registry拉取dockerhub私有鏡像

原創 Fishing_Fly 2020-02-21 03:05

registry拉取dockerhub私有鏡像

準備階段

目標是製作registry可用於加速dockerhub私有鏡像的加速器。

需要準備的工具:

1、registry鏡像,最新的就行

2、兩臺可通信的虛擬機(pc機就行)

測試項:

1、是否可以正常拉取dockerhub私有鏡像

2、私有鏡像保存在這樣的倉庫中是否安全(其他用戶是否也可以不經過認證獲取到私有鏡像)

基於以上的情況,開始搭建測試環境:

config.yml配置文件:

version: 0.1
log:
  fields:
    service: registry
storage:
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
http:
  addr: :5000
  headers:
    X-Content-Type-Options: [nosniff]
health:
  storagedriver:
    enabled: true
    interval: 10s
    threshold: 3
proxy:
  remoteurl: https://registry-1.docker.io
  username: ##填你Dockerhub的賬號##
  password: ##填你自己dockerhub密碼,沒有就去註冊一個##

Dockerfile

FROM registry:latest
LABEL maintainer="zhounanjun <[email protected]>"
COPY entrypoint.sh /entrypoint.sh
COPY config.yml /etc/docker/registry/config.yml

entrypoint.sh

#!/bin/sh
​
set -e
​
CONFIG_YML=/etc/docker/registry/config.yml
​
if [ -n "$PROXY_REMOTE_URL" -a `grep -c "$PROXY_REMOTE_URL" $CONFIG_YML` -eq 0 ]; then
    echo "proxy:" >> $CONFIG_YML
    echo "  remoteurl: $PROXY_REMOTE_URL" >> $CONFIG_YML
    echo "------ Enabled proxy to remote: $PROXY_REMOTE_URL ------"
elif [ $DELETE_ENABLED = true -a `grep -c "delete:" $CONFIG_YML` -eq 0 ]; then
    sed -i '/rootdirectory/a\  delete:' $CONFIG_YML
    sed -i '/delete/a\    enabled: true' $CONFIG_YML
    echo "------ Enabled local storage delete -----"
fi
case "$1" in
    *.yaml|*.yml) set -- registry serve "$@" ;;
    serve|garbage-collect|help|-*) set -- registry "$@" ;;
esac
​
exec "$@"
​

Makefile

VERSION ?= v1.0
​
image:
        docker build -t ecloud-cis/registry-mirror:${VERSION} .
run-test-registry:
        docker run -itd -p 7990:5000 -e PROXY_REMOTE_URL=https://registry-1.docker.io  --restart=always  --name registry-mirror-test-2 ecloud-cis/registry-mirror:${VERSION}
​

搭建測試環境

在你準備上面這些文件時,你就運行以下命令:

make image
make run-test-registry

就可以運行期一個用於緩存的registry

docker ps 看下運行起的容器:

在這裏插入圖片描述

docker logs -f registry-mirror-test-2 //查看剛起的regsitry的日誌

看到如下listen:5000字樣,那就是啓動成功了

在這裏插入圖片描述

到測試機上更改daemon.json,daemon.json文件一般在/etc/docker下,要是沒有就新建一個

改成如下:裏面的地址是你起的registry加速器的地址,

{
        "registry-mirrors": ["http://10.154.12.120:7990"]
}

運行: systemctl daemon-reload

systemctl restart docker

systemctl status docker 看下Dockers的狀態是不是running

然後運行docker system info //看下docker的信息:

