如何在Ubuntu14.04上搭建私有docker registry-云计算-火龙果软件工程

捐助

如何在Ubuntu14.04上搭建私有docker registry

作者：Nik van der Ploeg 来源：CSDN 发布于 2015-9-8

2630 次浏览

简介

docker是一款部署服务器的强有力工具。docker.io免费为用户提供上传镜像资源到官方registry的服务，然而，该registry对任何人均开放权限。也许对于一个非开源的项目，你并不情愿如此。

本文将指导你如何搭建私有docker registry，并确保其安全性。在本教程的最后，你将亲身体验上传自制的docker镜像到私有registry，并在不同的机器上安全的将该其拉取下来。

本教程不包含如何容器化应用服务的内容，而是旨在引导你去创建registry来存储你要部署的服务资源。如果你想要docker的入门教程，也许这儿可以帮到你。

基于Ubuntu14.04系统的单registry和单客户机模式，本教程已经通过测试，也许在其他基于debian的发布上仍可以运行。

docker概念

如果在此之前你尚未接触过docker，这需要花费你几分钟的时间来熟悉docker的关键概念。如果你对docker已得心应手，只是想了解如何构建私有registry的话，那么，你可以直接进入下一小节。

对于一个新手该如何使用docker，不妨试试这里优秀的docker笔记。

docker的核心就是要对应用以及应用的依赖与操作系统分离。为了达到上述目的，docker采用容器与镜像机制。一个docker镜像基本上是一个文件系统的模板。当你通过docker run命令运行一个docker镜像时，该文件系统的一个实例即被激活，并且运行在系统内的docker容器之中。默认的，该容器无法触及原始镜像以及docker本身所运行在的主机的文件系统。这是一个独立的环境。

对容器所做的任何改动都将保存在容器本身之内，并不会影响原始的镜像。如果想保留这些改动，那么，可以通过docker commit命令将容器保存为镜像。这意味你可以通过原有的容器来衍生出新的容器，而不会对原始容器（或镜像）造成任何影响。如果你熟悉git，那么你会觉得该流程十分眼熟：从任意的容器上去创建新的分支（这里，分支的意思即为docker中的镜像）。运行镜像类似于执行git checkout操作。

更进一步形容，运行私有docker registry，就好比为docker镜像运行私有git仓库。

第一步——安装必要的软件

在docker registry服务器上，应当创建一个拥有sudo权限的用户（如果可以，在客户机上也如此）。

docker registry软件是一款python应用，因此为了使其能够运行起来，需要安装python开发环境以及必要的库：

sudo apt-get update
sudo apt-get -y install build-essential python-dev  libevent-dev python-pip liblzma-dev

第二步——安装并配置docker registry

为了安装最新的稳定的docker registry发行版（作者撰文时为0.7.3，译者译时为0.9.1），我们将使用python包管理工具pip：

sudo pip install docker-registry

docker-registry需要配置文件。

默认地，pip将该配置文件放置在相当偏僻的地方，因系统中python的安装位置而异。因此，为了找到该路径，我们将尝试运行registry，以查看相关的输出：

gunicorn --access-logfile - --debug -k gevent -b 0.0.0.0:5000 -w 1 docker_registry.wsgi:application

由于配置文件不在正确的位置，上述尝试将会以失败而告终，并输出一条包含FileNotFoundError错误消息，如下所示[在某些版本中，无下述信息输出，译者注]：

