0.0/8

[root@docker2 sysctl.d]# docker pull 172.25.254.1:5000/webserver
Using default tag: latest
Error response from daemon: Get https://172.25.254.1:5000/v2/: http: server gave HTTP response to HTTPS client

官方文档上面写的,使用一个非加密的仓库
在这里插入图片描述
在这里插入图片描述

[root@docker2 docker]# vim daemon.json
[root@docker2 docker]# cat daemon.json 
{
  "insecure-registries" : ["172.25.254.1:5000"]
}
[root@docker2 docker]# systemctl daemon-reload 
[root@docker2 docker]# systemctl restart docker

支持非安全的仓库,本地的localhost和docker1的5000端口

[root@docker2 docker]# docker info 
 Insecure Registries:
  172.25.254.1:5000
  127.0.0.0/8

拉取成功

[root@docker2 docker]# docker pull 172.25.254.1:5000/webserver
[root@docker2 docker]# docker images
REPOSITORY                    TAG                 IMAGE ID            CREATED             SIZE
172.25.254.1:5000/webserver   latest              0fce27d5ac56        47 hours ago        31.7MB

搭建认证加密功能的仓库(生成证书并启动registry)

实验环境:

[root@docker1 sysctl.d]# docker ps -a
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                    NAMES
bcb7e7682a99        registry            "/entrypoint.sh /etc…"   53 minutes ago      Up 53 minutes       0.0.0.0:5000->5000/tcp   registry
[root@docker1 sysctl.d]# docker rm -f registry 
registry

容器删掉了,但是卷存储了容器的操作,对存储没有影响

[root@docker1 sysctl.d]# docker volume ls
DRIVER              VOLUME NAME
local               70f0dede14b7c1978edb38eb49534509f1fcc205e750bb365254b75677b76005
local               a780ebed1de6be544711f18a254682fc4f018ce2f7058b0a23f6f16a3eb73171
local               ab43717053b89c0a594289ab002bbc48ab9144075c88e5a230b78cb24250b305
local               b76dc83d8ac88ed49f725bd014ec89e97c4f7b3cc2b75a803e9c66af1b5c101e
local               f266d47b2c99eadd824c8d31ce921b03db558b0817b6bb20e36858e5000f8363

删掉本地没有被容器使用的卷

[root@docker1 sysctl.d]# docker volume prune 

[root@docker1 sysctl.d]# docker volume ls
DRIVER              VOLUME NAME

启动认证功能,首先开启其加密功能,保证认证的网络通信是加密的,不然alice截获,便成明文了,没有意义了。
读官方文档
在这里插入图片描述要使用证书,所以我的证书是自签名的证书,在https://docs.docker.com/registry/insecure/有相关文档
在生产环境中的证书是从CA申请过来的,所以测试我用自签名证书
在这里插入图片描述创建存放证书的目录,在linux中所以证书是通过openssl来运行的

[root@docker1 ~]# mkdir -p certs
[root@docker1 ~]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/yan.org.key -x509 -days 365 -out certs/yan.org.crt

Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:shanxi
Locality Name (eg, city) [Default City]:xi'an
Organization Name (eg, company) [Default Company Ltd]:yan
Organizational Unit Name (eg, section) []:linux
Common Name (eg, your name or your server's hostname) []:reg.yan.org  仓库的域名      
Email Address []:

证书创建成功

[root@docker1 ~]# ls certs/
yan.org.crt  yan.org.key

在这里插入图片描述
-v手动挂接,将生成的/certs挂入容器的/certs
容器启动443端口加密
在这里插入图片描述由于官方的,没有加入卷,到时候删掉仓库容器后,还得重新上传镜像,麻烦,所以我多加了一条指令
在宿主机/opt/registry路径(自动帮忙生成,如果有直接挂载)挂载到/var/lib/registry这个目录上面(在容器内是仓库存放镜像的位置)

-v /opt/registry:/var/lib/registry 

[root@docker1 ~]# docker run -d   --restart=always   --name registry   -v "$(pwd)"/certs:/certs -v /opt/registry:/var/lib/registry  -e REGISTRY_HTTP_ADDR=0.0.0.0:443   -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/yan.org.crt   -e REGISTRY_HTTP_TLS_KEY=/certs/yan.org.key  -p 443:443   registry

后面所有镜像保存在该位置,可以在宿主机里面做持久化

[root@docker1 ~]# ll -d /opt/registry/
drwxr-xr-x 2 root root 6 Feb  6 21:10 /opt/registry/

