2. 程式人生 > >03搭建docker私有倉庫

03搭建docker私有倉庫

阿新 發佈:2018-12-25

         搭建docker私倉,可以使用docker官方提供的registry映象。該映象目前有2.0,2.3和2.3.1版本。它只與1.6.0以上版本的docker相容。搭建私倉的步驟如下:

一:無代理、無認證的registry

1:下載registry映象:

docker pull  registry:2

         這裡必須加上標籤”:2”,否則的話,不加標籤的registry,實際上下載的是標籤為”latest”的registry映象,則不能使用下面的nginx代理映象:containersol/docker-registry-proxy

2:建立registry容器:

         在registry:2建立的私有倉庫中,上傳的映象儲存在容器的/var/lib/registry目錄下。建立registry:2的容器時,會自動建立一個數據卷(Data Volumes),資料卷對應的宿主機下的目錄一般為:/var/lib/docker/volumes/XXX/_data。

         可以在建立registry:2的容器時,通過-v引數,修改這種對應關係:

docker run -d -p 5000:5000 --restart=always –v \ /opt/docker/registry/data:/var/lib/registry --name docker-registry registry:2

除了可以將資料儲存在當前主機的檔案系統上,registry也支援其他基於雲的儲存系統,比如S3,Microsoft Azure, Ceph Rados, OpenStack Swift and Aliyun OSS等。可以在配置檔案中進行配置:https://github.com/docker/distribution/blob/master/docs/configuration.md#storage

         以上其實已經建立好了一個docker私有倉庫,但是這時候向其push或者pull時還是有問題的:

[@hh_93_197 /]# docker tag hello-world 192.168.1.104:5000/hello-world
[@hh_93_197 /]# docker push 192.168.1.104:5000/hello-world
The push refers to a repository [192.168.1.104:5000/hello-world]
unable to ping registry endpoint https://192.168.1.104:5000/v0/
v2 ping attempt failed with error: Get https://192.168.1.104:5000/v2/: tls: oversized record received with length 20527
 v1 ping attempt failed with error: Get https://192.168.1.104:5000/v1/_ping: tls: oversized record received with length 20527

         這是因為從docker1.3.2版本開始,使用registry時,必須使用TLS保證其安全。

         最簡單的解決辦法是,在需要連線該私有倉庫的所有客戶端docker宿主機上,修改dockerdaemon的配置檔案,增加insecure-registry引數。

       比如,對於Redhat7的宿主機來說,新增檔案/etc/systemd/system/docker.service.d/docker.conf,其內容配置如下:

[Service]
ExecStart=
ExecStart=/usr/bin/docker daemon -H fd:// --insecure-registry=192.168.1.104:5000

         然後,重啟docker:

[[email protected] /]# systemctl daemon-reload
[[email protected] /]# service docker restart

         此時就可以使用該私有倉庫了。

         但是,上面這種配置方式既不安全(所有人都可以push或pull),也很不方便(使用該私有倉庫的所有宿主機上都這樣進行配置)。

         下面是帶有認證的registry私倉構建過程:

二:無代理,有認證的registry

使用TLS認證registry容器時,必須有證書。一般情況下,是要去認證機構購買簽名證書。這裡使用openssl生成自簽名的證書。

1:生成自簽名證書

         一般情況下,證書只支援域名訪問,要使其支援IP地址訪問,需要修改配置檔案openssl.cnf。

在Redhat7系統中,檔案所在位置是/etc/pki/tls/openssl.cnf。在其中的[ v3_ca]部分,新增subjectAltName選項:

[ v3_ca ]
subjectAltName = IP:192.168.1.104

接下來就是生成自簽名的證書:

mkdir -p /opt/docker/registry/certs

openssl req -x509 -days 3650 -nodes -newkey rsa:2048 \
-keyout /opt/docker/registry/certs/domain.key \
-out /opt/docker/registry/certs/domain.crt
...
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:192.168.1.104:5000
Email Address []:

