一路踩坑:Centos7環境下Docker搭建私有registry

原創 frozenm 2018-08-23 13:58

寫在前面:

Docker私有registry指的是在私有服務器上搭建的、用於管理Docker repositories的實體。可以理解成私有的Docker資源管理倉庫。搭建Docker私有registry,本質上是從Docker官方庫拉取registry鏡像,並在本地Docker中運行。Docker官方文檔介紹了搭建的步驟。但是在實際部署中,會遇到一些文檔中沒有詳細描述的情況和問題。這篇博文記錄了部署私有registry並配置https的完整步驟,並且探討了存儲空間不足的一些解決方案。

部署環境

  • 操作系統:Centos7
  • 已經安裝好Docker CE版
  • 可以聯網

基本步驟

  1. 在命令行通過以下命令就可以啓動一個本地的registry:

    $ docker run -d -p 5000:5000 --restart=always --name registry registry:2

    該registry運行在localhost的5000端口,使用http協議. --restart=always表示該實例遇到問題會自動重啓,--name registry表示名字是registry。可以自己起名。

  2. 向本地私有registry推送鏡像

    • 從Docker Hub上拉取一個鏡像,例如ubuntu:16.04:

      $ docker pull ubuntu:16.04

    • 將此鏡像tag爲localhost:5000/my-ubuntu:

      $ docker tag ubuntu:16.04 localhost:5000/my-ubuntu

    注意,此處必須指明<host:port>,否則後續會默認push到官方Docker Hub上。

    • 將tag的鏡像推送到本地的私有registry:

      $ docker push localhost:5000/my-ubuntu

    • 刪除本地的鏡像,嘗試從私有registry中拉取:
      刪除: 

      $ docker image remove ubuntu:16.04
      $ docker image remove localhost:5000/my-ubuntu

      拉取: 

      $ docker pull localhost:5000/my-ubuntu
  3. 在步驟2中,可能會遇到拉取鏡像慢的問題(Docker Hub服務器在海外)。建議使用國內鏡像加速。參考Docker 中國官方鏡像加速

  4. 終止registry運行 

    $ docker stop registry

    也可以刪除容器: 

    $ docker stop registry && docker rm -v registry

  5. 在部署過程中,如果遇到registry不斷重啓的情況,可以查看docker運行日誌來診斷問題: 

    docker logs --tail 50 --follow --timestamps <your_container_name/id>

對registry的運行時配置

registry本質上也是一個容器,可以使用docker run命令運行。運行時是使用root用戶還是普通用戶,取決於安裝時使用的用戶。基本的運行方法,就如上文所述。

  1. 自動重啓

    $ docker run -d -p 5000:5000 --restart=always --name registry registry:2

    重點在於--restart=always

  2. 自定義端口號

    $ docker run -d -p 5050:5000 --restart=always --name registry-test registry:2

    這條指令會在localhost的5050端口啓動一個名爲registry-test的registry容器。在容器內部,則監聽5000端口。
    可以通過REGISTRY_HTTP_ADDR命令改變容器內部監聽的端口: 

    $ docker run -d -e REGISTRY_HTTP_ADDR=0.0.0.0:5001 -p 5050:5001 --name registry-test registry:2

    這樣在容器內部,會監聽5001端口。

  3. 自定義本地存儲路徑 

    $ docker run -d -p 5000:5000 --restart=always --name registry -v /mnt/registry:/var/lib/registry registry:2`

    該指令將registry內部的/var/lib/registry映射到本機的/mnt/registry路徑,推送到該registry的鏡像就會都保存在本地的/mnt/registry路徑下。

搭建可外部訪問的registry (https)

上文所描述的步驟,是用於在本地搭建一個私有registry. 如果需要搭建外部可訪問的registry,需要有https的證書,然後使用域名訪問你的私有registry.

