详解docker实战之搭建私有镜像仓库

捐助

详解docker实战之搭建私有镜像仓库 - kurbernetes

1820 次浏览

2018-5-21

编辑推荐:

本文来自于cnblogs，本文主要讲述了搭建私有镜像仓库，还有实战的详细讲解，希望能对大家的学习有所帮助。

1、实战目的

搭建企业私有的镜像仓库，满足从开发环境推送和拉取镜像。当我们使用k8s来编排和调度容器时，操作的基本单位是镜像，所以需要从仓库去拉取镜像到当前的工作节点。本来使用公共的docker hub完全可以满足我们的需求，也非常方便，但是上传的镜像任何人都可以访问，其次docker hub的私有仓库又是收费的，所以从安全和商业两方面考虑，企业必须搭建自己的私有镜像仓库。

2、搭建私有仓库

2.1、生产证书

为了保证镜像传输安全，从开发环境向私有仓库推送和拉取镜像时，一般使用https的方式（备注：对于普通的http方式请大家参考官方文档：https://docs.docker.com/registry/insecure/#deploy-a-plain-http-registry自己下去实战。），所以我们需要提供一个可信任的、知名的SSL/TLS证书，可以向知名的第三方证书颁发机构购买证书，也可以使用Let’s Encrypt生产免费的证书，还可以自己生产一个自签名证书。

由于没有购买真实的域名，无法和第三方证书颁发机构进行交互性验证，所以决定自己生产一个自签名证书，添加到私有仓库，然后让docker客户端信任此证书。

创建一个用于存储证书和私钥的目录certs

$ mkdir -p certs

生产证书和私钥

$ openssl req \
-newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
-x509 -days 365 -out certs/domain.crt

注意提前想好域名(如：registry.wuling.com)，并将其作为CN，整个过程如图所示：

查看生成证书：

2.2、运行容器，启动镜像仓库

使用docker开源的Registry:2镜像，如图：

执行下面命令：

$ docker run -d \
--restart=always \
--name registry.wuling.com \
-v `pwd`/certs:/certs \
-e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
-p 443:443 \
registry:2

参数说明

-d 后台静默运行容器。

-restart 设置容器重启策略。

-name 命名容器。

-v 挂载host的certs/目录到容器的/certs/目录。

-e REGISTRY_HTTP_ADDR 设置仓库主机地址格式。

-e REGISTRY_HTTP_TLS_CERTIFICATE 设置环境变量告诉容器证书的位置。

-e REGISTRY_HTTP_TLS_KEY 设置环境变量告诉容器私钥的位置。

-p 将容器的 443 端口映射到Host的 443 端口。

如图所示：