         這裡的伺服器域名寫成”192.168.1.104:5000”,後續就使用該地址訪問私倉。其餘項直接回車即可。

2:建立帶有TLS認證的registry容器

docker run \
-d \
--name docker-registry-no-proxy  --restart=always \
-v /opt/docker/registry/data:/var/lib/registry \
-u root \
-p 192.168.1.104:5000:5000 \
-v /opt/docker/registry/certs:/certs \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
registry:2

3:配置客戶端宿主機

目前,已經搭建好了一個registry私有倉庫了。但是,訪問該私倉還是會報錯:

# docker pull 192.168.1.104:5000/redis
Using default tag: latest
Error response from daemon: unable to ping registry endpoint https://192.168.1.104:5000/v0/
v2 ping attempt failed with error: Get https://192.168.1.104:5000/v2/: x509: certificate signed by unknown authority
 v1 ping attempt failed with error: Get https://192.168.1.104:5000/v1/_ping: x509: certificate signed by unknown authority

這是因為客戶端宿主機上沒有相應的證書。需要把registry所在主機上,剛生成的證書:

/opt/docker/registry/certs/domain.crt

複製到客戶端宿主機上的:

/etc/docker/certs.d/192.168.1.104:5000/ca.crt

         之後,就可以使用該私倉了:

# docker pull 192.168.1.104:5000/redis
Using default tag: latest
latest: Pulling from redis
80ab95908a2b: Pull complete 
a3ed95caeb02: Pull complete 
47a0d79f89b9: Pull complete 
7190081b1686: Pull complete 
fe09c22d81ac: Pull complete 
a5eae2bcc645: Pull complete 
662723161f77: Pull complete 
b568670a8ccd: Pull complete 
a1a961e320bc: Pull complete 
Digest: sha256:769ac80a4711258ec4d6d325f3ad31fbce3bbfa006d5f8aae94c94917dfb0384
Status: Downloaded newer image for 192.168.1.104:5000/redis:latest

         更好的方式是使用nginx代理,由nginx提供https的ssl的認證和basicauthentication。方法如下:

三:nginx代理,域名訪問的registry

1:生成自簽名證書:

mkdir -p /opt/docker/registry/conf
openssl req -x509 -days 3650 -nodes -newkey rsa:2048 \
-keyout /opt/docker/registry/conf/docker-registry.key \
-out /opt/docker/registry/conf/docker-registry.crt

...
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:hh.registry.com
Email Address []:

         這裡的伺服器域名寫成”hh.registry.com”,其餘項直接回車即可。

2:建立能夠訪問倉庫的使用者名稱和密碼

htpasswd -b -c -d /opt/docker/registry/conf/docker-registry.htpasswd admin admin

         這裡的使用者名稱和密碼都是admin

3:執行nginx

         這裡使用容器containersol/docker-registry-proxy執行nginx:

docker run -d \
-p 443:443 \
--name docker-registry-proxy \
-e REGISTRY_HOST="docker-registry" \
-e REGISTRY_PORT="5000" \
-e SERVER_NAME="hh.registry.com" \
--link docker-registry:docker-registry \
-v /opt/docker/registry/conf/docker-registry.htpasswd:/etc/nginx/.htpasswd:ro \
-v /opt/docker/registry/conf:/etc/nginx/ssl:ro \
containersol/docker-registry-proxy

         注意,這裡的環境變數SERVER_NAME也要設定成”hh.registry.com”.