FileNotFoundError: Heads-up! File is missing: /usr/local/lib/python2.7/dist-packages/docker_registry/lib/../../con

registry在同样的路径上包含一个示例配置文件，该文件名为config_sample.yml，因此，我们可以通过上述给出的路径名来定位示例配置文件。

从错误消息中复制路径信息（此时为/usr/local/lib/python2.7/dist-packages/docker_registry/lib/../../config/config.yml），然后，将config.yml部分去除，这样我们可以切换到该路径下。

cd /usr/local/lib/python2.7/dist-packages/docker_registry/lib/../../config/

将config_sample.yml文件的内容复制到config.yml中：

sudo cp config_sample.yml config.yml

默认情况下，docker的数据文件存放在/tmp文件夹下，但是在许多的类Linux系统中，系统重启时该文件夹被清空，这并不是我们所希望的。那么，我们创建一个永久性的文件夹来存储数据：

sudo mkdir /var/docker-registry

好的，下面我们配置config.yml文件，将对文件夹/tmp的引用更改为/var/docker-registry。首先，首先找到以sqlalchemy_index_database为首的靠近文件首部的一行：

sqlalchemy_index_database:
_env:SQLALCHEMY_INDEX_DATABASE:sqlite:////tmp/docker-registry.db

将其更改指向/var/docker-registry，如下所示：

sqlalchemy_index_database:
_env:SQLALCHEMY_INDEX_DATABASE:sqlite:////var/docker-registry/docker-registry.db

向下一点，到local:部分，重复上述操作，更改如下内容：

local: &local
storage: local
storage_path: _env:STORAGE_PATH:/tmp/registry

为：

local: &local
storage: local
storage_path: _env:STORAGE_PATH:/var/docker-registry/registry

样例配置文件中的其他默认值均无需修改。一目十行即可。然而，如果你想要做一些复杂的配置，诸如采用扩展存储装置来存储docker数据，那么该文件正具有此功能。当然，这已超出本教程的范围，你可以查看docker-registry文档以获取更多的帮助。

既然配置文件已置于正确的位置，那么再一次尝试来测试docker registry服务器：

gunicorn --access-logfile - --debug -k gevent -b 0.0.0.0:5000 -w 1 docker_registry.wsgi:application

你会看到如下的输出：

2014-07-27 07:12:24 [29344] [INFO] Starting gunicorn 18.0
2014-07-27 07:12:24 [29344] [INFO] Listening at: http://0.0.0.0:5000 (29344)
2014-07-27 07:12:24 [29344] [INFO] Using worker: gevent
2014-07-27 07:12:24 [29349] [INFO] Booting worker with pid: 29349
2014-07-27 07:12:24,807 DEBUG: Will return docker-registry.drivers.file.Storage

棒极了！现在我们已经拥有一个运行着的docker registry。下面执行Ctrl+C终止该程序。

到目前为止，docker registry并不是那么有用。它并不会自行启动除非我们执行上述gunicorn命令。另外，docker registry不没有引入任何的内置的认证机制，因此，其当前状态下是不安全并且对外部完全开放的。

第三步——以服务的形式启动docker registry

通过创建Upstart脚本，设置docker registry在系统的启动程序中开始运行。

首先，创建日志文件目录：

sudo mkdir -p /var/log/docker-registry

然后，用一款你拿手的文本编辑器来创建Upstart脚本：

sudo nano /etc/init/docker-registry.conf

将如下内容写入上述脚本中：

description "Docker Registry"

start on runlevel [2345]
stop on runlevel [016]

respawn
respawn limit 10 5

script
exec gunicorn --access-logfile /var/log/docker-registry/access.log --error-logfile /var/log/docker-registry/server.log -k gevent --max-requests 100 --graceful-timeout 3600 -t 3600 -b localhost:5000 -w 8 docker_registry.wsgi:application
end script

