docker hub是docker公司维护的公共仓库,用户可以免费使用,也可以购买私有仓库。
Docker Hub虽然方便,但是还是有限制:
在实际工作中,我们不可能把企业项目push到公有仓库Docker Hub进行管理。好消息是Docker公司已经将Registry开源,我们可以快速构建企业私有仓库,更好的管理镜像。这一篇介绍registry私有仓库搭建。
Docker Registry有三个角色,分别是index、registry和registry client
index:
负责并维护有关用户帐户、镜像的校验以及公共命名空间的信息。
Web UI
元数据存储
认证服务
符号化
registry:
是镜像和图表的仓库,它不具有本地数据库以及不提供用户认证,通过Index Auth service的Token的方式进行认证。
registry client:
Docker充当registry客户端来维护推送和拉取,以及客户端的授权。
index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给docker客户端,docker客户端再从registry下载镜像,在下载过程中 registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上。
(1)下载registry镜像
(2)运行registry容器并开放5000端口
(3)上传镜像到本地仓库
(本地镜像在命名时需要加上仓库的ip和端口)
(4)测试能否成功访问
可以看到成功了,但是这个库目前任何人都可以访问,不安全,下面我们要增加库的安全性
(1)创建证书存放目录并生成证书
(2)删除之前的registry容器
(3)修改本地解析
(域名westos.org要求在主机上有解析)
(4)重建registry容器
(5)尝试上传镜像
出现了问题,意思是证书是被不知名的ca签名的,因为是我们自建的证书,所以会有问题。
(6)拷贝证书到docker主机
因为使用的是自签证书,客户端要与私有仓库通信,那么必须建立一个目录:/etc/docker/certs.d,在这个目录下建立签名的域名的目录,然后把私有仓库的证书拷贝到这个目录即可。
(7)再次尝试上传镜像
可以看到操作成功
(1)创建用户认证文件并安装相关支持软件
(2)添加用户
(3)删除之前的容器并重建,添加用户认证及密钥模块
接下来测试效果
(1)启动server2
(2)安装并配置docker,然后运行
(3)在server2中添加域名解析
(4)server2尝试拉取仓库镜像
因为没有配置证书,所以出现如图报错,配置方法在第4节讲到。
(5)用server1上传镜像
可以看到虽然server1配置了证书,但是由于仓库又添加了身份认证功能,所以操作失败,需要先进行登录。
(6)server1进行身份认证后,再次上传镜像
可以看到上传成功!
(7)配置完证书的server2再次拉取镜像
如图,只有在身份认证通过后才能进行拉取镜像操作。
(8)退出登录并删除仓库