[root@docker1 ~]# docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                            NAMES
da3da9151ec0        registry            "/entrypoint.sh /etc…"   2 minutes ago       Up About a minute   0.0.0.0:443->443/tcp, 5000/tcp   registry
[root@docker1 ~]# docker port registry 
443/tcp -> 0.0.0.0:443

远程连接:
在docker2加入解析docker1的仓库

[root@docker2 docker]# sudo vim /etc/hosts

在这里插入图片描述
远程上传:
默认端口是443可以不用加

[root@docker2 docker]# docker tag nginx:latest reg.yan.org/nginx
[root@docker2 docker]# docker push reg.yan.org/nginx
The push refers to repository [reg.yan.org/nginx]
Get https://reg.yan.org/v2/: x509: certificate signed by unknown authority

缺少证书,需要添加证书,让docker引擎识别到证书
在这里插入图片描述
所有客户端都需要证书,一旦启动加密功能以后
后面端口不用加,默认是443,加个:443也可以
只要访问reg.yan.org这个仓库,它会自动去这个路经找证书,证书是docker1创建的

[root@docker2 docker]# mkdir /etc/docker/certs.d
[root@docker2 docker]# cd certs.d/
[root@docker2 certs.d]# mkdir reg.yan.org
/etc/docker/certs.d/reg.yan.org

[root@docker1 ~]# cd certs/
[root@docker1 certs]# ls
yan.org.crt  yan.org.key
[root@docker1 certs]# scp yan.org.crt docker2:/etc/docker/certs.d/reg.yan.org/ca.crt

[root@docker2 reg.yan.org]# ls
ca.crt

有了证书,远程上传成功

[root@docker2 reg.yan.org]# docker push reg.yan.org/nginx

上传的镜像会保存到/opt/registry持久化了,实际是上传到容器内/var/lib/registry,但是你实际是把宿主机的目录挂在/var/lib/registry,所以会持久化

搭建registry的认证功能

在官方文档https://docs.docker.com/registry/deploying/
官方是通过运行httpd镜像容器,然后使用htpasswd加密生成用户加密文件,所以我们安装了http-tools,不需要运行容器来加密,麻烦。
在这里插入图片描述在这里插入图片描述
调用了htpasswd工具生成用户名密码的认证文件,这是http中的工具

[root@docker1 ~]# mkdir auth
[root@docker1 ~]# cd auth/
[root@docker1 auth]# yum install -y httpd-tools
[root@docker1 auth]# htpasswd --help
-B -b -n 都有
 -B  Force bcrypt encryption of the password (very secure).
 -n  Don't update file; display results on stdout.
 -b  Use the password from the command line rather than prompting for it.
 -C  Set the computing time used for the bcrypt algorithm
 (higher is more secure but slower, default: 5, valid: 4 to 31).

第一次要加-c,第二次再使用就第一次的就被覆盖掉了

[root@docker1 auth]# cat htpasswd 
ywq:$2y$05$fKzYdI2UoQqofccJO0F.VutAC4Akv7z9LdPoH7G2I134KxLD1l4fy
zrx:$2y$05$c77YlrPXP1oz6M6LRwydyOrywlVnvT28GGQWGwniscZe58F21mF6C

在这里插入图片描述

[root@docker1 ~]# docker rm -f registry

将认证目录挂载到容器内的/auth,告诉要启动htpasswd认证方式,读取该认证文件,修改仓库参数
–restart=always随着docker引擎的启动,该registry容器启动

[root@docker1 ~]# docker run -d   --restart=always   --name registry   -v "$(pwd)"/certs:/certs -v /opt/registry:/var/lib/registry   -v "$(pwd)"/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm"  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd -e REGISTRY_HTTP_ADDR=0.0.0.0:443   -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/yan.org.crt   -e REGISTRY_HTTP_TLS_KEY=/certs/yan.org.key  -p 443:443   registry
832e2bdb222d16ac3c25521d1a8420d48c4e4d6ce71028217f47a142d7709d01

远程上传拉取(缺少认证):

[root@docker2 reg.yan.org]# docker push reg.yan.org/nginx 
no basic auth credentials
[root@docker2 reg.yan.org]# docker pull reg.yan.org/nginx 
Using default tag: latest
Error response from daemon: Get https://reg.yan.org/v2/nginx/manifests/latest: no basic auth credentials

