Docker Private Registry

Docker Registry

网上有很多的Registry服务器都支持第三方用户注册,而后基于用户名去做自己的仓库,但是使用互联网上的Registry有一个缺陷,那就是我们去推送和下载镜像时都不会很快,而在生产环境中很可能并行启动的容器将达到几十、上百个,而且很有可能每个服务器本地是没有镜像的,此时如果通过互联网去下载镜像会有很多问题,比如下载速度会很慢、带宽会用很多等等,如果带宽不够的话,下载至启动这个过程可能要持续个几十分钟,这已然违背了使用容器会更加轻量、快速的初衷和目的。因此,很多时候我们很有可能需要去做自己的私有Registry

Registry用于保存docker镜像,包括镜像的层次结构和元数据。用户可以自建Registry,也可以使用官方的Docker Hub

Docker Registry分类:

  • Sponsor Registry:第三方的Registry,供客户和Docker社区使用
  • Mirror Registry:第三方的Registry,只让客户使用
  • Vendor Registry:由发布docker镜像的供应商提供的registry
  • Private Registry:通过设有防火墙和额外的安全层的私有实体提供的registry

事实上,如果运维的系统环境托管在云计算服务上,比如阿里云,那么用阿里云的Registry则是最好的选择。很多时候我们的生产环境不会在本地,而是托管在数据中心机房里,如果我们在数据中心机房里的某台主机上部署Registry,因为都在同一机房,所以属于同一局域网,此时数据传输走内网,效率会极大的提升。

所有的Registry默认情况下都是基于https工作的,这是Docker的基本要求,而我自建Registry时很可能是基于http工作的,但是Docker默认是拒绝使用http提供Registry服务的,除非明确的告诉它,我们就是要用http协议的Registry

Docker Private Registry

为了帮助我们快速创建私有Registry,Docker专门提供了一个名为Docker Distribution的软件包,我们可以通过安装这个软件包快速构建私有仓库。

问:既然Docker是为了运行程序的,Docker Distribution能否运行在容器中?

容器时代,任何程序都应该运行在容器中,除了Kernel和init。而为了能够做Docker Private Registry,Docker Hub官方直接把Registry做成了镜像,我们可以直接将其pull到本地并启动为容器即可快速实现私有Registry

Registry的主要作用是托管镜像,Registry运行在容器中,而容器自己的文件系统是随着容器的生命周期终止和删除而被删除的,所以当我们把Registry运行在容器中时,客户端上传了很多镜像,随着Registry容器的终止并删除,所有镜像都将化为乌有,因此这些镜像应该放在存储卷上,而且这个存储卷最好不要放在Docker主机本地,而应该放在一个网络共享存储上,比如NFS。不过,镜像文件自己定义的存储卷,还是一个放在Docker本地、Docker管理的卷,我们可以手动的将其改成使用其它文件系统的存储卷。

这就是使用容器来运行Registry的一种简单方式。自建Registry的另一种方式,就是直接安装docker-distribution软件。

使用docker-distribution自建Registry

在rh2上自建Registry

[root@rh2 ~]# dnf -y install http://mirror.centos.org/centos/7/extras/x86_64/Packages/docker-distribution-2.6.2-2.git48294d9.el7.x86_64.rpm			#安装

[root@rh2 ~]# vim /etc/docker-distribution/registry/config.yml 		#编辑配置文件

version: 0.1

log:

  fields:

    service: registry

storage:

    cache:

        layerinfo: inmemory

    filesystem:

        rootdirectory: /var/lib/registry		#根目录位置,可以自定义,这里默认不做更改

http:

    addr: :5000

[root@rh2 ~]# systemctl start docker-distribution.service 		#启动

[root@rh2 ~]# ss -tanl		#查看端口

State             Recv-Q            Send-Q                        Local Address:Port                         Peer Address:Port

LISTEN            0                 128                                 0.0.0.0:22                                0.0.0.0:*

LISTEN            0                 128                                       *:5000                                    *:*