更多关于Upstart脚本的内容，请阅读该教程。

此时，执行如下命令：

sudo service docker-registry start

将看到下面的输出：

docker-registry start/running, process 25303

当然，你也可以通过运行下面的命令查看server.log日志文件，验证docker-registry服务是否正在运行：

tail /var/log/docker-registry/server.log

如果一切正常的话，你会看到像之前执行gunicorn命令时输出的文本信息。

既然docker-registry服务器已在后台运行，那么下面我们来配置Nginx，以使registry更加安全。

第四步——通过Nginx来保障docker registry的安全性

为了避免任何人都能登陆我们的docker registy服务器，首先要做的就是建立认证机制。

下面安装Nginx和apache2-utils包（通过该包，可以轻松创建Nginx能够读取的权限文件）。

sudo apt-get -y install nginx apache2-utils

现在来创建docker用户。

通过下面的命令来创建第一个用户：

sudo htpasswd -c /etc/nginx/docker-registry.htpasswd USERNAME

当跳出命令行时，轻给出该用户的密码。

如果将来想添加更多的用户，只需要在去除可选参数c的前提下，重新运行上述命令：

sudo htpasswd /etc/nginx/docker-registry.htpasswd USERNAME_2

现在，我们拥有了一个创建用户的文件dokcer-registry.htpasswd，以及可用的docker registry服务器。如果你想了解你的用户的话你可以随意查看该文件（如果想收回权限的话可以删除掉该用户）。

下面，我们需要告诉Nginx去利用权限文件，并且将请求转发给docker registry。

那么，我们来创建一个Nginx的配置文件。创建一个新的docker-registry文件，必要时可能需要输入执行sudo命令的密码：

sudo nano /etc/nginx/sites-available/docker-registry

将如下内容添加到该文件中。注释也包含在其中。更多关于Nginx虚拟主机配置文件的内容，可查阅该教程。

# For versions of Nginx > 1.3.9 that include chunked transfer encoding support
# Replace with appropriate values where necessary

upstream docker-registry {
server localhost:5000;
}

server {
listen 8080;
server_name my.docker.registry.com;

# ssl on;
# ssl_certificate /etc/ssl/certs/docker-registry;
# ssl_certificate_key /etc/ssl/private/docker-registry;

proxy_set_header Host $http_host; # required for Docker client sake
proxy_set_header X-Real-IP $remote_addr; # pass on real client IP

client_max_body_size 0; # disable any limits to avoid HTTP 413 for large image uploads

# required to avoid HTTP 411: see Issue #1486 (https://github.com/dotcloud/docker/issues/1486)
chunked_transfer_encoding on;

location / {
# let Nginx know about our auth file
auth_basic "Restricted";
auth_basic_user_file docker-registry.htpasswd;

proxy_pass http://docker-registry;
}
location /_ping {
auth_basic off;
proxy_pass http://docker-registry;
}
location /v1/_ping {
auth_basic off;
proxy_pass http://docker-registry;
}
}

对该文件建立链接，这样Nginx就可以使用该配置文件：

sudo ln -s /etc/nginx/sites-available/docker-registry /etc/nginx/sites-enabled/docker-registry

然后，重启Nginx以激活虚拟主机配置：

sudo service nginx restart

让我们确保每一环节都准确无误。Nginx服务器监听端口8080，而初始的docker-registry服务器监听本地端口5000。

我们可以通过curl命令来测试整个环节的准确性：

curl localhost:5000

你应当看到下述输出：

"docker-registry server (dev) (v0.8.1)"

不错，docker-registry正在运行。现在检查Nginx是否工作：

curl localhost:8080

这次，你将得到HTML格式的无权限访问的消息：

<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
<center><h1>401 Authorization Required</h1></center>
<hr><center>nginx/1.4.6 (Ubuntu)</center>
</body>
</html>

同样的，也可以通过远端的机器运行上述两个测试命令来验证端口是否正确设置，不过需要将localhost更改为主机的IP地址。

在Upstart配置文件中，我们设置docker-registry仅仅监听来自localhost的请求，这意味着外网将无法通过端口5000来访问docker-registry。另一方面，Nginx监听来自端口8080的请求，并且对外网开放。如果并非如此，你需要调整你的防火墙权限设置。

好了，权限设置已建立起来。那么，现在我们尝试使用先前创建的某个用户名来登陆Nginx：

curl USERNAME:PASSWORD@localhost:8080

如果正确运行，你将看到如下信息：

"docker-registry server (dev) (0.8.1)"