[root@docker2 reg.yan.org]# docker login reg.yan.org
Username: ywq
Password: 
Login Succeeded

成功后会存储到这个文件

[root@docker2 ~]# cd .docker/
[root@docker2 .docker]# ls
config.json
[root@docker2 .docker]# cat config.json 
{
	"auths": {
		"reg.yan.org": {
			"auth": "eXdxOndlc3Rvcw=="
		}
	},
	"HttpHeaders": {
		"User-Agent": "Docker-Client/19.03.15 (linux)"
	}
}

[root@docker2 .docker]# docker logout reg.yan.org
Removing login credentials for reg.yan.org
[root@docker2 .docker]# cat config.json 
{
	"auths": {},
	"HttpHeaders": {
		"User-Agent": "Docker-Client/19.03.15 (linux)"
	}
}

所以只要就登陆一次就记录了,不需要重复登陆,除非你注销了。

认证后,远程上传成功

[root@docker2 .docker]# docker push reg.yan.org/nginx

END

redhat_yan
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
docker私有仓库搭建
08-20
docker有公共仓库,相当于在公共仓库中存在着大量的镜像资源,但是如果本地要使用这些镜像,需要手动pull到本地,如果下次再用还需要pull,并且docker的公共仓库是在国外的,这样频繁的pull一个镜像很耗时,而且网路受限,经常容易断掉,很麻烦。所以有两个应对策略,第一个就是使用daocloud加速器,第二个就是本地搭建私有仓库,当从公共仓库中pull下来的镜像,存到本地私有仓库,下次还需要使用直接从本地下载,那速度就快很多了。
docker私有仓库registry
wenxiaoba的博客
11-02 578
docker私有仓库搭建使用
docker仓库登录及配置insecure-registries的方法
最新发布
Ruby_One的博客
03-20 2131
更新时间:2022年07月22日 11:21:29 作者:Alex·G这篇文章主要介绍了docker仓库登录配置insecure-registries的方法,docker客户端如果配置中添加了insecure-registary配置,就不需要在docker 客户端配置上对应证书,如果不配置要在/etc/docker/certs.d/目录中添加对应证书才能正常登录,感兴趣的朋友跟随小编一起看看吧−。
搭建Docker私有仓库
zn2021220822的博客
07-04 3801
Docker registry是存储Docker image的仓库,运行push、pull、 search 时,是通过Docker daemon与docker registry通信。Docker Hub(Docker埠,内有大量存储库或叫仓库)是Docker提供的一项服务,用于查找和与您的团队共享容器镜像。它是世界上最大的容器镜像存储库,拥有一系列内容源,包括容器社区开发人员、开放源代码项目和独立软件供应商(ISV)在容器中构建和分发代码。
基于docker搭建Registry私有仓库
weixin_44424929的博客
02-28 489
1、安装registry # 运行registry容器 docker run -d -p 5000:5000 --name registry --restart=always -v /opt/registry:/var/lib/registry registry registry服务默认会将上传的镜像保存在容器的/var/lib/registry,我们将主机的/opt/registry目录挂载到该目录,即可实现将镜像保存到主机的/opt/registry目录下 2、访问 http://服务器ip:
Docker私有仓库搭建
weixin_44811606的博客
07-11 408
Registry 服务默认会将上传的镜像保存在容器的 /var/lib/registry,我们将主机的 /opt/registry 目录挂载到该目录,即可实现将镜像保存到主机的 /opt/registry 目录了。的东西,搭建好之后,我们可以将镜像提交到私有仓库中。这样我们既能使用 Docker 来运行我们的项目镜像,也避免了商业项目暴露出去的风险。如果拉取过程中报错或者 Registry 交互默认使用的是 HTTPS,但是搭建私有镜像默认使用的是 HTTP 服务。也就是在本地(局域网)搭建的一个类似。
详解Ubuntu Docker Registry 搭建私有仓库
09-30
主要介绍了详解Ubuntu Docker Registry 搭建私有仓库,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker搭建私有镜像仓库的方法
01-10
和Mavan的管理一样,Dockers不仅提供了一个中央仓库,同时也允许我们使用registry搭建本地私有仓库。 使用私有仓库有许多优点: 节省网络带宽,针对于每个镜像不用每个人都去中央仓库上面去下载,只需要从私有仓库...
Docker搭建私有仓库(registry与Harbor)的实现
09-29