LISTEN            0                 128                                    [::]:22                                   [::]:*

[root@rh2 ~]# systemctl stop firewalld.service 		#因为需要允许和rh1进行传输镜像,所以暂时关闭防火墙

在rh1上使用自建的Registry去上传镜像

[root@rh1 ~]# vim /etc/docker/daemon.json 

{

"registry-mirrors": ["https://rpnfe8c5.mirror.aliyuncs.com"],

"insecure-registries": ["192.168.244.121:5000"]			#这里的IP和端口为rh2的IP和Registry服务开放的端口

}

[root@rh1 ~]# systemctl daemon-reload 		#重新加载配置文件

[root@rh1 ~]# systemctl restart docker.service 		#重启docker服务

[root@rh1 ~]# docker images		#查看当前所拥有的镜像

REPOSITORY         TAG       IMAGE ID       CREATED         SIZE

busybox            latest    beae173ccac6   7 months ago    1.24MB

[root@rh1 ~]# docker tag busybox:latest 192.168.244.121:5000/busybox:v1		#给需要上传的镜像打上标签

[root@rh1 ~]# docker push 192.168.244.121:5000/busybox:v1 		#上传该镜像

The push refers to repository [192.168.244.121:5000/busybox]

01fd6df81c8e: Pushed

v1: digest: sha256:62ffc2ed7554e4c6d360bce40bbcf196573dd27c4ce080641a2c59867e732dee size: 527

使用官方镜像自建Registry

在rh2上使用官方镜像自建Registry

[root@rh2 ~]# systemctl stop docker-distribution.service 		#关掉先前的服务,让5000端口不被占用

[root@rh2 ~]# docker pull registry		#拉取registry镜像

Using default tag: latest

latest: Pulling from library/registry

213ec9aee27d: Pull complete

5299e6f78605: Pull complete

4c2fb79b7ce6: Pull complete

74a97d2d84d9: Pull complete

44c4c74a95e4: Pull complete

Digest: sha256:83bb78d7b28f1ac99c68133af32c93e9a1c149bcd3cb6e683a3ee56e312f1c96

Status: Downloaded newer image for registry:latest

docker.io/library/registry:latest

[root@rh2 ~]# docker images

REPOSITORY     TAG       IMAGE ID       CREATED         SIZE

registry       latest    3a0f7b0a13ef   33 hours ago    24.1MB

[root@rh2 ~]# vim /etc/docker/daemon.json

{

"insecure-registries": ["192.168.244.120:5000"]			#同样的,添加这一行配置文件

}

[root@rh2 ~]# ss -tanl		#查看5000端口是否开启

State             Recv-Q            Send-Q                        Local Address:Port                         Peer Address:Port

LISTEN            0                 128                                 0.0.0.0:5000                              0.0.0.0:*

LISTEN            0                 128                                 0.0.0.0:22                                0.0.0.0:*

LISTEN            0                 128                                    [::]:5000                                 [::]:*

LISTEN            0                 128                                    [::]:22                                   [::]:*

在rh1上上传镜像

[root@rh1 ~]# docker tag busybox:latest 192.168.244.121:5000/abc:v1		#先打上标签

[root@rh1 ~]# docker push 192.168.244.121:5000/abc:v1 		#再进行上传

The push refers to repository [192.168.244.121:5000/abc]

01fd6df81c8e: Pushed

v1: digest: sha256:62ffc2ed7554e4c6d360bce40bbcf196573dd27c4ce080641a2c59867e732dee size: 527

[root@rh1 ~]# curl http://192.168.244.121:5000/v2/_catalog		#查看rh2上私有仓库镜像

{"repositories":["abc"]}

[root@rh1 ~]# curl http://192.168.244.121:5000/v2/abc/tags/list		#查看该镜像版本

{"name":"abc","tags":["v1"]}

Harbor

无论是使用Docker-distribution去自建仓库,还是通过官方镜像跑容器的方式去自建仓库,通过前面的演示我们可以发现其是非常的简陋的,还不如直接使用官方的Docker Hub去管理镜像来得方便,至少官方的Docker Hub能够通过web界面来管理镜像,还能在web界面执行搜索,还能基于Dockerfile利用Webhooks和Automated Builds实现自动构建镜像的功能,用户不需要在本地执行docker build,而是把所有build上下文的文件作为一个仓库推送到github上,让Docker Hub可以从github上去pull这些文件来完成自动构建。