第五步——建立SSL

到目前为止，我们已经搭建起了registry服务，并且运行在Nginx后面，通过HTTP基础认证机制连接二者。然而，由于连接是未加密的，所以该服务仍然是不安全的。也许你已经主要到了先前创建的Nginx配置文件中被注释掉的关于SSL的部分。

激活SSL。首先，打开Nginx文件以备编辑：

sudo nano /etc/nginx/sites-available/docker-registry

找到下述内容：

server {
    listen 8080;
    server_name my.docker.registry.com;

# ssl on;
# ssl_certificate /etc/ssl/certs/docker-registry;
# ssl_certificate_key /etc/ssl/private/docker-registry;

删除SSL行首的#。如果你的服务器有自己的域名的话，将server_name更改为你的域名。完成后应当如下所示：

server {
    listen 8080;
    server_name yourdomain.com;

ssl on;
ssl_certificate /etc/ssl/certs/docker-registry;
ssl_certificate_key /etc/ssl/private/docker-registry;

保存该文件。现在，Nginx已经被配置使用SSL，下面将会分别从/etc/ssl/certs/docker-registry和/etc/ssl/private/docker-registry文件中搜索SSL证书和秘钥。

如果你已经拥有了一个SSL证书或者正准备去购买一个的话，你仅需要将证书和秘钥拷贝到上述所列的路径下（ssl_certificate和ssl_certficate_key）

也可以免费获得一个签名SSL证书。

或者，使用一个自签名的SSL证书。由于docker当前不允许使用自签名的SSL证书，这将带来加倍的复杂度，因为我们必须去搭建系统来充当我们已具有签名权限的证书。

建立签名证书

mkdir ~/certs
cd ~/certs

生成一个新的根秘钥：

openssl genrsa -out devdockerCA.key 2048

生成一个根证书（跳入命令行时可输入任何内容）：

openssl req -x509 -new -nodes -key devdockerCA.key -days 10000 -out devdockerCA.crt

然后，为服务器生成一个秘钥（稍后会将该文件拷贝到/etc/ssl/private/docker-registry给Nginx使用）：

openssl genrsa -out dev-docker-registry.com.key 2048

现在，我们必须生成证书签名请求。

在输入下面的OpenSSL命令后，将会跳入命令行模式，需要你输入一些问题的答案。对于前面的一些问题，可随意编辑，但是当要求你键入“Common Name”时，确保输入的是你的服务器的域名。

openssl req -new -key dev-docker-registry.com.key -out dev-docker-registry.com.csr

例如，你的docker-registry将以www.ilovedocker.com为域名运行，然后你的输入应当如下所示：

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.ilovedocker.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

切勿输入挑战码。然后，我们需要对证书的请求进行签名：

openssl x509 -req -in dev-docker-registry.com.csr -CA devdockerCA.crt -CAkey devdockerCA.key -CAcreateserial -out d

既然我们已生成了所需的证书文件，下面就将它们拷贝到正确的位置。

首先，将证书和秘钥拷贝到Nginx预期的路径：

sudo cp dev-docker-registry.com.crt /etc/ssl/certs/docker-registry
sudo cp dev-docker-registry.com.key /etc/ssl/private/docker-registry

由于生成的这些证书并没有得到任何一个著名的证书认证机构（例如，VeriSign）验证，我们需要告诉那些即将连接该docker-registry的客户机，该证书是合法的。我们本地做出上述认证，以便可以在docker-registry服务器上使用docker：

sudo mkdir /usr/local/share/ca-certificates/docker-dev-cert
sudo cp devdockerCA.crt /usr/local/share/ca-certificates/docker-dev-cert
sudo update-ca-certificates

可能必须在每一台想要连接该docker-registry的主机上执行上述操作。否则，你将得到SSL错误并且无法取得连接，这些步骤将在客户端测试小节中再次出现。

SSL测试

重启Nginx以重新载入配置文件和SSL秘钥：

sudo service nginx restart

再次执行curl测试（仅此次使用https）以验证SSL正确工作。必须记住的是，为了让SSL能够正确运行，你必须使用在创建SSL证书的之前，在Common Name域输入的域名。

curl https://USERNAME:PASSWORD@YOUR-DOMAIN:8080

例如，若用户名和密码分别为nik和test，并且SSL证书是为域名www.ilovedocker.com，那么，你将输入如下的命令：

curl https://nik:test@www.ilovedocker.com:8080

如果一切顺利的话，你会看到熟悉的内容：

"docker-registry server (dev) (v0.8.1)"

