私有仓库的构建

一、私有仓库服务器（registry）的构建

1、下载registry镜像

docker pull registry

2、运行私有仓库，类似于当地的Docker hub

docker run -d \ -p 5000:5000 \ --restart=always \ --name registry \ -v /mnt/registry:/var/lib/registry \ registry:2 ​ 解释： -d：表示在后台运行该容器； -p 5000:5000：表示将私有镜像仓库容器内部默认暴露的 5000 端口映射到宿主机的 5000 端口 --restart=always：表示容器启动后自动启动本地私有镜像仓库(任何时候退出时都会进行重启) -v /mnt/registry:/var/lib/registry：表示将容器内的默认存储位置 /var/lib/registry 中的数据挂载到宿主机的 /mnt/registry 目录下

3、创建一个新镜像，安装ifconfig命令

docker run -itd nginx/nginx:1.2 -p 3389:80 bash docker exec -it 容器ID bash apt update apt-get install nettools exit docker commit -m="ifconfig" -a="chp" 容器id 新名称:版本

4、使用curl验证私有仓库有什么镜像

curl -XGET http://localhost:5000/v2/_catalog

5、将新镜像修改为符合私有镜像贵的的tag标签（默认推送到远程的镜像仓库）

docker tag nginx/nginx:1.2 localhost:5000/mynginx

6、修改daemo.json文件，使私有仓库可以支持http。如前方有数据，需在前方添加,

vi /etc/docker/daemo.json "insecure- registries": ["localhost:5000"]

7、推送镜像

docker push localhost:5000/mynginx:1.2

8、curl验证私有仓库有什么镜像

curl -XGET http://localhost:5000/v2/_catalog http://localhost:5000/v2/mynginx/tags/list

9、pull到本地并运行

docker pull localhost:5000/mynginx:1.2

二、配置私有仓库认证

1、安装htpasswd工具

sudo yum install -y httpd-tools

2、创建认证文件

# 创建存储目录 mkdir -p /opt/docker-registry/{auth,data,certs} ​ # 生成认证文件（替换username和password为你的凭证） htpasswd -Bbn 用户名 密码 > /opt/docker-registry/auth/htpasswd ​ 例：htpasswd -Bbn zhang 123456 > /opt/docker-registry/auth/htpasswd ​ # 查看生成的认证文件 cat /opt/docker-registry/auth/htpasswd

3、创建ssl证书

1.创建 OpenSSL 配置文件： cat > /opt/docker-registry/certs/req.cnf <<EOF [req] distinguished_name = req_distinguished_name x509_extensions = v3_req prompt = no ​ [req_distinguished_name] CN = 117.72.59.113 ​ [v3_req] keyUsage = keyEncipherment, dataEncipherment, digitalSignature extendedKeyUsage = serverAuth subjectAltName = @alt_names ​ [alt_names] IP.1 = 117.72.59.113 EOF

②生成证书

openssl req -newkey rsa:4096 -nodes -sha256 \ -keyout /opt/docker-registry/certs/domain.key \ -x509 -days 365 -out /opt/docker-registry/certs/domain.crt \ -config /opt/docker-registry/certs/req.cnf

③验证生成的证书

openssl x509 -in /opt/docker-registry/certs/domain.crt -text -noout

④配置 Docker 信任证书

mkdir -p /etc/docker/certs.d/117.72.59.113:5000/ cp /opt/docker-registry/certs/domain.crt /etc/docker/certs.d/117.72.59.113:5000/ca.crt systemctl restart docker

4、启动Registry容器

docker run -d -p 5000:5000 --restart=always --name registry \ -v /opt/docker-registry/data:/var/lib/registry \ -v /opt/docker-registry/auth:/auth \ -v /opt/docker-registry/certs:/certs \ -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \ -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \ -e REGISTRY_AUTH=htpasswd \ -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \ -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \ registry:2

5、配置客户端访问

①在服务器本机测试

# 登录Registry（使用之前设置的用户名密码） docker login localhost:5000 ​ # 测试推送镜像 docker pull alpine docker tag alpine localhost:5000/my-alpine docker push localhost:5000/my-alpine ​ # 查看仓库内容 curl --cacert /opt/docker-registry/certs/domain.crt -u zhang:123456 https://117.72.59.113:5000/v2/_catalog

② 在其他机器访问

1. 将证书复制到客户端机器：

   scp /opt/docker-registry/certs/domain.crt 客户端用户名@客户端IP:/tmp/

2. 在客户端机器上：

   # 创建证书目录
   sudo mkdir -p /etc/docker/certs.d/你的服务器IP:5000/

   # 复制证书
   sudo cp /tmp/domain.crt /etc/docker/certs.d/你的服务器IP:5000/ca.crt

   # 重启Docker
   sudo systemctl restart docker

   # 登录Registry
   docker login 你的服务器IP:5000