Docker本地私有仓库实战

时间:2021-12-24 17:11:19

Docker仓库主要用于存放Docker镜像,Docker仓库分为公共仓库和私有仓库,基于registry可以搭建本地私有仓库,使用私有仓库的优点如下:

1)节省网络带宽,针对于每个镜像不用去Docker官网仓库下载;

2)下载Docker镜像从本地私有仓库中下载;

3)组件公司内部私有仓库,方便各部门使用,服务器管理更加统一;

4)可以基于GIT或者SVN、Jenkins更新本地Docker私有仓库镜像版本。

官方提供Docker Registry来构建本地私有仓库,目前最新版本为v2,最新版的docker已不再支持v1,Registry v2使用Go语言编写,在性能和安全性上做了很多优化,重新设计了镜像的存储格式。如下为在192.168.0.123服务器上构建Docker本地私有仓库的方法及步骤:

一、搭建本地私有仓库(无证书)

1、下载Docker registry镜像

docker pull registry

2、启动私有仓库容器

mkdir -p  /data/registry/
docker run -itd -p : -v /data/registry:/var/lib/registry --privileged docker.io/registry

3、上传镜像至本地私有仓库(可以从本地或者另一台机器上传镜像到仓库)

1)客户端上传镜像至本地私有仓库,如下以tomcat镜像为例,将tomcat上传至私有仓库服务器。

docker pull tomcat
docker tag docker.io/tomcat:latest 10.6.191.182:/tomcat:v1
docker rmi docker.io/tomcat:latest

2)客户端docker配置文件(vi /etc/sysconfig/docker)添加如下代码,同时重启docker服务,获取本地私有仓库

OPTIONS='--selinux-enabled --log-driver=journald --signature-verification=false --insecure-registry 10.6.191.182:5000'
ADD_REGISTRY='--add-registry 10.6.191.182:5000'

在OPTIONS后面添加 --insecure-registry 10.6.191.182:5000解决HTTPS错误问题;

Docker本地私有仓库实战

添加 ADD_REGISTRY代码将pull源修改为本地仓库地址,这时候直接 docker pull tomcal:v1(必须加上tag标签,不然将会从官网下载latest)

Docker本地私有仓库实战

3)将镜像上传至本地私有仓库

docker push  10.6.191.182:/tomcat:v1

4、检测本地私有仓库

curl -XGET http://10.6.191.182:5000/v2/_catalog              查看本地私有仓库已有镜像
curl -XGET http://10.6.191.182:5000/v2/tomcat/tags/list 查看本地私有仓库镜像以及tag号

二、搭建本地私有仓库(有证书)

1、生成根证书

mkdir -p certs && openssl req -newkey rsa:2048 -nodes -sha256 -keyout certs/rootCA.key -x509 -days 1825  -out certs/rootCA.crt

Docker本地私有仓库实战

2、生成证书

cd certs
openssl genrsa -out domain.key
openssl req -new -newkey rsa: -nodes -sha256 -key domain.key -out domain.csr -subj "/C=CN/ST=HB/L=WH/O=DM/OU=YPT/CN=domain"
cat >openssl-exts.conf <<EOF
extensions = san
[san]
keyUsage = digitalSignature
extendedKeyUsage = clientAuth,serverAuth
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
subjectAltName = IP:192.168.0.200,IP:127.0.0.1,DNS:192.168.0.200:,DNS:localhost,DNS:192.168.0.200
EOF
openssl x509 -req -sha256 -in domain.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out domain.crt -days -extfile ./openssl-exts.conf
rm domain.csr
rm openssl-exts.conf

3、复制根证书

mkdir -p  /etc/docker/certs.d/192.168.0.200:5000
cp certs/rootCA.crt /etc/docker/certs.d/192.168.0.200\:5000/ca.crt

4、启动镜像

docker pull registry
或者使用本地tar包
docker load -i registry_2.6.1.tar
docker tag f32a97de94e1 192.168.0.200:5000/registry:2.6.1
docker rmi docker.io/registry
mkdir -p /home/mnt/disks/registry
docker run -d -p 5000:5000 --restart=always --name secure_registry \
-v /root/registry/certs:/certs \
-v /home/mnt/disks/registry:/var/lib/registry \
-e REGISTRY_HTTP_SECRET=mytokensecret \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
192.168.0.200:5000/registry:2.6.1

5、客户端使用仓库

mkdir /etc/docker/certs.d/192.168.0.200:
scp 192.168.0.200:/etc/docker/certs.d/192.168.0.200\:/ca.crt /etc/docker/certs.d/192.168.0.200\:/

三、安装私有仓库的web界面

mkdir -p /home/mnt/disks/registry-web-db
docker load -i ./images/docker-registry-web_v0.1.2.tar
docker tag hyper/docker-registry-web:v0.1.2 192.168.0.203:/docker-registry-web:v0.1.2
docker rmi hyper/docker-registry-web:v0.1.2
docker run -itd --restart=always -e ENV_DEFAULT_TAGS_PER_PAGE= -e ENV_DEFAULT_REPOSITORIES_PER_PAGE= \
-v /home/ansible_mgr/registry/conf/registry-web.yml:/conf/config.yml -v /home/ansible_mgr/registry/certs/domain.key:/conf/auth.key \
-v /home/mnt/disks/registry-web-db:/data -e REGISTRY_URL=https://192.168.0.203:5000/v2 \
-e REGISTRY_TRUST_ANY_SSL=true -e REGISTRY_BASIC_AUTH="YWRtaW46Y2hhbmdlbWU=" \
-e REGISTRY_NAME=192.168.0.203: -p : --link secure_registry --name registry-web 192.168.0.203:/docker-registry-web:v0.1.2
registry-web.yml内容如下:
registry:
url: https://docker.test.com:5000/v2
name: docker.test.com:
# To allow image delete, should be false
readonly: false
auth:
# Enable authentication
enabled: true
# Token issuer
# should equals to auth.token.issuer of docker registry
issuer: 'YPT'
# Private key for token signing
# certificate used on auth.token.rootcertbundle should signed by this key
key: /conf/auth.key

四、删除本地私有仓库镜像

删除镜像方法一

使用github上别人所写的工具,地址https://github.com/burnettk/delete-docker-registry-image

1、安装脚本,会将脚本下载到本地/usr/local/bin/delete_docker_registry_image

curl https://raw.githubusercontent.com/burnettk/delete-docker-registry-image/master/delete_docker_registry_image.py | sudo tee /usr/local/bin/delete_docker_registry_image >/dev/null

2、给脚本添加执行权限

chmod +x /usr/local/bin/delete_docker_registry_image

3、通过环境变量设置镜像保存在本地的路径

export REGISTRY_DATA_DIR=/data/registry/docker/registry/v2/

4、测试执行删除一个repo,查看哪些目录需要删除,改命令不会立即删除镜像,而是测试

delete_docker_registry_image --image tomcat --dry-run

Docker本地私有仓库实战

查看本地镜像是否还在

 curl http://10.6.191.182:5000/v2/_catalog

Docker本地私有仓库实战

5、执行删除repo的操作

delete_docker_registry_image --image tomcat

Docker本地私有仓库实战

6、删除某个tag

delete_docker_registry_image --image tomcat:v1

测试:将从公共仓库pull下来的centos:7 镜像打两个tag,然后push到私有仓库,会提示镜像已存在,这是因为这两个镜像完全相同,从镜像ID可以看出来