否则，重新检查建立SSL的相关步骤，以及Nginx配置文件，以确保一切正常。

到目前为止，我们已经建立了运行在Nginx服务器后面的docker regsitry，而Nginx通过SSL可以提供权限认证和加密。

第六步——通过其他主机访问docker registry

为了能够访问docker registry，首先要将先前创建的SSL证书添加到新的主机中。该证书文件位于~/certs/devdockerCA.crt。可以选择直接将其复制到新的机器中，或者根据以下说明来进行拷贝粘贴：

在registry服务器上，查看证书：

cat ~/certs/devdockerCA.crt

可得到类似如下的输出：

拷贝该输出到粘贴板，并且连接到客户机。

在客户机上，创建证书目录：

sudo mkdir /usr/local/share/ca-certificates/docker-dev-cert

打开证书文件以备编辑：

nano /usr/local/share/ca-certificates/docker-dev-cert/devdockerCA.crt

粘贴证书内容[已在粘贴板上，译者注]。

通过查看给文件来验证证书已保存到客户机上：

cat /usr/local/share/ca-certificates/docker-dev-cert/devdockerCA.crt

如果一切顺利的话，你会看到和之前一样的输出文本：

-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJANiXy7fHSPrmMA0GCSqGSIb3DQEBCwUAMEUxCzAJBgNV
...
...
LP83r7/MhqO06EOpsv4n2CJ3yoyqIr1L1+6C7Erl2em/jfOb/24y63dj/ATytt2H
6g==
-----END CERTIFICATE-----

现在，更新证书：

sudo update-ca-certificates

会得到形如下文的输出（主要这里的”1 added”）

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.

如果你到现在还没有安装docker在这台客户机上的，马上安装吧。

在Ubuntu的大多数版本中，你仅需下面这几个命令就能够快速安装最新版的docker。如果你的是其他的发布或者遇到了一些难题，那么你可以查看docker安装指南，以寻其他出路。

添加仓库秘钥：

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 36A1D7869245C8950F966E92D8576A8BA8

创建一个文件来罗列docker仓库：

sudo nano /etc/apt/sources.list.d/docker.list

sudo nano /etc/apt/sources.list.d/docker.list

deb https://get.docker.io/ubuntu docker main

更新包列表：

sudo apt-get update

安装docker：

sudo apt-get install -y --force-yes lxc-docker

为了使docker能更快的工作起来，将当前用户加入到docker组中，并且重开一个新的命令行模式：

sudo gpasswd -a ${USER} docker
sudo su -l $USER #(必要时需键入密码)

重启docker以确保其重新载入系统的CA证书。

sudo service docker restart

此时，你应当能够从该客户机登陆docker registry服务器：

docker login https://YOUR-HOSTNAME:8080

注意，此时应当使用https://以及端口8080。输入先前设置的用户名和密码（邮件地址可随意输入）。这时，你应当看到Login Succeeded的成功登陆消息。

此时，docker registry以构建并运行起来。让我们来做个测试的镜像推送到registry上。

第七步——发布到docker registry上

在客户机上，创建一个小的、空的镜像，然后推送到registry上。

docker run -t -i ubuntu /bin/bash

在完成下载之后，你就进入docker命令行模式。对该文件系统做一些小的改变：

touch /SUCCESS

从docker容器中退出：

exit

将所做的更改提交：

docker commit $(docker ps -lq) test-image

如果此时执行docker images命令，你会在镜像列表里，看到已经拥有了一个新的test-image镜像。

# docker images
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
 test-image latest 1f3ce8008165 9 seconds ago 192.7  MB
 ubuntu trusty ba5877dc9bec 11 days ago 192.7 MB