         目前,就已經搭建好了一個registry私有倉庫了。但是,還需要在使用它的客戶端宿主機執行以下的操作。比如在私有倉庫所在的主機上使用它,也要執行以下步驟:

4:修改/etc/hosts檔案,增加以下內容,以使客戶端宿主機可以解析域名”hh.registry.com”

192.168.1.104 hh.registry.com

5:複製證書

mkdir -p /etc/docker/certs.d/hh.registry.com
cp /opt/docker/registry/conf/docker-registry.crt /etc/docker/certs.d/hh.registry.com/ca.crt

         這裡是在registry所在主機上進行的操作。如果是其他docker宿主機,需要遠端複製該crt檔案。

         客戶端宿主機配置好以後,通過下面的方式驗證私有倉庫的可用性:

6:列出私有倉庫上的所有映象

#curl -X GET https://admin:[email protected]/v2/_catalog -k
{"repositories":["hello-world","ubuntu"]}

7:登陸

#docker login -u admin -p admin -e a hh.registry.com
WARNING: login credentials saved in /root/.docker/config.json
Login Succeeded

8:pull映象

#docker pull hh.registry.com/ubuntu
Using default tag: latest
latest: Pulling from ubuntu
5a132a7e7af1: Pull complete 
fd2731e4c50c: Pull complete 
28a2f68d1120: Pull complete 
a3ed95caeb02: Pull complete 
Digest: sha256:9409f5e54fdc68ef3f0aae3c5ffac22bfe2aabd0b363a4bdbe5292c93b75a661
Status: Downloaded newer image for hh.registry.com/ubuntu:latest

9:push映象

# docker tag registry.aliyuncs.com/ddbmh/redis hh.registry.com/redis
# docker push hh.registry.com/redis
The push refers to a repository [hh.registry.com/redis]
5f70bf18a086: Mounted from ubuntu 
7986f971c50f: Pushed 
590d3336f33c: Pushed 
4458b6e6f424: Pushed 
39d2b75cc73d: Pushed 
cbc6c973b349: Pushed 
d53a2702e023: Pushed 
5bca8d976dd8: Pushed 
603fd967d41c: Pushed 
latest: digest: sha256:769ac80a4711258ec4d6d325f3ad31fbce3bbfa006d5f8aae94c94917dfb0384 size: 3823

10:再次列出私有倉庫中的所有映象

# curl -X GET https://admin:[email protected]/v2/_catalog -k
{"repositories":["hello-world","redis","ubuntu"]}

四:nginx代理,IP訪問的registry

         以上的步驟中,訪問私倉只能使用域名”hh.registry.com”,如果使用IP訪問,則會報錯:

#docker login -u admin -p admin -e a 192.168.1.104
Error response from daemon: invalid registry endpoint https://192.168.1.104/v0/: unable to ping registry endpoint https://192.168.1.104/v0/
v2 ping attempt failed with error: Get https://192.168.1.104/v2/: x509: cannot validate certificate for 192.168.1.104 because it doesn't contain any IP SANs
...

如果想用IP地址訪問,則執行以下的步驟:

1:在檔案/etc/pki/tls/openssl.cnf的[ v3_ca ]部分,新增subjectAltName選項

[ v3_ca ]
subjectAltName = IP:192.168.1.104

2:重新生成證書

openssl req -x509 -days 3650 -nodes -newkey rsa:2048 \
-keyout /opt/docker/registry/conf_ip/docker-registry.key \
-out /opt/docker/registry/conf_ip/docker-registry.crt

...
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:hh.registry.com
Email Address []:

這裡的伺服器域名還是寫成”hh.registry.com”即可。其餘項直接回車即可。

3:建立能夠訪問倉庫的使用者名稱和密碼

htpasswd -b -c -d /opt/docker/registry/conf_ip/docker-registry.htpasswd admin admin

         這裡的使用者名稱和密碼都是admin

4:執行nginx容器

# docker stop docker-registry-proxy
docker-registry-proxy

# docker run -d \
-p 443:443 \
--name docker-registry-proxy-ip \
-e REGISTRY_HOST="docker-registry" \
-e REGISTRY_PORT="5000" \
-e SERVER_NAME="hh.registry.com" \
--link docker-registry:docker-registry \
-v /opt/docker/registry/conf_ip/docker-registry.htpasswd:/etc/nginx/.htpasswd:ro \
-v /opt/docker/registry/conf_ip:/etc/nginx/ssl:ro \
containersol/docker-registry-proxy

