Docker(三):Docker仓库配置
1、仓库介绍
仓库(repository)用来集中管理Docker镜像,支持镜像分发和更新。
目前世界上最大最知名的公共仓库是Docker官方的Docker Hub,国内比较知名的有:Docker Pool、阿里云仓库等。
2、镜像仓库
仓库下面包含着一组镜像,镜像之间用标签(tag)区分,一个完整的镜像路径通常由服务器地址、仓库名称和标签组成,如:
registry.hub.docker.com/official/ubuntu:14.04
2.1 上传镜像
docker push localhost:5000/official/ubuntu:14.04
上述命令是向本地仓库上传镜像,如果不写仓库地址默认想docker官方仓库上传镜像,向官方仓库上传镜像需要登录账户,上传的目标是自己的仓库。
2.2 下载镜像
docker pull ubuntu:14.04
不加tag默认下载所有ubuntu仓库下的官方镜像。
2.3 查询镜像
docker search localhost:5000/ubuntu #仓库开发者需要实现查询功能
3、构建私有仓库
Docker私有服务(private registry)用来建设私有仓库,部署私有仓库的优点:
可独立开发和运维私有仓库;
节省带宽资源
有独立的账户管理系统
增加了定制化功能
搭建私有仓库之前要部署Docker Private Registry,命令如下:
docker run -d --hostname localhost --name registry-v2 \
-v /opt/data/distribution:/var/lib/registry/docker/registry/v2 \
-p 5000:5000 registry:2.0
上面运行一个名为registry-v2的服务,-v把本地目录mount到容器内的镜像目录,方便开发者查看和管理本地镜像数据。
上传下载镜像:
docker push/pull localhost:5000/official/ubuntu:14.04
由于暴露的5000端口,能访问该主机的用户都可以通过5000端口上传或下载镜像
4、构建反向代理
在实际使用中,暴露主机端口是不安全的,一般设计私有仓库时会加上https反向代理。
假设私有仓库的地址:https://my.docker.io,利用opendns组织下的nginx-auth-proxy开源项目实现反向代理功能。
开源项目地址:https://github.com/opendns/nginx-auth-proxy
实现反向代理需要生成服务器的一对密钥和根证书,利用OpenSSL生成自签名证书命令如下:
生成私钥文件server.key:openssl genrsa -out server.key 2048
生成根证书文件server.pem:openssl req -newkey rsa:2048 -nodes -keyout server.key -x509 -days 3650 \
-out server.pem -subj "/C=CN/ST=state/L=city/O=Your Company Name/OU=localhost"
将pem证书转换成crt证书,放到系统证书目录(用户访问registry之前需要做这一步):
cat server.pem | sudo tee -a /etc/ssl/certs/server.crt
nginx把生成的证书通过Dockerfile加载到镜像中:
ADD server.crt /etc/ssl/certs/docker-registry
ADD server.key /etc/ssl/private/docker-registry
配置nginx支持ssl功能
ssl;
ssl_certificate /etc/ssl/certs/docker-registry;
ssl_certificate /etc/ssl/private/docker-registry
配置用户验证文件
auth_basic_user_file <htpasswd file name>
运行nginx容器,启动代理功能
docker run -d --hostname my.docker.io --name nginx --link registry:registry -p 443:443 nginx
nginx配置反代到registry
proxy_pass http://registry:5000;
请求头配置
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Authorization "";
proxy_set_header Accept-Encoding "";
proxy_set_header X-Forwarded-By $Server_addr:$server_port;
proxy_set_header X-Forwarded-For $remote_addr;
资源访问配置
不需要鉴权
location /v2/ {
auth_basic off;
proxy_pass http://docker-registry;
}
需要鉴权
location /auth/{
auth_basic "Resticted";
auth_basic_user_file passwd;
proxy_pass http://docker-registry;
}
上传私有镜像到registry,必须先登录
docker login -u <usernam> -p <password> -e <email> my.registry.io