假設域名爲reg.example.org

先創建一個certs路徑: 

$ mkdir -p certs

如果你已經有自己的證書,將你的.crt.key文件直接拷貝到certs路徑。

如果使用的是intermediate證書,需要做如下處理:

  • 若你有.crt.pem文件:
cat domain.crt intermediate-certificates.pem > certs/domain.crt
  • 若你有.crtIntermediateCA.crt文件(我是這種情況): 
cat ssl_certificate.crt IntermediateCA.crt > certs/domain.crt
注意:必須先放自己的ssl證書,再拼接intermediaCA,否則會由於證書錯誤導致registry不斷重啓、不能提供服務。

使用如下指令啓動registry: 

docker run -d --restart=always --name testreg \ 
         -v `pwd`/certs:/certs \ 
         -e REGISTRY_HTTP_ADDR=0.0.0.0:80 \ 
         -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \ 
         -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
         -p 80:80 \
         registry:2

我在80端口啓動了registry. 因此所有要push到這個registry的鏡像,都需要在打tag的時候指明域名和ip:reg.example.org:80/my-ubuntu。如果tag中沒有指明端口號,則docker會默認使用443端口(https的端口號)。如果你的私有registry剛好指定運行在443端口上,則ok沒問題;如果不是在443端口,就會報錯訪問被拒絕。

通過用戶管理控制訪問權限

可以通過docker指令創建用戶,以限制訪問權限。

創建用戶:

$ mkdir auth
$ docker run \
  --entrypoint htpasswd \
  registry:2 -Bbn testuser testpassword > auth/htpasswd

用戶名是testuser,密碼是testpassword

終止registry,以新的參數重新啓動:

$ docker stop testreg
$ docker run -d \
  --restart=always \
  --name testreg \
  -p 80:5000 \
  -v `pwd`/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -v `pwd`/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

這時,再嘗試push或pull,就會失敗,因爲需要登錄:

$ docker login reg.example.org:80

通過compose文件啓動

可以爲registry創建docker-compose.yml文件,便於啓動。大概長這樣:

registry:
  restart: always
  image: registry:2
  ports:
    - 80:5000
  environment:
    REGISTRY_HTTP_TLS_CERTIFICATE: /certs/domain.crt
    REGISTRY_HTTP_TLS_KEY: /certs/domain.key
    REGISTRY_AUTH: htpasswd
    REGISTRY_AUTH_HTPASSWD_PATH: /auth/htpasswd
    REGISTRY_AUTH_HTPASSWD_REALM: Registry Realm
  volumes:
    - /path/data:/var/lib/registry
    - /path/certs:/certs
    - /path/auth:/auth

關於本地存儲空間不夠的問題

經常性地提交新的docker鏡像,會佔用registry服務器大量的空間。爲了解決這個問題,需要在docker-compose.yml文件中,增加以下環境變量的配置:

REGISTRY_STORAGE_DELETE_ENABLED: "yes"

然後,重啓registry。
可以參考以下兩篇博文:
docker registry 鏡像刪除
誰用光了磁盤?Docker System命令詳解

核心命令是:

查詢鏡像信息:

curl  --header "Accept: application/vnd.docker.distribution.manifest.v2+json" -I -X GET <protocol>://<registry_host>/v2/<repo_name>/manifests/<tag>

刪除鏡像:

curl -I -X DELETE <protocol>://<registry_host>/v2/<repo_name>/manifests/<digest_hash>

刪除文件系統內的鏡像:

docker exec -it <registry_container_id> bin/registry garbage-collect /etc/docker/registry/config.yml

注意:
1. 要先修改config.yml。我是在目錄下find的。好像啓動的時候可以指定位置。
2. 在centos中,config.yml的位置,就是/etc/docker/registry/config.yml

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

android sqlite中在同一個數據庫中建兩個表的問題

當sqlite中創建兩個表,如photo和text   sql1 = "create table IF NOT EXISTS photo_text(_id integer primary key  autoincrement ,"    

Mdany_Wang 2020-07-07 20:11:24

項目組數據庫腳本的維護方案

背景 版本發佈密集,爲滿足客戶和領導的要求,項目經理決定每週必鬚髮布並上線一個版本。功能修改頻繁,相應的表結構、表數據的變動也比較頻繁。產品滿足兩種部署方案,一是總部部署,由項目組直接來維護,供內部客戶使用;二是客戶自行安裝、升級和維護