但无论官方的Docker Hub有多强大,它毕竟是在国外,所以速度是最大的瓶颈,我们很多时候是不可能去考虑使用官方的仓库的,但是上面说的两种自建仓库方式又十分简陋,不便管理,所以后来就出现了一个被 CNCF 组织青睐的项目,其名为Harbor。

Harbor简介

Harbor是由VMWare在Docker Registry的基础之上进行了二次封装,加进去了很多额外程序,而且提供了一个非常漂亮的web界面。

‎Project Harbor 是一个开源的可信云原生注册表项目,用于存储、签名和扫描上下文。‎

‎Harbor 通过添加用户通常需要的功能(如安全性、身份和管理)来扩展开源 Docker 分发版。‎

‎Harbor 支持高级功能,例如用户管理、访问控制、活动监控和实例间复制。‎

Harbor的功能

Feathers:

  • ‎多用户内容签名和验证‎
  • ‎安全性和漏洞分析‎
  • ‎审核日志记录‎
  • ‎身份集成和基于角色的访问控制‎
  • ‎实例之间的镜像复制‎
  • ‎可扩展的 API 和图形用户界面‎
  • ‎国际化(现为英文和中文)‎

Docker compose

Harbor在物理机上部署是非常难的,而为了简化Harbor的应用,Harbor官方直接把Harbor做成了在容器中运行的应用,而且这个容器在Harbor中依赖类似redis、mysql、pgsql等很多存储系统,所以它需要编排很多容器协同起来工作,因此VMWare Harbor在部署和使用时,需要借助于Docker的单机编排工具(Docker compose)来实现。

‎Compose 是用于定义和运行多容器 Docker 应用程序的工具。使用 Compose,您可以使用 YAML 文件来配置应用程序的服务。然后,使用单个命令,从配置中创建并启动所有服务。‎

Docker Compose官方文档

Harbor部署

Harbor官方文档

[root@rh1 ~]# curl -SL https://github.com/docker/compose/releases/download/v2.7.0/docker-compose-linux-x86_64 -o /usr/local/bin/docker-compose		#下载docker-compose到指定目录下

[root@rh1 ~]# cd /usr/local/bin/

[root@rh1 bin]# ls

docker-compose

[root@rh1 bin]# chmod +x docker-compose 		#没有执行权限要添加执行权限

[root@rh1 bin]# which docker-compose

/usr/local/bin/docker-compose

[root@rh1 bin]# docker-compose -v		#查看版本,确认无误

Docker Compose version v2.7.0

[root@rh1 ~]# wget https://github.com/goharbor/harbor/releases/download/v2.4.3/harbor-offline-installer-v2.4.3.tgz		#下载harbor包

[root@rh1 ~]# ls		#查看是否下载成功

harbor-offline-installer-v2.4.3.tgz

[root@rh1 ~]# tar -xf harbor-offline-installer-v2.4.3.tgz -C /usr/local/		#解压到指定目录

[root@rh1 ~]# ls /usr/local/		#查看是否有harbor目录

bin  etc  games  harbor  include  lib  lib64  libexec  sbin  share  src

[root@rh1 ~]# cd /usr/local/harbor/

[root@rh1 harbor]# ls

common.sh  harbor.v2.4.3.tar.gz  harbor.yml.tmpl  install.sh  LICENSE  prepare

[root@rh1 harbor]# mv harbor.yml.tmpl harbor.yml		#将模板文件重命名

[root@rh1 harbor]# vim harbor.yml		#编辑配置文件

***

hostname: 192.168.244.120

***

# https related config

#https:

