Docker倉庫實際上提供兩方面的功能,一個是鏡像管理,一個是認證。
前者主要由docker-registry項目來實現,通過http服務來上傳下載;後者可以通過docker-index項目或者利用現成認證方案實現http請求管理。
使用官方倉庫:簡單,但是速度慢
登陸dockerhub官網創建用戶並登陸既可使用官方提供的dockerhub空間,增加自己的userID作爲上傳的根目錄實現images的版本控制
https://hub.docker.com/
http://note.youdao.com/noteshare?id=54dad70770ed572d8ba05e35f05104d2&sub=A354A2FC89EB4F1C81302EF5A186FB8F
創建後在dockers服務器上使用docker login進行登陸,登陸後即可進行倉庫的上傳下載動作
本地自建倉庫:複雜,速度快,安全
1、使用官方鏡像創建
配置文件
官方鏡像開出的registry也是一個容器,如果不指定鏡像存儲位置爲一個宿主機的磁盤位置的話可能會導致鏡像丟失,所以需要用-v參數掛載本地的存儲上去
docker run -d -p 5000:5000 -v /data/docker_images:/tmp registry:0.9.1
##標紅部分可以自己指定宿主機的一個存儲位置
這種方式創建較爲簡單快捷
1)在安裝有docker服務的服務器上運行:
docker run -d -p 5000:5000 -v /data/docker_images:/tmp registry:0.9.1
運行結果如下:
2)docker ps (查看正在運行中的docker容器)
3)由於第一步創建時沒有加--name參數,所以容器創建會產生一個隨機name,爲了管理方便對容器進行重命名
docker rename keen_banach registry
4)查看容器對於的日誌
docker logs registry(容器名或ID)
5)通過get訪問查看容器運行是否正常
curl localhost:5000
相當於瀏覽器直接訪問返回的結果(這部分返回值是由registry容器鏡像製作時dockerfile中引用決定的)
6)查看宿主機上的掛載位置:(新增了一個*.db文件)
ls /data/docker_images
內容如下:(是一條sqlite的SQL語句)
7)在本地測試上傳一個鏡像:
#docker images (查看本地的鏡像文件)
#docker tag rancher/agent:v1.2.11 10.234.2.182:5000/rancher-agent:v1(對其中一個鏡像重命名)
一頓操作,完全失敗,無法上傳,報錯404
最終確診是由於docker 1.3版本以後默認已經支持到了registry v2 版本,而v2版本會涉及到https和鑑權,所以按照原來的路徑push的話始終無法完成上傳的動作;
v2版本的dir路徑:/var/lib/registry
v1版本的dir路徑:/tmp/registry
解決方法
或者docker降級,或者registry升級到v2版本,並且重新配置,v2版本相交於v1更加合理,但是配置也更加繁瑣
8)最終解決方式使用registry v2版本代替
docker run -d -p 5000:5000 --name registry registry:latest
9)上傳鏡像
docker push 132.232.204.252:5000/rancher-agent
客戶端和服務端上傳均會報錯,報錯信息:
The push refers to repository [132.232.204.252:5000/rancher-agent]
Get https://132.232.204.252:5000/v2/: http: server gave HTTP response to HTTPS client
大致意思就是客戶端用https的請求服務端返回了http的返回
因爲Docker從1.3.X之後,與docker registry交互默認使用的是https,然而此處搭建的私有倉庫只提供http服務,所以當與私有倉庫交互時就會報https錯誤。爲了解決這個問題需要在啓動docker server時增加啓動參數爲默認使用http訪問。
解決方法有兩種思路:
一、本地配置信任
修改docker.service文件中的start啓動項
路徑一般爲:/usr/lib/systemd/system/
vim /usr/lib/systemd/system/docker.service
ExexStart=/usr/bin/dockerd -H unix:// 在改行後增加需要信任的服務端地址
--insecure-registry 127.0.0.1:5000 --insecure-registry 132.232.204.252:5000
修改後需要重新加載deamon
重啓docker服務
#systemctl daemon-reload
#systemctl restart docker.service
查看docker info 修改前後對比增加了信任的註冊registries
再進行上傳即可成功
查看倉庫web中也新增了鏡像
二、在服務端配置nginx代理,增加證書
============================================================================
docker-registry版本發展
1、2013年3月13日
docker在github上有了第一個release[3]
2、2013年7月3日
docker在github上發佈了docker registry v1[4]
3、2015年1月30日
docker registry v2(項目名叫docker distribution)有了第一個release,同時停止更新docker registry v1[5]
4、2015年4月16日
docker發佈docker1.6,同時正式推廣docker registry v2
在使用docker registry v2的時候需要注意,只有docker1.6以上版本才支持registry v2,但是docker是向前兼容的,我們從源代碼裏可以看出,docker engine在下載鏡像的時候,會先判斷遠端倉庫是v1還是v2版,從而使用不同的下載策略,這個策略可太重要了
坑點:
1、docker的發展有兩部分,一是在2017年3月之前docker一直使用的版本命名方式是docker1.xx,這種方式的最後一個版本是docker1.13.1版本,在2017年3月,改用年分命名方式,第一版docker17.03,docker版本和redistry的結合部分在docker1.3版本發生一些變化,因爲registry v2版本的出現
2、registry 建議直接使用v2版本,0.9.1是最後一個v1版本,雖然docker有向前兼容性,但是registry的v1和v2項目是完全不同的兩個項目,並且不具有兼容性