前言:
docker三要素之一的仓库是比较重要的一个概念,那么,如何快速的搭建一个简单易用的私人本地仓库呢?注意了,这里的私人本地仓库不是指的的那些重型的比如harbor这样的企业级的本地私人仓库,主要是重型仓库部署使用起来并不简单和快速,背离了我们的初衷嘛 ,对吧。
那么,本文打算探讨一种快速的搭建本地私人docker仓库,该仓库功能比较简单(说人话就是简易代表功能少,哈哈哈),并且有一定的安全性,主要是有证书验证,说人话就是开启https验证。
部署前的规划:
两台服务器,IP地址分别为192.168.217.16和192.168.217.17,操作系统是centos7。两个服务器都安装有docker环境,计划是16服务器安装本地私人仓库服务端,1服务器做客户端,将17服务器的镜像传送到16服务器上。
正式部署:
一,相关镜像下载 :
docker pull registry.cn-beijing.aliyuncs.com/google_registry/registry:2.4.1 docker pull registry.cn-beijing.aliyuncs.com/google_registry/docker-registry-web:latest
运行镜像(有挂载volume,这样别的服务器使用这个私有仓库,上传的镜像才会直接到本机服务器内的var/lib/registry这个路径下,否则,该容器重启,上传的镜像就没有啦,这里一定要仔细思考并理解哦,才会明白volume到底是有什么用处):
建立两个挂载点,一个是挂载本地仓容器得数据到本地,一个是本地仓库容器得配置文件:
mkdir -p /opt/registry/{data,conf}
编辑这个文件,文件内容如下,一会此文件要挂载到容器内
[root@slave1 data]# cat /opt/registry/conf/config.yml version: 0.1 log: fields: service: registry storage: cache: blobdescriptor: inmemory filesystem: rootdirectory: /var/lib/registry http: addr: :5000 headers: X-Content-Type-Options: [nosniff] health: storagedriver: enabled: true interval: 10s threshold: 4
是在192.168.217.16这个服务器上启动的镜像哦,记住这个IP,后面会用到 ,启动容器得命令:
docker run -d -p 5000:5000 \ -v /opt/registry/data:/var/lib/registry \ -v /opt/registry/conf/config.yml:/etc/docker/registry/config.yml \ --name localregistry registry.cn-beijing.aliyuncs.com/google_registry/registry:2.4.1
在16服务器上,镜像启动成功后,可以看到5000端口已经开放:
[root@k8s-master ~]# netstat -antup |grep 5000 tcp6 0 0 :::5000 :::* LISTEN 13073/docker-proxy
这样的方式启动的本地仓库已经可以使用了,现在只是差两个步骤
(1)告诉docker的客户端要使用哪个仓库
这一步是编辑docker的配置文件 /etc/docker/daemo.json (通常是这个文件),例如,在192.168.217.17这个服务器上配置如下(主要是添加这个:"insecure-registries": ["192.168.217.16:5000"], ):
cat /etc/docker/daemon.json { "registry-mirrors": ["http://bc437cce.m.daocloud.io"], "exec-opts":["native.cgroupdriver=systemd"], "insecure-registries": ["192.168.217.17:5000"], "log-driver": "json-file", "log-opts": { "max-size": "100m" }, "storage-driver": "overlay2" }
为什么是定义的5000端口呢?因为该镜像告诉我们这么定义的,证据如下:
[root@slave1 ~]# docker history registry.cn-beijing.aliyuncs.com/google_registry/registry:2.4.1 IMAGE CREATED CREATED BY SIZE COMMENT 8ff6a4aae657 6 years ago /bin/sh -c #(nop) CMD ["serve" "/etc/docker/… 0B <missing> 6 years ago /bin/sh -c #(nop) ENTRYPOINT &{["/bin/regist… 0B <missing> 6 years ago /bin/sh -c #(nop) EXPOSE 5000/tcp 0B <missing> 6 years ago /bin/sh -c #(nop) VOLUME [/var/lib/registry] 0B <missing> 6 years ago /bin/sh -c #(nop) COPY file:ebd8cc424c954b92… 315B <missing> 6 years ago /bin/sh -c #(nop) COPY file:e46a815cdda044c6… 26.1MB <missing> 6 years ago /bin/sh -c apt-get update && apt-get ins… 20.4MB <missing> 6 years ago /bin/sh -c #(nop) CMD ["/bin/bash"] 0B <missing> 6 years ago /bin/sh -c #(nop) ADD file:76679eeb94129df23… 125MB