  # https port for harbor, default is 443		#因为我们使用的是私有仓库,无需连接公网,所以注释掉https相关配置

  #port: 443

  # The path of cert and key files for nginx

  #certificate: /your/certificate/path

  #private_key: /your/private/key/path

*****

  harbor_admin_password: Harbor12345		#此行为管理员admin默认密码

[root@rh1 ~]# cd /etc/docker/

[root@rh1 docker]# vim daemon.json 

{

"registry-mirrors": ["https://rpnfe8c5.mirror.aliyuncs.com"],

"insecure-registries": ["192.168.244.120"]		#主机及时修改回本机ip

}

[root@rh1 docker]# systemctl daemon-reload

[root@rh1 ~]# cd /usr/local/harbor/

[root@rh1 harbor]# ./install.sh 		#启动服务

******

[Step 5]: starting Harbor ...

[+] Running 10/10

 ⠿ Network harbor_harbor        Created                                                                                             1.0s

 ⠿ Container harbor-log         Started                                                                                             1.1s

 ⠿ Container harbor-portal      Started                                                                                             3.2s

 ⠿ Container redis              Started                                                                                             2.7s

 ⠿ Container registryctl        Started                                                                                             3.0s

 ⠿ Container harbor-db          Started                                                                                             3.2s

 ⠿ Container registry           Started                                                                                             3.2s

 ⠿ Container harbor-core        Started                                                                                             3.8s

 ⠿ Container nginx              Started                                                                                             5.1s

 ⠿ Container harbor-jobservice  Started                                                                                             5.0s

 ----Harbor has been installed and started successfully.----

设置开机重启

[root@rh1 ~]# cd /usr/local/harbor/

[root@rh1 harbor]# vim starthb.sh		#编辑重启脚本

#! /bin/bash

cd /usr/local/harbor

/usr/local/bin/docker-compose stop

/usr/local/bin/docker-compose start

[root@rh1 harbor]# chmod +x starthb.sh 		#为该脚本添加执行权限

[root@rh1 harbor]# ll starthb.sh

-rwxr-xr-x. 1 root root 105 8月  11 09:44 starthb.sh

[root@rh1 harbor]# vim /etc/rc.d/rc.local 		#在该配置文件中插入使用的shell和脚本路径

/bin/bash /usr/local/harbor/starthb.sh

[root@rh1 ~]# cd /etc/rc.d/

[root@rh1 rc.d]# chmod +x rc.local		#为改文件添加执行权限

[root@rh1 ~]# reboot			#重启测试

[root@rh1 ~]# docker ps | wc -l		#查看是否自动启动所有容器

10

测试:

使用admin账户登录

创建用户

使用Harbor的注意事项:

  1. 在客户端上传镜像时一定要记得执行docker login进行用户认证,否则无法直接push
  2. 在客户端使用的时候如果不是用的https则必须要在客户端的/etc/docker/daemon.json配置文件中配置insecure-registries参数
  3. 数据存放路径应在配置文件中配置到一个容量比较充足的共享存储中
  4. Harbor是使用docker-compose命令来管理的,如果需要停止Harbor也应用docker-compose stop来停止,其他参数请--help

Docker Private Registry的更多相关文章

  1. Docker Private Registry 常用组件

    Docker Private Registry 常用组件 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.Docker Registry概述 1>.什么是registry ...

  2. 基于IP的docker private registry 私有仓库的搭建

    鉴于国内的网络环境,如果公司内部大量使用docker,镜像上传下载将是个非常耗时的工作,搭建一个私有仓库可以很好的解决自有镜像的存储,如果你在私有网络,不能使用域名的话,那么本文可以作为一个很好的例子 ...

  3. docker private registry使用

    一.搭建harbor: 步骤:略 二.命令行操作: 登录:docker login docker01 tag image: tag 一个 image,名称一定要标准( registryAddress[ ...

  4. Docker学习记录3: 搭建 Private Registry

    恩, Private Registry 特别好搭建, 只要依照官方文档, 很容易安装... https://docs.docker.com/registry/deploying/ 5000是个常用的端 ...

