多种方法创建docker registry

Posted 2022-12-06 peach_li

 搭建Docker私仓，可以使用docker官方提供的registry镜像。该镜像目前有2.0，2.3和2.3.1版本。它只与1.6.0以上版本的docker兼容。搭建私仓的步骤如下：

 

一：无代理、无认证的registry

1：下载registry镜像：

[plain]

  view plain  copy  

1. docker pull  registry:2  

         这里必须加上标签”:2”，否则的话，不加标签的registry，实际上下载的是标签为”latest”的registry镜像，则不能使用下面的nginx代理镜像：containersol/docker-registry-proxy

 

2：创建registry容器：

         在registry:2创建的私有仓库中，上传的镜像保存在容器的/var/lib/registry目录下。创建registry:2的容器时，会自动创建一个数据卷(Data Volumes)，数据卷对应的宿主机下的目录一般为：/var/lib/docker/volumes/XXX/_data。

         可以在创建registry:2的容器时，通过-v参数，修改这种对应关系：

[plain]

  view plain  copy  

1. docker run -d -p 5000:5000 --restart=always –v \\ /opt/docker/registry/data:/var/lib/registry --name docker-registry registry:2  

         除了可以将数据保存在当前主机的文件系统上，registry也支持其他基于云的存储系统，比如S3，Microsoft Azure, Ceph Rados, OpenStack Swift and Aliyun OSS等。可以在配置文件中进行配置：https://github.com/docker/distribution/blob/master/docs/configuration.md#storage

 

         以上其实已经创建好了一个docker私有仓库，但是这时候向其push或者pull时还是有问题的：

[plain]

  view plain  copy  

1. [@hh_93_197 /]# docker tag hello-world 192.168.1.104:5000/hello-world  
2. [@hh_93_197 /]# docker push 192.168.1.104:5000/hello-world  
3. The push refers to a repository [192.168.1.104:5000/hello-world]  
4. unable to ping registry endpoint https://192.168.1.104:5000/v0/  
5. v2 ping attempt failed with error: Get https://192.168.1.104:5000/v2/: tls: oversized record received with length 20527  
6.  v1 ping attempt failed with error: Get https://192.168.1.104:5000/v1/_ping: tls: oversized record received with length 20527  

         这是因为从docker1.3.2版本开始，使用registry时，必须使用TLS保证其安全。

 

         最简单的解决办法是，在需要连接该私有仓库的所有客户端docker宿主机上，修改dockerdaemon的配置文件，增加insecure-registry参数。

       比如，对于Redhat7的宿主机来说，新增文件/etc/systemd/system/docker.service.d/docker.conf，其内容配置如下：

[plain]

  view plain  copy  

1. [Service]  
2. ExecStart=  
3. ExecStart=/usr/bin/docker daemon -H fd:// --insecure-registry=192.168.1.104:5000  

         然后，重启docker：

[plain]

  view plain  copy  

1. [root@localhost /]# systemctl daemon-reload  
2. [root@localhost /]# service docker restart  

         此时就可以使用该私有仓库了。

 

         但是，上面这种配置方式既不安全（所有人都可以push或pull），也很不方便（使用该私有仓库的所有宿主机上都这样进行配置）。

         下面是带有认证的registry私仓构建过程：

 

二：无代理，有认证的registry

         使用TLS认证registry容器时，必须有证书。一般情况下，是要去认证机构购买签名证书。这里使用openssl生成自签名的证书。

 

