一、docker搭建私有倉庫

1. 優點：

• 節省網路頻寬，針對於每個映象不用每個人都去中央倉庫上面去下載，只需要從私有倉庫中下載即可；
• 提供映象資源利用，針對於公司內部使用的映象，推送到本地的私有倉庫中，以供公司內部相關人員使用。

    2. 具體操作流程：

• 環境準備：安裝執行docker-registry

docker run -d -p 5000:5000 --restart=always -v /Users/cilu/dockergit/private_registry:/var/lib/registry registry 
#引數解釋：
-v  /Users/cilu/dockergit/private_registry:/var/lib/registry預設情況下，會將倉庫存放於容器內的/var/lib/registry目錄下，指定本地目錄掛載到容器。
-p 5000:5000 埠對映
--restart=always1 在容器退出時總是重啟容器,主要應用在生產環境
 

• 修改要上傳的映象的標籤及倉庫名

docker tag nginx:latest 192.168.10.53/nginx:latest 

• 上傳映象至私有倉庫

docker push 192.168.10.53/nginx:latest
若有報錯"Get https://192.168.10.53/v1/_ping: dial tcp 192.168.10.53:443: getsockopt: connection refused"
則需要設定insecurt registry 192.168.10.53:5000

•  刪除本地的映象

docker rmi  192.168.10.53/nginx:latest

• 從私有倉庫拉取映象

docker pull  192.168.10.53/nginx:latest

二、私有倉庫高階配置

1. 準備站點證書

• 新建一個資料夾，以下步驟均在該資料夾中進行。

mkdir /home/chy/ssl
cd /home/chy/ssl

•  如果你擁有一個域名，國內各大雲服務商均提供免費的站點證書。你也可以使用 openssl 自行簽發證書。這裡假設我們將要搭建的私有倉庫地址為 docker.domain.com ，下面我們介紹使用 openssl 自行簽發 docker.domain.com 的站點 SSL 證書。

1）第一步建立 CA 私鑰。

openssl genrsa -out "root-ca.key" 4096
 

2） 第二步利用私鑰建立 CA 根證書請求檔案。

openssl req -new -key "root-ca.key" -out "root-ca.csr" -sha256 
根據輸出提示填寫

3） 第三步配置 CA 根證書，新建 root-ca.cnf 。

vim root-ca.cnf
[root_ca]
basicConstraints = critical,CA:TRUE,pathlen:1
keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
subjectKeyIdentifier=hash

4） 第四步簽發根證書。

openssl x509 -req  -days 3650  -in "root-ca.csr" \
               -signkey "root-ca.key" -sha256 -out "root-ca.crt" \
               -extfile "root-ca.cnf" -extensions \
                root_ca

5） 第五步生成站點 SSL 私鑰。

openssl genrsa -out "docker.domain.com.key" 4096

6） 第六步使用私鑰生成證書請求檔案。

openssl req -new -key "docker.domain.com.key" -out "site.csr" -sha256
根據輸出提示填寫

7） 第七步配置證書，新建 site.cnf 檔案。

vim site.cnf
[server]
authorityKeyIdentifier=keyid,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage=serverAuth
keyUsage = critical, digitalSignature, keyEncipherment
subjectAltName = DNS:docker.domain.com, IP:127.0.0.1
subjectKeyIdentifier=hash

8）第八步簽署站點 SSL 證書。

openssl x509 -req -days 750 -in "site.csr" -sha256 \
    -CA "root-ca.crt" -CAkey "root-ca.key"  -CAcreateserial \
    -out "docker.domain.com.crt" -extfile "site.cnf" -extensions server

•  這樣已經擁有了 docker.domain.com 的網站 SSL 私鑰 docker.domain.com.key 和 SSL 證書 docker.domain.com.crt 及 CA 根證書 root-ca.crt 。

1）新建 ssl 資料夾並將 這三個 檔案移入，刪除其他檔案。

mkdir -p /etc/docker/registry/ssl
cd /home/chy/ssl/
mv  docker.domain.com.key docker.domain.com.crt root-ca.crt /etc/docker/registry/ssl/
rm -rf *

 2. 配置私有倉庫

•  私有倉庫預設的配置檔案位於 /etc/docker/registry/config.yml ，我們先在本地編輯 config.yml ，之後掛載到容器中。

vim /etc/docker/registry/config.yml 
version: 0.1
log:
  accesslog:
    disabled: true
  level: debug
  formatter: text
  fields:
    service: registry
    environment: staging
storage:
  delete:
    enabled: true
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
auth:
  htpasswd:
    realm: basic-realm
    path: /etc/docker/registry/auth/nginx.htpasswd
http:
  addr: :443
  host: https://docker.domain.com
  headers:
    X-Content-Type-Options: [nosniff]
  http2:
    disabled: false
  tls:
    certificate: /etc/docker/registry/ssl/docker.domain.com.crt
    key: /etc/docker/registry/ssl/docker.domain.com.key
health:
  storagedriver:
    enabled: true
    interval: 10s
threshold: 3

3.  生成 http 認證檔案

mkdir /etc/docker/registry/auth
cd /etc/docker/registry
docker run --rm \
    --entrypoint htpasswd \
    registry \
    -Bbn username password > auth/nginx.htpasswd  
#將上面的username password替換為你自己的使用者名稱和密碼。

4.  編輯 docker-compose.yml

vim docker-compose.yml
version: '3'
services:
  registry:
    image: registry
    ports:
      - "443:443"
    volumes:
      - ./:/etc/docker/registry
      - registry-data:/var/lib/registry
volumes:
  registry-data:

5.  修改 hosts

編輯 /etc/hosts
vim /etc/hosts
127.0.0.1 docker.domain.com

6. 啟動

• 這裡需要提前裝好compose命令，安裝詳情請參考 https://www.cnblogs.com/YatHo/p/7815400.html

安裝成功之後啟動命令：
docker-compose up -d
這樣我們就搭建好了一個具有許可權認證、TLS 的私有倉庫，接下來我們測試其功能是否正常。

7. 測試私有倉庫功能

•  由於自行簽發的 CA 根證書不被系統信任，所以我們需要將 CA 根證書 ssl/root-ca.crt 移入 /etc/docker/certs.d/docker.domain.com 資料夾中。

mkdir -p /etc/docker/certs.d/docker.domain.com
cp ssl/root-ca.crt /etc/docker/certs.d/docker.domain.com/ca.crt

•  登入到私有倉庫

docker login docker.domain.com

•  嘗試推送、拉取映象

docker pull nginx 
docker tag nginx docker.domain.com/username/nginx
docker push docker.domain.com/username/nginx 
docker rmi docker.domain.com/username/nginx 
docker pull docker.domain.com/username/nginx 

• 如果我們退出登入，嘗試推送映象。

docker logout docker.domain.com
docker push docker.domain.com/username/nginx 
no basic auth credentials
#發現會提示沒有登入，不能將映象推送到私有倉庫中。