主要介绍了Docker搭建私有仓库(registry与Harbor)的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Docker Registry搭建私有镜像仓库的实现方法
09-29
主要介绍了Docker Registry搭建私有镜像仓库的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Docker 搭建私有仓库(registry、harbor)
09-30
主要介绍了Docker 搭建私有仓库(registry、harbor),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker搭建私有仓库
embelfe_segge的博客
08-14 627
docker默认是传输方式使用https协议,我们手头上没有sttps证书,所以此处不配置https证书,直接设置可信源,使我们内网可以通过http方式访问。拉取Registry私有镜像仓库,在我们本地搭建一个内网的仓库,避免将一些私密项目暴露在公网,引发不必要的风险。现在在本机测试能否下载刚刚上次的镜像,如果此处是在另一台客户机下载,注意要配置http方式访问。下图返回的json数据代表暂无任何仓库,因为我们还没有上传任何镜像。没有daemon.json文件则新建....
搭建私有仓库Registrydocker
我有两颗星星
08-13 328
registry搭建 Docker官方提供了一个大家私有仓库的镜像registry,只需把镜像下载下来,运行容器并暴露5000端口,就可以使用了。 1.先拉取registry镜像 docker pull registry:2 2.创建容器并暴露端口 docker run -d -v /opt/registry:/var/lib/registry -p 5000:5000 --name myregistry registry:2 Registry服务默认会将上传的镜像保存在容器的/v..
docker私有仓库搭建registry
yogima的博客
12-15 1805
文章目录一、pull registry镜像二、启动registry容器三、配置参数(两种方式二选一)方式一方式二四、重启docker服务五、尝试推送镜像六、Docker Registry WebUI 工具 一、pull registry镜像 docker pull registry 二、启动registry容器 docker run -d -p 5000:5000 --name docker-registry --restart=always registry docker run命令:创建一个新的容器
docker 搭建registry私服
chenguohong88的博客
11-01 243
1. 引言 docker官方提供了Docker Hub网站来作为一个公开的集中仓库,用来管理镜像。然而,本地访问Docker Hub速度往往很慢。而且,Docker Hub只能有一个私有镜像,其他镜像都是公开的,可以被其他人下载使用,很多时候企业需要的是一个私有仓库供内部使用。 docker官方提供了开源的registry项目,用来搭建私有仓库
Docker私有仓库Registry实战
weixin_30916125的博客
03-07 126
参考: https://www.cnblogs.com/soar1688/p/6828329.html 1.关于Registry 官方的Dockerhub是一个用于管理公共镜像的好地方,我们可以在上面找到我们想要的镜像,也可以把我们自己的镜像推送上去。但是,有时候,我们的使用场景需要我们拥有一个私有的镜像仓库用于管理我们自己的镜像。这个可以通过开源软件Registry来达...
利用registry搭建局域网docker私有仓库
三月泡生长在阳春三月天,把鲜红的美味奉献给世人
12-09 474
一、服务器端操作 1、下载镜像registry docker pull registry 2、查看镜像 docker images 3、运行registry容器 docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest...
第九篇:搭建docker私有仓库
kjkdd的博客
01-13 318
说明: 在工作中我们往往时没有外网环境的, 所以我们就需要在内网搭建一个docker的镜像仓库供我们上传下载使用使用, 一般工作中搭建仓库是harbor,这里我们搭建的是一个轻量级的镜像仓库registry搭建方法也是使用docker去启动registry
企业项目实战docker篇(三)docker私有镜像仓库搭建
qq_42003848的博客
07-20 273
docker私有镜像仓库搭建一.私有镜像仓库意义二.私有仓库搭建 一.私有镜像仓库意义 Docker Hub作为Docker默认官方公共镜像,如果想要自己搭建私有镜像残酷,官方也提供Registry镜像,使得我们搭建私有仓库变得非常简单。 所谓私有仓库,也就是在本地(局域网)搭建的一个类似公共仓库的东西,搭建好之后,我们可以将镜像提交到私有仓库中。这样我们既能使用 Docker 来运行我们的项目镜像,也避免了商业项目暴露出去的风险。 二.私有仓库搭建 载入镜像 docker load -i registr
docker搭建私有镜像仓库
08-12
搭建私有镜像仓库,可以使用Docker官方提供的Registry镜像。以下是搭建私有镜像仓库的步骤: 1. 安装Docker:如果你还没有安装Docker,请先安装Docker。 2. 拉取Registry镜像:使用以下命令拉取Registry镜像。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值