然后重启docker服务:
systemctl daemon-reload && systemctl restart docker
(2)
在17服务器上修改镜像的名称,给镜像打上本地仓库标签,就以前面的镜像registry.cn-beijing.aliyuncs.com/google_registry/docker-registry-web为例,打上16服务器的本地仓库标签吧:
没打标签前:
[root@master ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE registry.cn-beijing.aliyuncs.com/google_registry/docker-registry-web latest 0db5683824d8 5 years ago 599MB registry.cn-beijing.aliyuncs.com/google_registry/registry 2.4.1 8ff6a4aae657 6 years ago 172MB
打标签后,修改成了192.168.217.16:5000/registry(在17服务器上修改tag):
[root@slave2 ~]# docker tag registry.cn-beijing.aliyuncs.com/google_registry/docker-registry-web 192.168.217.16:5000/registry-web [root@master ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE 192.168.217.16:5000/registry-web latest 0db5683824d8 5 years ago 599MB registry.cn-beijing.aliyuncs.com/google_registry/docker-registry-web latest 0db5683824d8 5 years ago 599MB registry.cn-beijing.aliyuncs.com/google_registry/registry 2.4.1 8ff6a4aae657 6 years ago 172MB
可以将17服务器上的这个registry-web上传到16服务器上啦,根据前面打的仓库标签,表示它要上传到的是一个私人仓库:
[root@master ~]# docker push 192.168.217.16:5000/registry-web The push refers to repository [192.168.217.16:5000/registry-web] 8779b4998d0c: Pushed 9eb22ef427e2: Pushed 64d1c65ea33e: Pushed d6c3b0e63834: Pushed 1315f14832fa: Pushed d16096ccf0bb: Pushed 463a4bd8f8c1: Pushed be44224e76b9: Pushed d96a8038b794: Pushed f469fc28e82e: Pushed 8418a42306ef: Pushed 03457c5158e2: Pushed 7ef05f1204ee: Pushed f7049feabf0b: Pushed 5ee52271b8b7: Pushed 8b1153b14d3a: Pushed 367b9c52c931: Pushed 3567b2f05514: Pushed 292a66992f77: Pushed 641fcd2417bc: Pushed 78ff13900d61: Pushed latest: digest: sha256:2c4f88572e1626792d3ceba6a5ee3ea99f1c3baee2a0e8aad56f0e7c3a6bf481 size: 4695
查询私有仓库内有哪些镜像:
[root@master ~]# curl 192.168.217.16:5000/v2/_catalog {"repositories":["registry-web"]}
查询这个镜像的版本号(是latest):
[root@master ~]# curl 192.168.217.16:5000/v2/registry-web/tags/list {"name":"registry-web","tags":["latest"]}
在18服务器上注册一哈本地仓库:
vim /etc/docker/daemon.json
添加"insecure-registries": ["192.168.217.16:5000"],
在18服务器上pull这个nginx:
[root@k8s-node2 ~]# docker pull 192.168.217.16:5000/nginx Using default tag: latest latest: Pulling from nginx Digest: sha256:9b0fc8e09ae1abb0144ce57018fc1e13d23abd108540f135dc83c0ed661081cf Status: Downloaded newer image for 192.168.217.16:5000/nginx:latest 192.168.217.16:5000/nginx:latest
OK,就这么一个简单到极致的本地docker镜像仓库就搭建好了,镜像上传到到了16服务器上,我们前面建立的那个目录/opt/registry/data/docker/registry/v2/repositories下了:
[root@master ~]# cd /opt/registry/data/docker/registry/v2/ [root@master v2]# ls blobs repositories
那么,这么一个本地镜像仓库有问题吗?有,主要是关于安全方面的,实在是不安全啊。下面就来说一说安全方面的提升问题。