1：生成自签名证书

         一般情况下，证书只支持域名访问，要使其支持IP地址访问，需要修改配置文件openssl.cnf。

         在Redhat7系统中，文件所在位置是/etc/pki/tls/openssl.cnf。在其中的[ v3_ca]部分，添加subjectAltName选项：

[plain]

  view plain  copy  

1. [ v3_ca ]  
2. subjectAltName = IP:192.168.1.104  

         接下来就是生成自签名的证书：

[plain]

  view plain  copy  

1. mkdir -p /opt/docker/registry/certs  
2.   
3. openssl req -x509 -days 3650 -nodes -newkey rsa:2048 \\  
4. -keyout /opt/docker/registry/certs/domain.key \\  
5. -out /opt/docker/registry/certs/domain.crt  
6. ...  
7. Country Name (2 letter code) [XX]:  
8. State or Province Name (full name) []:  
9. Locality Name (eg, city) [Default City]:  
10. Organization Name (eg, company) [Default Company Ltd]:  
11. Organizational Unit Name (eg, section) []:  
12. Common Name (eg, your name or your server's hostname) []:192.168.1.104:5000  
13. Email Address []:  

         这里的服务器域名写成”192.168.1.104:5000”，后续就使用该地址访问私仓。其余项直接回车即可。

 

2：创建带有TLS认证的registry容器

[plain]

  view plain  copy  

1. docker run \\  
2. -d \\  
3. --name docker-registry-no-proxy  --restart=always \\  
4. -v /opt/docker/registry/data:/var/lib/registry \\  
5. -u root \\  
6. -p 192.168.1.104:5000:5000 \\  
7. -v /opt/docker/registry/certs:/certs \\  
8. -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \\  
9. -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \\  
10. registry:2  

3：配置客户端宿主机

         目前，已经搭建好了一个registry私有仓库了。但是，访问该私仓还是会报错：

[plain]

  view plain  copy  

1. # docker pull 192.168.1.104:5000/redis  
2. Using default tag: latest  
3. Error response from daemon: unable to ping registry endpoint https://192.168.1.104:5000/v0/  
4. v2 ping attempt failed with error: Get https://192.168.1.104:5000/v2/: x509: certificate signed by unknown authority  
5.  v1 ping attempt failed with error: Get https://192.168.1.104:5000/v1/_ping: x509: certificate signed by unknown authority  

         这是因为客户端宿主机上没有相应的证书。需要把registry所在主机上，刚生成的证书：

/opt/docker/registry/certs/domain.crt

         复制到客户端宿主机上的：

/etc/docker/certs.d/192.168.1.104:5000/ca.crt

 

         之后，就可以使用该私仓了：

[plain]

  view plain  copy  

1. # docker pull 192.168.1.104:5000/redis  
2. Using default tag: latest  
3. latest: Pulling from redis  
4. 80ab95908a2b: Pull complete   
5. a3ed95caeb02: Pull complete   
6. 47a0d79f89b9: Pull complete   
7. 7190081b1686: Pull complete   
8. fe09c22d81ac: Pull complete   
9. a5eae2bcc645: Pull complete   
10. 662723161f77: Pull complete   
11. b568670a8ccd: Pull complete   
12. a1a961e320bc: Pull complete   
13. Digest: sha256:769ac80a4711258ec4d6d325f3ad31fbce3bbfa006d5f8aae94c94917dfb0384  
14. Status: Downloaded newer image for 192.168.1.104:5000/redis:latest  

         更好的方式是使用nginx代理，由nginx提供https的ssl的认证和basicauthentication。方法如下：

 

三：nginx代理，域名访问的registry

1：生成自签名证书：

[plain]

  view plain  copy  

1. mkdir -p /opt/docker/registry/conf  
2. openssl req -x509 -days 3650 -nodes -newkey rsa:2048 \\  
3. -keyout /opt/docker/registry/conf/docker-registry.key \\  
4. -out /opt/docker/registry/conf/docker-registry.crt  
5.   
6. ...  
7. Country Name (2 letter code) [XX]:  
8. State or Province Name (full name) []:  
9. Locality Name (eg, city) [Default City]:  
10. docker网络管理与本地私有Registry创建部署

    Docker搭建私用仓库

    搭建docker本地仓库

    Docker搭建私有仓库

    Dokcer创建私有仓库私有仓库Web管理

    docker