部署docker registry

最新推荐文章于 2024-05-05 17:49:19 发布
最新推荐文章于 2024-05-05 17:49:19 发布
阅读量2.2k 收藏 3
点赞数 1
分类专栏: conatainer 文章标签: docker

本文绝大部分篇幅是翻译了docker registry的官方文档1,如有问题,请各位不吝指正。好,废话不多说,请见正文。

在你部署一个registry之前,你需要首先在你的主机上安装一个Docker. Registry 是一个跑在Docker里面的registry镜像的实例。

本次主题提供了部署和配置registry的基础信息。如需详尽的配置信息,请查看配置指南

如果你有一个air-gapped 数据中心,请查阅air-gapped registry条件

部署本地registry

使用下面的命令启动一个registry container:

$ docker run -d -p 5000:5000 --restart=always --name registry registry:2

之后,该registry 就可以正常工作了。

警告:这个案例只是用来展示registry配置的,只适用于测试。一个产品级的registry必须受TLS保护,而且必须启用权限控制。继续阅读,参照配置指南去部署一个产品级的registry

从Docker Hub上下载一个镜像到你的registry

你可以从Docker Hub 上下载一个镜像,然后推送到你的registry中。以下展示了从Docker Hub上下载ubuntu:16:04 镜像,然后重新打上my-ubuntu 的标签,然后将他推送到本地registry中。最终,删除本地的ubuntu:16:04my-ubuntu 镜像,然后从本地的registry 中下载ubuntu:16:04 镜像。

  1. Docker Hub 中下载ubuntu:16:04 镜像:
$ docker pull ubuntu:16.04
  1. ubuntu:16.04 重新打上localhost:5000/my-ubuntu 标签。这条命令为已经存在的镜像创建了一个额外的标签。如果标签的前部是一本IP地址和端口号,当推送镜像时,Docker 会解析这为一个registry的地址。
$ docker tag ubuntu:16.04 localhost:5000/my-ubuntu
  1. 推送镜像到跑在本地5000端口的registry
$ docker push localhost:5000/my-ubuntu
  1. 删除本地缓存的ubuntu:16:04localhost:5000/my-ubuntu 镜像,测试从你的registry中拉取镜像。拉取镜像并不会从你的registry中移除镜像。
$ docker image remove ubuntu:16.04
$ docker image remove localhost:5000/my-ubuntu
  1. 从你的registry中拉取localhost:5000/my-ubuntu 镜像
$ docker pull localhost:5000/my-ubuntu

停止运行你的registry

使用和停止其他容器相同的docker container stop命令来停止你的registry

$ docker container stop registry

使用docker container rm 命令来移除此container

$ docker container stop registry && docker container rm -v registry

基础配置

你可以使用docker run命令来传输额外的或者修改过的配置项到container中。
以下章节提供基础的配置registry的指导。如需详细信息,请查阅registry 配置指南

自动启动registry

如果你想将registry 成为你常驻基础设施的一部分,你应该设置registryDocker 重启或者存在而重启。以下例子展示了通过设置 --restart always 配置项定义了registry的重启策略。

$ docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  registry:2

自定义启动端口

如果你已经使用了5000端口,或者你想运行多个本地registry,用来分隔关注的领域,你可以自定义registry的端口。下面例子中定义了一个名字为registry-test,跑在5001端口上的registry。请记住, -p 的第一个部分是主机的关口,第二个部分是容器的端口。容器中,registry默认监听5000端口。

$ docker run -d \
  -p 5001:5000 \
  --name registry-test \
  registry:2

如果你想要改变容器中registry默认监听的端口,你可以定义一个环境变量REGISTRY_HTTP_ADDR 来改变默认端口设置。下面的命令可以是registry监听容器中的5001端口:

$ docker run -d \
  -e REGISTRY_HTTP_ADDR=0.0.0.0:5001 \
  -p 5001:5001 \
  --name registry-test \
  registry:2

自定义存储

自定义存储位置

默认情况下,你的registry数据会以docker volume的形式保存在主机的文件系统。如果你希望改变你的registry内容的存储位置,譬如你已经有块挂载到指定目录的SSD或者SAN,你可以决定只用一个挂载点来代替。一个挂载点是强依赖Docker 主机的文件系统的,但是在很多情境下很好用。下面的例子展示了绑定本地的/mnt/registry 到registry容器中的 /var/lib/registry/.

$ docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /mnt/registry:/var/lib/registry \
  registry:2

自定义存储后端

默认情况下,无论你使用挂载点或者volume形式,registry 都会将数据保存在本地的文件系统中。你可以使用存储驱动存储registry的数据到Amazon S3 bucket, Google Cloud Platform, 或者其他存储后端。如需获取更多信息,请访问存储配置选项

运行一个外部可访问的registry

只运行一个本地可访问的registry 会有使用限制。为了使你的 registry可以对外访问,你可以首先配置TLS 安全访问。
本例是将启动容器作为一种服务来提供出去。

获取证书

下面的例子假设:

  • 你的registry地址是https://myregistry.domain.com/.
  • 你的DNS,路由,防火墙设置可以通过主机的443端口你的registry
  • 你已经从CA哪里获取了一个认证

如果你想使用中级证书代替,详情查阅下文中级证书。

新建一个证书目录。

$ mkdir -p certs

拷贝.crt.key 文件到新建的certs 目录中。接下来的步骤假设认证文件domain.crtdomain.key.

停止当前正在跑的registry。

$ docker container stop registry

重启registry,使其使用TLS 证书。下面的命令挂载本机certs/ 目录到容器中的/certs/目录, 而且设置环境变量告诉容器在那里发现domain.crtdomain.key 问加你。registry跑在443 端口,为默认的HTTPS 端口。

$ docker run -d \
  --restart=always \
  --name registry \
  -v "$(pwd)"/certs:/certs \
  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  -p 443:443 \
  registry:2

Docker 客户端现在可以使用registry的外部地址,推送和下载镜像到你的registry中。下面的命令可以证明:

$ docker pull ubuntu:16.04
$ docker tag ubuntu:16.04 myregistrydomain.com/my-ubuntu
$ docker push myregistrydomain.com/my-ubuntu
$ docker pull myregistrydomain.com/my-ubuntu
使用中级证书

一个证书发行者可以提供给你中级证书。这种情况下,你可以讲你的证书和中级证书串成一个bundle(不知道怎么翻译这个词~~)。你可以使用如下命令:

$ cat domain.crt intermediate-certificates.pem > certs/domain.crt

现在你可以使用这个证书bundle,就如上一个例子当中那样。

支持 Let’s Encrypt

registry支持使用 Let’sEncrypt 获得浏览器信任的证书。详细信息请查阅 Let’s Encrypt 和 registry 配置的相关章节。

使用不安全的registry(仅供测试使用)

使用自签证书也是有可能的,或者以一种不被信任的方式使用registry。除非你已经对你的自签证书做好验证,否则这只供测试使用。详情查看使用不安全的registry

docker-compose

总结以上,可以使用docker-compose 配置文件启动一个安全的docker registry。

version: '3'
services:
  registry:
    image: registry:2
    ports:
      - 443:443
    environment:
      REGISTRY_AUTH: htpasswd
      REGISTRY_AUTH_HTPASSWD_REALM: 'Registry Realm'
      REGISTRY_AUTH_HTPASSWD_PATH: /auth/htpasswd
      REGISTRY_DELETED_ENABLED: 'true'
      REGISTRY_HTTP_ADDR: 0.0.0.0:443
      REGISTRY_HTTP_TLS_CERTIFICATE: /certs/registry.crt
      REGISTRY_HTTP_TLS_KEY: /certs/registry.key
    volumes:
      - /docker/registry:/var/lib/registry
      - ./certs:/certs
      - ./auth:/auth

启动命令:

$ docker-compose up -d

操作要点

  • 生成ca证书,启动tls连接
openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout certs/domain.key -out certs/domain.crt
  • unknown authority 解决
    可以采用将证书内容添加操作系统的CA信任库中/etc/pki/tls/certs/ca-bundle.crt或者将CA证书放到/etc/docker/certs.d/<registry>/目录中
  • 限制访问,可以使用双向SSL方法或者密码的方法
    • 采用密码方式
    docker run --rm --entrypoint htpasswd registry:2 -Bbn root passw0rd  > auth/htpasswd
    • 采用双向SSL 方式
      太复杂,暂时不介绍

