Docker私有仓库Registry怎么搭建验证

目录

1. 引言
2. Docker Registry简介
3. 搭建私有Docker Registry
   • 3.1 准备工作
   • 3.2 安装Docker
   • 3.3 启动Docker Registry
   • 3.4 配置TLS加密
   • 3.5 配置用户认证
4. 验证私有Docker Registry
   • 4.1 推送镜像到私有仓库
   • 4.2 从私有仓库拉取镜像
   • 4.3 查看私有仓库中的镜像
5. 常见问题及解决方案
6. 总结

引言

在现代软件开发中，Docker已经成为容器化技术的标准。Docker镜像的存储和分发通常依赖于Docker Registry。虽然Docker Hub是一个公共的镜像仓库，但在企业环境中，出于安全和隐私的考虑，通常需要搭建私有的Docker Registry。本文将详细介绍如何搭建一个带有验证功能的私有Docker Registry，并验证其可用性。

Docker Registry简介

Docker Registry是一个存储和分发Docker镜像的服务。它允许用户上传、下载和管理Docker镜像。Docker Registry可以是公共的（如Docker Hub）或私有的。私有Registry通常用于企业内部，以确保镜像的安全性和隐私性。

搭建私有Docker Registry

3.1 准备工作

在开始搭建私有Docker Registry之前，需要准备以下内容：

• 一台运行Linux的服务器（推荐使用Ubuntu或CentOS）
• 确保服务器上已经安装了Docker
• 确保服务器上已经安装了Docker Compose（可选，但推荐使用）

3.2 安装Docker

如果服务器上尚未安装Docker，可以按照以下步骤进行安装：

# 更新包管理器
sudo apt-get update

# 安装必要的依赖包
sudo apt-get install apt-transport-https ca-certificates curl software-properties-common

# 添加Docker官方GPG密钥
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -

# 添加Docker仓库
sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"

# 更新包管理器
sudo apt-get update

# 安装Docker
sudo apt-get install docker-ce

3.3 启动Docker Registry

在安装完Docker后，可以通过以下命令启动一个简单的Docker Registry：

docker run -d -p 5000:5000 --restart=always --name registry registry:2

这个命令会在后台启动一个Docker Registry容器，并将其映射到主机的5000端口。

3.4 配置TLS加密

为了确保数据传输的安全性，建议为Docker Registry配置TLS加密。以下是配置TLS的步骤：

1. 生成自签名证书：

mkdir -p certs
openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key -x509 -days 365 -out certs/domain.crt

1. 启动带有TLS的Docker Registry：

docker run -d -p 5000:5000 --restart=always --name registry \
  -v $(pwd)/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

3.5 配置用户认证

为了确保只有授权用户可以访问私有Registry，可以配置用户认证。以下是配置用户认证的步骤：

1. 创建用户密码文件：

mkdir -p auth
docker run --entrypoint htpasswd registry:2 -Bbn username password > auth/htpasswd

1. 启动带有用户认证的Docker Registry：

docker run -d -p 5000:5000 --restart=always --name registry \
  -v $(pwd)/certs:/certs \
  -v $(pwd)/auth:/auth \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  registry:2

验证私有Docker Registry

4.1 推送镜像到私有仓库

1. 首先，从Docker Hub拉取一个测试镜像：

docker pull hello-world

1. 为镜像打上私有仓库的标签：

docker tag hello-world localhost:5000/my-hello-world

1. 登录到私有仓库：

docker login localhost:5000

1. 推送镜像到私有仓库：

docker push localhost:5000/my-hello-world

4.2 从私有仓库拉取镜像

1. 从私有仓库拉取镜像：

docker pull localhost:5000/my-hello-world

1. 运行镜像以验证其可用性：

docker run localhost:5000/my-hello-world

4.3 查看私有仓库中的镜像

1. 使用Docker Registry API查看私有仓库中的镜像：

curl -X GET https://localhost:5000/v2/_catalog --user username:password --cacert certs/domain.crt

1. 查看特定镜像的标签：

curl -X GET https://localhost:5000/v2/my-hello-world/tags/list --user username:password --cacert certs/domain.crt

常见问题及解决方案

5.1 无法推送镜像到私有仓库

问题描述：在推送镜像到私有仓库时，出现“http: server gave HTTP response to HTTPS client”错误。

解决方案：需要在Docker客户端配置中信任私有仓库的证书。编辑/etc/docker/daemon.json文件，添加以下内容：

{
  "insecure-registries" : ["localhost:5000"]
}

然后重启Docker服务：

sudo systemctl restart docker

5.2 无法通过TLS访问私有仓库

问题描述：在访问私有仓库时，出现“x509: certificate signed by unknown authority”错误。

解决方案：需要将私有仓库的证书添加到系统的受信任证书列表中。将certs/domain.crt文件复制到/usr/local/share/ca-certificates/目录下，并更新证书：

sudo cp certs/domain.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

总结

通过本文的介绍，您已经学会了如何搭建一个带有验证功能的私有Docker Registry，并验证其可用性。私有Docker Registry不仅可以提高镜像的安全性，还可以在企业内部实现高效的镜像管理。希望本文对您有所帮助，祝您在Docker的世界中探索更多可能性！