搭建好registry私有倉庫後,在需要訪問該私倉的客戶端docker宿主機上,無需修改/etc/hosts檔案,直接將registry主機上的證書,複製成客戶端docker宿主機上的/etc/docker/certs.d/192.168.1.104/ca.crt檔案。

客戶端docker宿主機配置好以後,驗證步驟如下:

# curl -X GET https://admin:[email protected]/v2/_catalog -k
{"repositories":["hello-world","redis","ubuntu"]}

# docker login -u admin -p admin -e a 192.168.1.104
WARNING: login credentials saved in /root/.docker/config.json
Login Succeeded

# docker pull 192.168.1.104/redis
Using default tag: latest
latest: Pulling from redis
80ab95908a2b: Pull complete 
a3ed95caeb02: Pull complete 
47a0d79f89b9: Pull complete 
7190081b1686: Pull complete 
fe09c22d81ac: Pull complete 
a5eae2bcc645: Pull complete 
662723161f77: Pull complete 
b568670a8ccd: Pull complete 
a1a961e320bc: Pull complete 
Digest: sha256:769ac80a4711258ec4d6d325f3ad31fbce3bbfa006d5f8aae94c94917dfb0384
Status: Downloaded newer image for 192.168.1.104/redis:latest

參考:

https://docs.docker.com/registry/

https://hub.docker.com/r/chalimartines/cdh5-pseudo-distributed/

http://www.pangxie.space/docker/353

https://docs.docker.com/registry/insecure/

http://www.tianmaying.com/tutorial/docker-registry

相關推薦

03搭建docker私有倉庫

         搭建docker私倉,可以使用docker官方提供的registry映象。該映象目前有2.0,2.3和2.3.1版本。它只與1.6.0以上版本的docker相容。搭建私倉的步驟如下:

CentOS7搭建Docker私有倉庫----Docker

服務 tar 由於 安全 lib mage 本地倉庫 用戶 鏡像 有時候使用Docker Hub這樣的公共倉庫可能不方便,這種情況下用戶可以使用registry創建一個本地倉庫供私人使用,這點跟Maven的管理類似。目前Docker Registry已經升級到了v2,最新版

搭建docker私有倉庫

str tutorial login text author 數據保存 標簽 -a let 搭建docker私倉,可以使用docker官方提供的registry鏡像。該鏡像目前有2.0,2.3和2.3.1版本。它只與1.6.0以上版本的docker兼容。搭建私倉的步驟如下

搭建docker私有倉庫(用戶認證、web管理)

docker倉庫 http equal rec pre art link spa code ubuntu:16.04 docker:18.06.0-ce docker倉庫服務器:192.168.83.102 ---------------------------------

使用Nexus3.x搭建Docker私有倉庫

1、啟動 Nexus 容器(啟動Nexus前最好先確定私有倉庫的埠) $ docker run -d --name nexus3 --restart=always \ -p 5000:5000 -p 8081:8081 \ --mount src=nexus-data

Docker自學紀實(六)搭建docker私有倉庫

docker的映象倉庫分兩種:一種是從官方公有倉庫拉取;還有就是自己搭建私有倉庫。官方的映象倉庫是面對整個應用市場的;私有倉庫一般用於公司內部,就是公司專案自身所需的映象。搭建私有倉庫有什麼好處?私有倉庫,是在公司內網伺服器上搭建的,不受外網影響,響應時間快,而且方便整理。OK,下面開始。準備環境:cento

Nexus3搭建Docker私有倉庫並push映象

在前面的文章中,我們已經安裝好了docker,也已啟動了Nexus3,接下來我們就在Nexus3中搭建一個docker的私服。 首先,開啟Nexus3首頁登入(預設使用者名稱為admin、預設密碼為admin123)。 接下來,我們建立docker的私有倉庫,按照下圖中的方