Containers: 5
 Running: 4
 Paused: 0
 Stopped: 1
Images: 18
Server Version: 18.09.5
Storage Driver: overlay2
 Backing Filesystem: extfs
 Supports d_type: true
 Native Overlay Diff: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
 Volume: local
 Network: bridge host macvlan null overlay
 Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Init Binary: docker-init
containerd version: bb71b10fd8f58240ca47fbb579b9d1028eea7c84
runc version: 2b18fe1d885ee5083ef9f0838fee39b62d653e30
init version: fec3683
Security Options:
 seccomp
  Profile: default
Kernel Version: 4.14.78-300.el7.bclinux.x86_64
Operating System: BigCloud Enterprise Linux For LDK 7 (Core)
OSType: linux
Architecture: x86_64
CPUs: 8
Total Memory: 30.91GiB
Name: WXJD-PSC-T-VM-CIS-2
ID: APXY:N3RV:QXW7:5MIV:PJGH:VDHQ:CRRG:4FTK:CGGC:26PY:UUP4:2BHN
Docker Root Dir: /var/lib/docker
Debug Mode (client): false
Debug Mode (server): false
Username: turningfish
Registry: https://index.docker.io/v1/ ####要是加速器地址拉不到鏡像,就直接去dockerhub官方鏡像
Labels:
Experimental: false
Insecure Registries:
 127.0.0.0/8
Registry Mirrors:
 http://10.154.12.120:7990/   ####這裏是加速器地址,要是加速器地址拉不到鏡像它會自動去上面的registry拉鏡像
Live Restore Enabled: false
Product License: Community Engine

開始測試

上面順利部署完之後,開始測試:

docker pull fishingflt/private2:v1 //這是我的私有鏡像,你需要拉你的,拉我的你是拉不下來的

配置可以拉取私有鏡像的registry參考文章:https://docs.docker.com/registry/recipes/mirror/

如果remoteurl配置的是阿里雲或者azure的加速地址,那麼配置上去的username,password會被送去阿里雲和微軟雲認證。因爲賬號和密碼是Dockerhub的,所以認證失敗,你也拉不到你想要的鏡像。

在這裏插入圖片描述

將remoteurl改爲https://registry-1.docker.io後,即可正常拉取對象
在這裏插入圖片描述

看見沒,我們其實在拉取私有鏡像fishingfly/private2:v1時沒有要求我們去登錄dockerhub。因爲這一步是由registry幫你去做的,registry配置了dockerhub的用戶名和密碼,每次拉取私有鏡像時,registry會用配置好的用戶名和密碼進行登錄然後拉取私有鏡像。所以只要知道registry鏡像加速器地址的機器都能拉取fishingfly這個用戶的私有鏡像,這樣是不安全的。

順便測試下能不能正常拉取Dockerhub公共鏡像:

在這裏插入圖片描述

總結

  1. 配置緩存拉取私有鏡像,參見官方文檔:https://docs.docker.com/registry/recipes/mirror/
  2. remoteUrl當拉取私有鏡像時只能填中心倉庫地址,不能填阿里雲或者微軟加速器的地址。(測試所得結論)
  3. 使用dockerhub的url,配上username,pwd。(用戶A的密碼)。用戶A能從加速器拉dockerhub私有鏡像。用戶B不能從加速器拉自己的私有鏡像。同時用戶A的私有鏡像會被緩存在加速器本地,而且用戶A的私有鏡像能被所有能連到這個加速器的docker client所獲取,所以我猜測是regsitry直接讀取配置文件中的密碼去dockerhub驗證,驗證完通過後才能拉取對象,這就不管你docker login哪個用戶了,只要能連接加速器地址都能拉取用戶A的私有鏡像:
    在這裏插入圖片描述
  4. 圈出來就是fishingfly用戶的私有鏡像,被存在鏡像加速器裏,下次Pull可以很快被其他機器拉下來
Fishing_Fly
發佈了159 篇原創文章 · 獲贊 141 · 訪問量 26萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

使用skopeo同步鏡像

1. 介紹 如今大部分服務的交付都是通過鏡像進行交付的, 例如: 私有化部署場景, 需要將打好的鏡像放到客戶的CR(容器鏡像倉庫)中, 或者我們有多個環境(dev, test, staging, prod)每個環境因爲隔離都會保存一份鏡像用

原創 2024-06-13 11:54:45

安裝neuron,並簡單使用案例

安裝neuron,並簡單使用案例 一 獲取 Docker 鏡像 $ docker pull emqx/neuron:latest 二 啓動 Docker 容器 $ docker run -d --name neuron -p 7000:70

原創 2024-06-12 02:01:50

JeecgBoot與Jenkins集成發佈實用文檔

JeecgBoot作爲一個強大的低代碼開發平臺,結合Jenkins的自動化構建和部署能力,可以極大地提升開發團隊的效率和代碼發佈的可靠性。本文檔旨在指導如何將JeecgBoot項目集成到Jenkins中,實現從代碼提交到自動部署的一體化流程