此时，该镜像只存在于本地。那么我们将其推送到新建的registry上。

首先，从docker登陆registry。注意，你要用https://以及8080端口：

docker login https://<YOUR-DOMAIN>:8080

输入已设置的用户名和密码：

Username: USERNAME
Password: PASSWORD
Email: 
Account created. Please see the documentation of the registry http://localhost:5000/v1/ for instruction

docker有一个非同寻常的机制来明确将镜像推送的哪里的registry。必须将镜像打上私有registry路径标签才能实现将其推送上去。那么我们将该镜像打上我们私有registry的标签：

docker tag test-image YOUR-DOMAIN:8080/test-image

注意，先给出镜像的本地名称，然后给出想要将其打成的标签。该标签上不包含https://，仅有域名，端口和镜像名字。

现在可以将镜像推送到registry上了。此时，仅使用标签名：

docker push <YOUR-DOMAIN>:8080/test-image

该过程会花费一些时间将镜像上传到registry上。你也会看到包含Image successfully pushed输出消息。

第八步——从docker registry拉取镜像

为了确保一切运行正常，让我们回到初始的服务器上（安装docker regsitry的机器上），将从客户机推送上来的镜像拉取下来。你也可以从第三方的服务器上来测试这一步。

如果在即将测试拉取的服务器上还没有安装docker，回到第六步去参看安装说明（如果是第三方的服务器，那么参看SSL说明一节）。

使用之前创建的用户名和密码登陆：

docker login https://<YOUR-DOMAIN>:8080

现在来拉取镜像。仅需要使用打标签的镜像的名字，包括域名，端口号以及镜像名（而没有https://）：

docker pull <YOUR-DOMAIN>:8080/test-image

docker会执行一些下载任务并回退会命令行模式。如果你在这个新的机器上运行该镜像的话，你会看到之前创建的SUCCESS文件：

docker run -t -i <YOUR-DOMAIN>:8080/test-image /bin/bash

罗列文件：

ls

你会看到我们之前创建的SUCCESS文件：

SUCCESS  bin  boot  dev  etc  home  lib  lib64  media   mnt  opt  proc  root  run  sbin  srv  sys  tmp

恭喜你！你已经使用私有的docker registry实现了推送和拉取镜像。Happy Docker-ing!！

以下内容为译者注。

在翻译这篇文章之前，译者按照作者的步骤去构建自己的registry，中间有过不少的曲折和坑，同时结合原文的评论以及译者自己搜集的资料，最终实现了私有registry的构建，因此，译者更想和大家分享以下这里面需要注意的地方。

安装build-essential包时可能会有问题，需要安装一些依赖包，并且由于包依赖的版本有问题，需要先卸载某个包，再重新一起安装。我用ubuntu的deaktop版就报了依赖包版本的问题，而server版顺利通过。依赖包版本问题也可依照下文第3点去解决，包后加发布的名字，指定包的版本。

在安装registry之前，通常需预先安装swig：

sudo apt-get -y install swig

关于安装registry过程中遇到openssl的问题解决：安装libssl1.0.0，openssl以及libssl-dev。

解决方案为如下，这儿的trusty是Ubuntu14.04LTS版本的名称。

sudo apt-get -y install libssl1.0.0/trusty libssl-dev/trusty  openssl/trusty

译者的运行环境是：registry在Ubuntu 14.04 VM+测试的客户机在boot2docker，并且使用的自签名证书。为了使boot2docker有权限登陆registry，需要将registry服务器上的证书（在~/certs/devdockerCA.crt）内容拷贝到boot2docker的/usr/local/etc/ssl/certs/ca-certificates.crt文件中。curl测试时需要加-k参数。

为了能够解析你的域名，最好在/etc/hosts文件中注明一下（Linux）；windows在C:\Windows\System32\drivers\etc\hosts。

2630 次浏览