参考

附录

  1. https://docs.docker.com/registry/deploying/ ↩︎

zsy_1991
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker registryregistry-web端管理部署.docx
02-28
讲述了如何部署registryregistry-web的部署,以及registry-web如何管理registry私库的镜像上传、下载的授权、镜像删除、用户管理
部署Docker私有仓库Registry
:Struggle.
05-27 265
博文目录 一、部署Registry私有仓库 1、配置registry私有仓库 2、上传镜像到registry私有仓库 二、配置Docker客户端访问私有仓库 三、配置registry加载身份验证 随着docker使用的镜像越来越多,就需要有一个保存镜像的地方,这就是仓库。目前常用的两种仓库:公共仓库和私有仓库。最方便的就是使用公共仓库上传和下载,下载公共仓库的镜像是不需要注册的,但是上传时,是...
docker私有仓库registry部署
热门推荐
qq_28686911的博客
09-10 6万+
部署docker registry 1、下载镜像 docker pull registry 2、启动容器 docker run -d -p 5000:5000 \ -v /var/lib/registry:/var/lib/registry \ --restart=always \ --name registry registry:latest 3、浏览器查看 http://ip_add:5000/v2/ 测试镜像上传 1、docker tag一个测试镜像,格式为registry_url:port/
docker registry私库与registry-web管理端部署.docx
02-28
讲述了如何部署registryregistry-web的部署registry-web是如何管理registry私库的镜像上传、下载的授权、镜像删除、用户管理,提供用户认证的
Docker Registry部署镜像私有仓库及鉴权认证
03-13 3623
Docker Registry是基于Apache 许可证开源的,它是目前应用最广泛的镜像仓库管理程序,所有的源码在github上开源,如果感兴趣的话可以clone相关的代码进行深层次的学习。Docker Registry是一个中央存储和分发Docker镜像的服务器,其支持多种鉴权和认证机制,包括基本认证、Bearer Token认证、AWS认证和LDAP认证等。以上是常用的几种Docker Registry的鉴权和认证机制,不同的认证机制在配置文件中的参数有所不同。参数指定了要上传和下载的镜像名称。
DockerRegistry部署与使用
qq_43911915的博客
04-06 1万+
DockerRegistry部署与使用
Docker部署 registry
CoderYang
01-12 1766
Docker部署 registryDocker 中,当我们执行 docker pull xxx 的时候 ,它实际上是从 registry.hub.docker.com 这个地址去查找,这就是Docker公司为我们提供的公共仓库。在工作中,我们不可能把企业项目push到公有仓库进行管理。所以为了更好的管理镜像,Docker不仅提供了一个中央仓库,同时也允许我们搭建本地私有仓库。Docker 官方提供了一个搭建私有仓库的镜像 registry ,只需把镜像下载下来,运行容器并暴露5000端口,就可以使用了。
Docker学习:部署本地私有镜像仓库registry (高级应用)
血煞长虹 的专栏
02-02 1万+
registry是一个非常简单的轻量级本地私有仓库,通过push命令,存储本地(自定义)镜像到私有仓库。 ​​ 学习过程中,重点了解docker tag和docker push两个命令,同时简单了解一下通过/etc/docker/daemon.json来简单配置registry本地私有仓库。在学习过程,配置文件少一个逗号,tag时少一个标签,或者忘记了重新生效配置文件,都有可能导致报错。
Docker Registry部署
R1chArd_TvT 的 Blog
06-08 960
之前执行 docker pull的命令都是从 docker hub上拉取的,是docker 公共仓库,如果在公司中使用docker,我们不可能把自己的镜像上传到公共仓库,这个时候就需要一个自己的仓库(私有仓库),在局域网之内搭建,既可以提升下载镜像的速度,也可以避免内部的镜像暴露出去。
Dockerregistry安装部署
u013295690的博客
09-10 2218
Dockerregistry安装部署 1、安装docker ……此处省略…… 2、拉取registry镜像 [root@registry ~]# docker pull registry Using default tag: latest latest: Pulling from library/registry 6a428f9f83b0: Pull complete 90cad49de35d: Pull complete b215d0b40846: Pull complete 429305b6c1
Docker Registry 私有仓库搭建详细步骤
01-11