原創 2024-06-12 01:12:54

雲原生週刊:Kubernetes 十週年 | 2024.6.11

開源項目推薦 Kubernetes Goat Kubernetes Goat 是一個故意設計成有漏洞的 Kubernetes 集羣環境,旨在通過交互式實踐場地來學習並練習 Kubernetes 安全性。 kube-state-metrics

原創 2024-06-11 23:16:00

超越預期:Containerd 如何成爲 Kubernetes 的首選容器運行時

> 作者:尹珉,KubeSphere Ambassado,rKubeSphere Contributor,KubeSphere 社區用戶委員會杭州站站長。 踏上 Containerd 技術之旅 容器技術已經成爲現代軟件開發和部署的核心工

原創 2024-06-06 23:16:14

https://login.docker.com/oauth/token block是幾個意思?

https://login.docker.com/oauth/token block是幾個意思? Resolving login.docker.com (login.docker.com)... 104.244.43.57, 2a03:28

原創 2024-06-06 22:43:29

重磅推出:Milvus Lite 正式上線,幾秒內即可輕鬆搭建 GenAI 應用

和超薄筆記本一樣輕便、強大的 Milvus Lite 正式上線! Milvus Lite(https://milvus.io/docs/milvus_lite.md)是一個輕量級向量數據庫,支持本地運行,可用於搭建 Python 應用,由

原創 2024-06-02 02:22:45

雲原生週刊:K8s 上的 gRPC 名稱解析和負載平衡

開源項目推薦 Kraken Kraken 是一個基於 P2P 的 Docker 註冊表,專注於可擴展性和可用性。它專爲混合雲環境中的 Docker 鏡像管理、複製和分發而設計。藉助可插拔的後端支持,Kraken 可以輕鬆集成到現有的 Doc

原創 2024-05-27 23:16:27

定時清理服務器上log文件,清理docker日誌文件

/var/spool/cron/root #00 18 * * * /usr/bin/curl https://www.xxxx.com/app/index.php?i=5\&c=entry\&do=printpreorder\&m=ca

原創 2024-05-25 10:45:40

Docker on Centos-docker-compose

1、查看網絡 docker network ls docker network inspect $container_name 2、docker-compose微服務庫擴容 前提:application.yml配置文件要做相應調整 dock

原創 2024-05-20 11:27:29

KubeKey v3.1 發佈:快速自定義離線安裝包

日前,KubeKey v3.1 正式發佈。該版本主要對離線場景部署、離線包製作以及向 Kubernetes v1.24+ 升級進行了優化。 KubeKey 簡介 KubeKey 是 KubeSphere 社區開源的一款高效集羣部署工具,運

原創 2024-05-17 23:16:50

win 環境下 docker 的使用整理

1、下載: https://www.docker.com/products/docker-desktop/   如果電腦分多個盤,建議下載到可用存儲較大的盤,安裝的時候默認安裝到 C 盤,安裝完成後雙擊啓動   如果出現【Docker

原創 2024-05-17 00:25:04

AI 一鍵生成高清短視頻,視頻 UP 主們捲起來...

現在短視頻越來越火,據統計,2023年全球短視頻用戶數量已達 10 億,預計到2027年將突破 24 億。對於產品展示和用戶營銷來說,短視頻已經成爲重要陣地,不管你喜不喜歡它,你都得面對它,學會使用它。 但是,優質短視頻的持續輸出對視頻創作

原創 2024-05-15 21:17:30

Docker 使用 CentOS 鏡像

使用 docker run 直接運行 CentOS 7 鏡像,並登錄 bash。   C:\Users\yhu>docker run -it centos:centos7 bash Unable to find image 'c

原創 2024-05-15 11:11:36

界面組件DevExpress Reporting v24.1預覽版 - 擁有原生Angular報表查看器

DevExpress Reporting是.NET Framework下功能完善的報表平臺,它附帶了易於使用的Visual Studio報表設計器和豐富的報表控件集,包括數據透視表、圖表,因此您可以構建無與倫比、信息清晰的報表。 下一個主要

原創 2024-05-14 12:21:34