docker私有仓库搭建_好文资源

http://xiaorenwutest.blog.51cto.com

docker中部署私有仓库

前言：

在docker中如果要使用镜像必须从本地或者从docker Hup公共仓库中下载镜像，但是如果需要的镜像本地没有；另外公共仓库中的镜像或许会有我们需要的镜像，但是出于安全的考虑也不会使用。那么有没有一种办法可以存储自己的镜像的仓库呢？就是搭建自己的私有仓库。

注：搭建自己的私有仓库在生产环境中需要CA服务器，另外我们需要一个开发云主机域名nginx进行反向代理，在使用CA服务器进行连接的时候是通过https协议进行加密传输的，所以需要安装openssl包裹。

实验环境：

两台Linux主机，一台服务器ip192.168.65.128，另外一台为客户端IP192.168.65.129

说明:docker.benet.com 这是dock开发云主机域名er registry服务器的主机名称，ip是192.168.65.128;因为https的SSL证书要用到主机名，所以要设置主机名。dockerregistry 服务器作为处理docker镜像的最终上传和下活动：慈云数据爆款香港服务器，CTG+CN2高速带宽、快速稳定、平均延迟10+ms 速度快，免备案，每月仅需19元！！点击查看载，用的是官方的镜像registry。nginx 1.6.x 是一个用nginx作为反向代理服务器注：关闭selinux1）私有仓库https支持：A)安装依赖软件包：

1：首先安装docker环境，将docker设置为启动

添加系统服务和启动docker服务

(1) 编辑/etc/hosts,把docker.benet.com的ip地址添加进来,例如:主机名、ip地址：

(2) 生成根密钥先把/etc/pki/CA/cacert.pem

/etc/pki/CA/index.txt

/etc/pki/CA/index.txt.attr

/etc/pki/CA/index.txt.old

/etc/pki/CA/serial

/etc/pki/CA/serial.old删除掉!

如果没有则不用删除，另外在初始安装CA的时候不用删除

(3) 生成根证书执行如下图：会提示输入一些内容，因为是私有的，所以可以随便输入，最好记住能与后面保持一致,特别是“Common Name”。必须要和hostname显示的一致。自签证书cacert.pem应该生成在/etc/pki/CA下。

(4) 为nginx web服务器生成ssl密钥#mkdir /etc/pki/CA/ssl#cd /etc/pki/CA/ssl

接下来为nginx生成秘钥

注：因为CA中心与要申请证书的nginx服务器是同一个所以就在本机上执行为nginx服务器生成ssl密钥了，否则应该是在另一台需要用到证书的服务器上生成。

查看nginx服务器的密钥

(5) 为nginx生成证书签署请求执行

同样会提示输入一些内容，Commone Name一定要是你要授予证书的服务器域名或主机名，challenge password不填。(6) 私有CA根据请求来签发证书

执行opensslca-innginx.csr-outnginx.crt输出内容：nginx的证书信息

同样会提示输入一些内容，选择y就可以了!查看nginx的证书

查看生成的证书

安装,配置,运行nginx(1) 添加组和用户

编译,安装nginx:

–user=USER 设定程序运行的用户环境(www)

–group=GROUP 设定程序运行的组环境(www)–prefix=PATH 设定安装目录–with-pcre启用pcre库，Nginx的Rewrite模块和HTTP核心模块会使用到PCRE正则表达式–with-http_stub_status_module是为了启用nginx的NginxStatus功能，用来监控Nginx的当前状态–with-http_ssl_module 开启SSL模块，支持使用HTTPS协议的网页–with-http_realip_module 开启Real IP的支持，该模块用于从客户请求的头数据中读取Real Ip地址–with-http_addition_module 开启Addtion模块，该模块允许你追加或前置数据到相应的主体部分–with-http_flv_module模块ngx_http_flv_module为Flash Video(FLV)文件提供服务端伪流媒体支持

编辑nginx配置文件

语法检测：是否ok

启动nginx另外查看是否为443端口使用https协议

2）配置,运行Docker(1) 停止docker

(2)编辑/etc/sysconfig/docker文件,加上如下一行DOCKER_OPTS=”–insec开发云主机域名ure-registrydocker.benet.com–tlsverify–tlscacert/etc/pki/CA/cacert.pem”(3) 把根证书复制到/etc/docker/certs.d/docker.yy.com/目录下mkdir-p/etc/docker/certs.d/docker.benet.comcp/etc/pki/CA/cacert.pem/etc/docker/certs.d/docker.benet.com/ca-certificates.crt(4) 启动docker

3）运行私有仓库容器运行registry 镜像来搭建私有仓库，通过官方获得

例如将目录/opt/data/registry作为私有仓库的位置

运行私有仓库容器

可以通过 -v 参数来将镜像文件存放在本地的指定路径。例如上面的例子将上传的镜像放到 /opt/data/registry 目录。-p（小写的）用于将容器的5000端口映射宿主机的5000端口。4）验证registry:curl -i -k https://docker.benet.com

Docker客户端配置(1)编辑/etc/hosts,把docker.benet.com的ip地址添加进来

(2)把docker registry服务器端的根证书追加到ca-certificates.crt文件里先从docker registry服务器端把文件/etc/pki/CA/cacert.pem拷贝到本机,然后执行命令:cat ./cacert.pem>> /etc/pki/tls/certs/ca-certificates.crt

(3) 验证docker.benet.com下的registry:

注：此项工作之前先将防火墙关闭再或者将5000端口和443端口放行，否则防火墙禁止通行

(4) 使用私有registry步骤:

可以通过docker login命令登录交互式系统输入用户名和密码；或者也可以通过

登录: docker login -u lxftest-p pwd123 -e “lxf@benet.com” https://docker.benet.com实现从Docker HUB 上拉取一个镜像测试，为基础镜像打个标签:docker tag centos:centos6 docker.benet.com/centos:centos6发布:上传镜像到本地私有仓库上传命令 docker push 加完整的镜像docker push docker.benet.com/centos:centos6从私有仓库pull下来p_w_picpath，查看p_w_picpath下载命令 docker pull 加完整的镜像名在服务器端的私有仓库：查看私有仓库是否有对应的镜像

私有仓库的优缺点：

弊端:server端可以login到官方的Docker Hub,可以pull,push官方和私有仓库!

client端只能操作搭设好的私有仓库!

私有仓库不能search!优点:所有的build,pull,push操作只能在私有仓库的server端操作,降低企业风险!