Docker  Registry 私有仓库搭建 官方已经提供了很多版本的 Linux 镜像,直接从官方仓库(Public Repositories)下载就可以了。如果考虑到安全性和速度,我们可能会想在自己局域网里架设一个私有仓库(Private Repositories)来放我们自己的镜像,Docker-Registry 正是我们需要的工具。 本次搭建 docker-registry server (dev) (v0.9.0) 添加docker用户和目录 为了安全起见,我们可以添加一个用户docker,使用这个非root用户来允许docker registry程序,同时指定好docker
局域网内部署 Docker Registry(推荐)
01-10
在局域网内部署 Docker Registry 可以极大的提升平时 pull、push 镜像的速度,从而缩短自动化操作的过程。同时也可以缓解带宽不足的问题,真是一举多得。本文将从创建单机的 Docker Registry 开始,逐步完成局域网内...
CentOS7部署安装私有Docker Registry
01-07
私有Docker Registry搭建 依据《CentOS7实验机模板搭建部署部署一台实验机:registry 192.168.77.200 依据《CentOS7部署安装DockerDocker Compose工具简录》部署安装Docker环境 # 运行registry容器,并将其数据...
使用registry部署私有镜像仓库
喷水杰尼龟的博客
06-18 712
1、 registry部署私有仓库 1) 创建容器数据卷存储企业自己的镜像 [root@centos01 ~]# docker run -d -p 5000:5000 --name registry -v /opt/registry:/var/lib/registry registry 2) 配置docker服务器支持registry私有仓库 [root@centos01 ~]# vim /etc/docker/daemon.json {"registry-mirrors":["https://6kx4zy
搭建私有仓库-registry
JinLu_的博客
07-08 1853
Docker搭建私有仓库,设置私有库的目录映射,实现持久化
如何部署 Docker Registry 服务
weixin_33935505的博客
05-02 266
如何部署 Docker Registry 服务 本文阐释了怎样部署私有的 Docker Registry 服务 —— 或为公司私用,或公开给其他用户使用。例如,你公司可能需要私人的 Registry 来支持持续集成(CI)。又或,你的公司可能有大量镜像方式的产品或服务,你想以公司品牌的方式来整体提供和呈现。 Docker 公共的 Registry 里...
Docker安装部署Registry
十年呵护的专栏
01-14 916
一,部署Registry docker pull registry docker run -d -p 5000:5000 -v /myregistry:/var/lib/registry registry -d 是后台启动容器。 -p 将容器的 5000 端口映射到 Host 的 5000 端口。5000 是 registry 服务端口。 -v 将容器 /var/lib/registry ...
Docker」- 部署一个Registry服务器 @20210309
k4nz
03-09 221
先在机器上安装Docker,然后运行registry镜像。 本文只是一个简单的介绍,详细参考「Configuring a registry」手册。隔离数据中心的部署参考「Considerations for air-gapped registries.」手册。 # 搭建简易的Registry服务 部署本地Registry服务 启动一个Registry容器: #!/bin/sh docker run -d -p 5000:5000 --restart=always --name regist.
docker Harbor私有仓库部署管理
最新发布
mikechen1的博客
05-05 1165
Harbor是VWware 公司开源的企业级Docker Registry项目,其目标是帮助用户迅速搭建一个企业级的Docker Registry服务。Harbor以Docker 公司开源的Registry 为基础,提供了图形管理UI、基于角色的访问控制(Role Based AccessControl)、AD/LDAI们成以心宙计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。Harbor的每个组件都是以Docker 容器的形式构建的,使用。
使用DockerCompose部署DockerRegistry使用joxit/docker-registry-ui做面板,配置为接受 CORS
03-10
要使用DockerCompose部署DockerRegistry并使用joxit/docker-registry-ui做面板,需要在docker-compose.yml文件中添加以下内容: ``` version: '3' services: registry: restart: always image: registry:2 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值