  5. Docker部署Registry私有镜像库

    拉取镜像 docker pull registry:2.6.2   生成账号密码文件,这里采用htpasswd方式认证 docker run --rm --entrypoint htpasswd re ...

  6. Docker 利用registry创建私有仓库

    一.Docker-registry镜像 下载地址 官方镜像下载比较慢,因为人品问题一直下载不成功,所以选择了国内的镜像. daocloud:   https://hub.daocloud.io/ 还有 ...

  7. 基于Harbor和CephFS搭建高可用Private Registry

    我们有给客户搭建私有容器仓库的需求.开源的私有容器registry可供选择的不多,除了docker官方的distribution之外,比较知名的是VMware China出品的Harbor,我们选择了 ...

  8. 7.docker私有registry

    一.Docker Registry分类 Registry用于保存docker镜像,包括镜像的层次结构和元数据.都是基于https或者http工作的. 用户可自建Registry,也可使用官方的Dock ...

  9. docker简单介绍---部署私有docker仓库Registry

    1. 关于Registry 官方的Docker hub是一个用于管理公共镜像的好地方,我们可以在上面找到我们想要的镜像,也可以把我们自己的镜像推送上去.但是,有时候,我们的使用场景需要我们拥有一个私有 ...

随机推荐

  1. 移动web开发02

    虽然视口很多,但是我们只用一个.就是理想视口. 单标签. 原本是高宽都300的.后来变成移动端后没有变成300/750,也不是300/1334.而是占据了一大半(300/375).甚至375就满屏了. ...

  2. Odoo4 tree视图左上角新增Button

    # 一.直接在tree根元素中新增.这种有个限制就是必须要勾选一或多条记录的时候按钮才会显示 <tree> <header> <button type="obj ...

  3. C#爬虫之通过Selenium获取浏览器请求响应结果

    前言 在进行某些爬虫任务的时候,我们经常会遇到仅用Http协议难以攻破的情况,比如协议中带有加密参数,破解需要花费大量时间,那这时候就会用Selenium去模拟浏览器进行页面上的元素抓取 大多数情况下 ...

  4. CentOS7桥接模式上不了外网的配置

    电脑VM10装了CentOS7后用NAT模式可以上网,但我想要的是桥接模式,因为我要用Xshell5进行远程访问.所以要 ifconfig 找到ip .那么为什么桥接模式上不了外网呢? 首先参考了 h ...

  5. 项目操作案例丨西门子PLC通过网关连接ACS800变频器

    本案例控制对象为炉条机.以及蒸汽的控制以及现场数据参数的显示以及报警. PLC 选用西门子 CPU,通过 ET200 IO 模块控制现场设备并监控数据.变频器采用ABB ACS800变频器,将ABB ...

  6. Spring提供的API实现文件上传

    Spring为我们提供了文件上传接口MultipartRequest及其实现类StandardMultipartFile StandardMultipartFile是StandardMultipart ...

  7. 一文理解Hadoop分布式存储和计算框架入门基础

    @ 目录 概述 定义 发展历史 发行版本 优势 生态项目 架构 组成模块 HDFS架构 YARN架构 部署 部署规划 前置条件 部署步骤 下载文件(三台都执行) 创建目录(三台都执行) 配置环境变量( ...

  8. Express 使用 Cookie

    在使用 Cookie 之前,需要给 Express 加载中间件,cookie-parser: npm i cookie-parser Express 使用中间件: import express fro ...

  9. linux下用docker安装redis

    docker安装redis方法: 1.用命令来查看可用版本: docker search redis 2.拉取官方的最新版本的镜像:docker pull redis:latest 3.查看镜像:do ...

  10. 刷题记录:LC1997-访问完所有房间的第一天

    LC1997-访问完所有房间的第一天 题意 这里有 n 个房间,从 0 到 n-1 编号. 你每天访问一个房间,第 0 天访问第 0 号房间. 接下来,你访问房间的[次序]将根据下面的[规则]决定: ...