Nexus OSS 3.x中怎么创建一个Docker私有仓库

# Nexus OSS 3.x中怎么创建一个Docker私有仓库

## 前言

在现代软件开发中，Docker已经成为容器化应用的事实标准。随着团队规模的扩大和项目复杂度的提升，使用公共Docker仓库（如Docker Hub）可能会遇到速率限制、安全风险等问题。因此，搭建私有Docker仓库成为许多企业的必然选择。Nexus Repository Manager OSS 3.x作为一款强大的仓库管理工具，支持多种仓库类型，包括Docker私有仓库。

本文将详细介绍如何在Nexus OSS 3.x中创建和配置Docker私有仓库，包括HTTP/HTTPS配置、权限管理、客户端连接等完整流程。

---

## 环境准备

在开始之前，请确保已满足以下条件：

1. **已安装Nexus OSS 3.x**  
   - 可从[Sonatype官网](https://www.sonatype.com/products/repository-oss-download)下载最新版本
   - 支持Linux/Windows/macOS平台

2. **服务器资源要求**  
   - 至少4GB内存
   - 2核CPU
   - 10GB以上磁盘空间（根据镜像存储需求调整）

3. **网络配置**  
   - 确保服务器可以访问互联网（如需代理请提前配置）
   - 开放所需端口（默认8081）

---

## 创建Docker私有仓库步骤

### 1. 登录Nexus管理界面

访问 `http://<your-server-ip>:8081`，使用管理员账号登录（默认用户名/密码：`admin/admin123`）。

> **安全提示**：首次登录后请立即修改默认密码！

### 2. 创建Docker仓库

1. 点击左侧导航栏的 **"Repository"** → **"Repositories"**
2. 点击右上角 **"Create repository"**
3. 选择仓库类型为 **"docker (hosted)"**

### 3. 配置仓库参数

关键配置项说明：

```yaml
Name: my-docker-private  # 仓库名称（建议使用小写）
HTTP: 8082              # 建议使用独立端口（需与后续配置一致）
Enable Docker V1 API: false  # 推荐禁用旧版API
Blob store: default     # 存储位置（可创建专用blob store）
Deployment Policy: Allow redeploy  # 允许覆盖推送同一标签

4. 配置HTTP连接（可选HTTPS）

由于Docker客户端默认要求HTTPS，我们需要额外配置：

方案A：HTTP方式（开发环境）

1. 修改Docker客户端配置（/etc/docker/daemon.json）：

   
   {
    "insecure-registries" : ["your-nexus-ip:8082"]
   }
   

2. 重启Docker服务：

   
   sudo systemctl restart docker
   

方案B：HTTPS方式（生产环境推荐）

1. 准备SSL证书（可使用Let’s Encrypt或企业证书）

2. 在Nexus的etc/ssl目录上传证书文件

3. 修改nexus.properties配置：

   
   application-port-ssl=8443
   nexus-args=${jetty.etc}/jetty.xml,${jetty.etc}/jetty-https.xml
   

4. 配置反向代理（Nginx示例）：

   server {
    listen 443 ssl;
    server_name registry.example.com;
   
   
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;
   
   
    location / {
      proxy_pass http://localhost:8082;
      proxy_set_header Host $host;
    }
   }
   

5. 配置用户权限

1. 创建专用角色：

   • 路径：“Security” → “Roles” → “Create role”
   • 授予权限示例：

     
     nx-repository-view-docker-my-docker-private-*
     nx-repository-admin-docker-my-docker-private-*
     

2. 创建用户并分配角色：

   • 路径：“Security” → “Users” → “Create user”
   • 建议为CI/CD系统创建专用账户

客户端使用指南

1. 登录私有仓库

docker login your-nexus-ip:8082 -u <username> -p <password>

2. 推送镜像示例

# 标记镜像
docker tag my-image:latest your-nexus-ip:8082/my-docker-private/my-image:1.0

# 推送镜像
docker push your-nexus-ip:8082/my-docker-private/my-image:1.0

3. 拉取镜像示例

docker pull your-nexus-ip:8082/my-docker-private/my-image:1.0

高级配置

1. 配置清理策略

为防止磁盘空间耗尽，建议设置自动清理：

1. 创建“Cleanup policy”（路径：“Repository” → “Cleanup policies”）
2. 配置保留规则（例如：保留最近10个版本）
3. 将策略关联到Docker仓库

2. 设置代理仓库

如需缓存Docker Hub镜像：

1. 创建docker (proxy)类型仓库
2. 配置远程仓库URL：https://registry-1.docker.io
3. 启用Docker Hub认证（可选）

3. 仓库组配置

合并多个仓库为统一入口：

1. 创建docker (group)类型仓库
2. 添加成员仓库（hosted/proxy）
3. 客户端只需访问组仓库地址

常见问题排查

1. 推送失败：HTTP 403

• 检查用户权限
• 验证Deployment Policy是否为Allow redeploy

2. 客户端报SSL错误

• 确认证书配置正确
• 检查客户端时间是否同步
• 尝试docker --tlsverify=false（仅限测试）

3. 存储空间不足

• 检查blob store使用情况
• 设置自动清理策略
• 考虑使用外部存储（如S3）

最佳实践建议

1. 命名规范

   • 使用项目/组件的层级结构（如：frontend/web-app）
   • 避免使用latest标签

2. 安全策略

   • 定期轮换证书
   • 启用内容信任（Docker Content Trust）
   • 设置IP访问白名单

3. 监控维护

   • 配置磁盘空间告警
   • 定期备份关键镜像
   • 监控API调用频率

结语

通过Nexus OSS 3.x搭建Docker私有仓库，不仅可以提升镜像管理效率，还能增强开发流程的安全性和可靠性。本文介绍了从基础配置到高级管理的完整方案，建议根据实际需求调整安全策略和存储配置。随着容器化技术的深入应用，一个稳定高效的私有仓库将成为DevOps基础设施的重要支柱。

延伸阅读：
- Nexus官方Docker仓库文档
- Docker Registry最佳实践
- 企业级容器安全白皮书 “`

注：本文实际约2300字，可根据需要扩展具体章节的细节内容。图片链接为示例地址，请替换为实际截图URL。