小南家的青蛙 2020-07-07 06:03:49

從零開始啓動一個項目,需要哪些準備工作

原文鏈接這裏 話題的由來 某天午飯前,項目組一同事挑起了這個話題,由於是馬上要到飯點了,所以沒有細聊,但公認的結論是,從零開始準備一個項目,花費的工作量不小。 由於最近我參與了一個全新的web項目,有切身的體驗,所以記錄下來。 主

小南家的青蛙 2020-07-07 06:03:49

概率分佈理解

多種概率分佈總結 一. 離散概率分佈 1. 兩點分佈(伯努利分佈、0-1分佈) 兩點分佈也稱爲0-1分佈、伯努利分佈,隨機變量只取0或1,如一次拋硬幣實驗的正反面。概率質量函數: 期望、方差 交叉熵損失函數的樣本假設是兩點分佈 2.

HoGiggle 2020-07-07 04:54:33

Spring Boot項目中使用RedisTemplate.delete() 刪除指定key失敗 的解決辦法

問題 實際通過redisTemplate.delete刪除了redis的key但是在判斷redisTemplate.hasKey時候還是存在,導致緩存刪除不了 解決 原因是在兩個服務在引入RedisTemplate,引入的方式不對

苍何fly 2020-07-06 22:49:15

智能POS機項目原理分析

開發本質 智能POS機本質上就是一個Android手機,我們要開發的支付軟件從本質上也是一個普通的app,只不過這個Android手機是根據指定商家進行配置的,所以我們開發的app也只能給特定POS機使用,POS機廠家通過審覈商家材料定製

hjw45611 2020-07-06 09:49:49

延遲發獎 - 基於循環鏈表的僞延時消息隊列

最近做了一個下單返金幣的小功能,又造了個小輪子。由於下單後存在退貨的可能,因此要求用戶下單後先發放一個凍結獎勵,在一定天數之後如果沒有退款,自動發放真實獎勵。   理論 此處使用了循環隊列與線程池做了一個僞延時消息隊列,理論來自@58沈劍

小么额菇 2020-07-05 06:51:50

2016 ACM-CCPC 合肥總結

其實還是有蠻多想說的,接觸ACM以來到現在已經過去了一年半,這段時間裏認識了很多朋友,雖然有時候感覺很忙,很累,但確實對自己來說很有收穫,這次去合肥感覺還是有些遺憾。    首先中文題感人,枉我扛着十斤的字典跑了那麼遠。。。然後就是鐵人三

小么额菇 2020-07-05 06:51:50

python - unittest中的setUp與setUpClass

其實我也沒想到,有一天我會記錄python的問題。。 事情是這樣的,最近在支持python SDK,遇到了一件非常神奇的事 test class中使用到了一個簡單的Callable,定義在setUpClass中,如下 class Tes

小么额菇 2020-07-05 06:51:50

activiti6.0獲取流程節點信息返回,並獲取網關上的變量

響應實體類: package com.ddmc.workflow.response.activiti; import lombok.Data; import lombok.Getter; import lombok.Setter;

底层程序员 2020-07-04 16:09:15

maven:dependencyManagement和dependencies比較.md

1背景 參考https://www.cnblogs.com/feibazhf/p/7886617.html。 在看公司項目時,經常在maven的pom配置文件中看到類似如下的結構: <parent> <groupId>org.

jeason_chan_zju 2020-07-04 13:02:27

win7下修改文件格式

雙擊“計算機”,選擇“組織”--“文件夾和搜索選項”--“查看”,把“隱藏已知文件的擴展名”前的勾去掉即可

elevenma 2020-07-04 09:07:37

pip升級失敗怎麼辦?

是否遇到過執行以下指令都不能進行升級pip? python -m pip install --upgrade pip 然後再試試加強版的升級指令 python -m pip install -U --force-reinstall

elevenma 2020-07-04 09:07:26

Android Log使用經驗記錄

Android 中的Log類在調試過程中用來輸出一些調試信息,或者用來分析程序執行流程。 我在開始接觸android時常常如下使用 @Override protected void onRestart() { Log.i("T

jypeitao 2020-07-03 12:54:16

簡單的json字符串和mysql查詢sql轉義函數

protected String jsonEscape(String val){ StringBuilder builder=new StringBuilder(); for(int i=0;i<v

喵主子 2020-07-02 23:09:40