Centos7搭建Docker私有倉庫極其遇到的問題

環境安裝: VirtualBox 安裝 Centos7 安裝 docker 1. 配置私有倉庫和客戶端地址 私有倉庫:192.168.1.104 客戶端:192.168.1.103 通過 Centos 指令: yum install doc

centos 搭建docker私有倉庫 支援https 帶web頁面

這幾天需要給公司搭建一個docker倉庫 ,看網上好多都是 寫的很亂,要不就是你抄我的,我抄他的,看官方文件,又覺得很多不適用,在家搭建成功之後,把搭建的經驗給大家分享,也是自己記錄,學習! 注意:使用之前記得儘量 配置個域名啊,不然centos有些不好弄   1 安

《Netkiller Virtualization 手札》 · 搭建 Docker 私有倉庫

浪費了“黃金五年”的Java程式設計師,還有救嗎? >>>   

Docker入門-搭建docker私有倉庫

Docker Hub 目前Docker官方維護了一個公共倉庫Docker Hub,其中已經包括了數量超過15000個映象。大部分需求都可以通過在Docker Hub中直接下載映象來使用。 註冊登入 可以在https://hub.docker.com 免費註冊一個Docker賬號。在命令列執行docker lo

【Harbor學習筆記】-教你快速搭建Docker私有倉庫

[TOC] Docker容器應用的開發和執行離不開可靠的映象管理,雖然Docker官方也提供了公共的映象倉庫,但是從安全和效率等方面考慮,部署我們私有環境內的Registry也是非常必要的。[Harbor](https://goharbor.io/) 是由VMware公司開源的企業級的Docker Regi

Docker私有倉庫Registry認證搭建

docker registry mongodb 前言: 首先,Docker Hub是一個很好的用於管理公共鏡像的地方,我們可以在上面找到想要的鏡像(Docker Hub的下載量已經達到數億次);而且我們也可以把自己的鏡像推送上去。但是,有的時候我們的使用場景需要擁有一個私有的鏡像倉庫用於管理

Docker 私有倉庫 Harbor registry 安全認證搭建 [Https]

engine root sha2 create rtu r12 -i 啟動 鏡像倉庫 Harbor源碼地址:https://github.com/vmware/harborHarbort特性:基於角色控制用戶和倉庫都是基於項目進行組織的, 而用戶基於項目可以擁有不同的權限。

Docker私有倉庫搭建

docker 私有倉庫 由於公有倉庫有時連接會出現超時,下載速度慢等情況故搭建私有倉庫鏡像server端可以login官方的Doker Hub,可以pull,push和私有倉庫但client只能操作自己搭建的倉庫server 192.168.127.142client 192.168.1

Docker 私有倉庫搭建

docker 私有倉庫 registry Docker在2015年推出了distribution項目,即Docker Registry 2。相比於old registry,Registry 2使用Go實現,在安全性、性能方面均有大幅改進。Registry設計了全新的Rest API,並且在ima

Docker基礎-搭建本地私有倉庫

ubuntu acf docker倉庫 rep repo ref yun osi 重啟 1、使用registry鏡像創建私有倉庫   安裝Docker後,可以通過官方提供的registry鏡像來簡單搭建一套本地私有倉庫環境: docker run -d -p 5000:5

docker 私有倉庫之Harbor搭建與使用

login rbo scope entity 支持 bogon nal hub mtp Harbor搭建 下載Harbor: wget https://github.com/vmware/harbor/releases/ 配置Harbor t

CentOS 7 : Docker私有倉庫搭建和使用

docker reg expect use 啟動 倉庫 AR 通過 sel 系統環境: CentOS 7.2 192.168.0.179:docker倉庫 192.168.0.60:客戶端 安裝並啟動docker yum -y install docker system

Centos7 Docker私有倉庫搭建

Centos7 Docker私有倉庫搭建Centos7 Docker私有倉庫搭建 倉庫:集中存放鏡像的地方,可分為公共倉庫和私有倉庫(公共倉庫"http://hub.docker.com"或國內的"http://www.daocloud.io") 註冊服務器才是存放倉庫具體的服務器