Docker Registry 是一个支持共享 Docker 镜像的服务器端应用程序。公共注册表托管在 Docker 中心。如果由于公司政策、防火墙限制等而无法访问公共托管注册表,您可以部署私有注册表。注册表代码是开源的,可根据 Apache License 获得。请注意,私有注册表没有像公共托管注册表一样的 Web 用户界面。私有注册表是一个应用程序,会提供注册表 API 供 Docker 引擎处理镜像。
可用性
您可以在以下地址获取最新的 Docker 注册表(2.x 版)的源代码:https://github.com/docker/distribution。
- 在面向 Intel 服务器和 PowerPC 服务器的 RHEL 和 Fedora 上,2.x 版注册表包名为 docker-distribution。
- 在面向 Intel 和 PowerPC 服务器的 Ubuntu 上,2.x 版注册表包名为 docker-registry。
下表列出了针对 PowerPC LE (ppc64le) 平台的相关包的位置。
将 Docker 私有注册表包安装在 RHEL LE 上
针对 RHEL 7.1 LE 预先编译的 Docker 和 Docker 注册表(2.1 版)的程序包可从 University of Campinas (unicamp) 存储库获得 (ftp://ftp.unicamp.br/pub/linuxpatch/docker-ppc64/)。请注意,这些程序包是按原样提供的。
- 使用以下命令,将 unicamp 存储库添加到您的系统中:
# cat > /etc/yum.repos.d/unicamp-docker.repo <<EOF[unicamp-docker]name=Unicamp Repo for docker Packagesbaseurl=http://ftp.unicamp.br/pub/ppc64el/rhel/7_1/docker-ppc64el/enabled=1gpgcheck=0EOF - 安装程序包:
# yum install -y docker-distribution
在其他 Linux 发行版上安装 Docker 私有注册表包的说明
- 在 Fedora for OpenPower 服务器上,2.x 版的注册表包名为 docker-distribution。
- 在面向 OpenPower 的 Ubuntu 上,2.x 版的注册表包名为 docker-registry。
安装您的发行版的对应程序包;无论采用什么样的发行版或服务器,剩余指令都是相同的。
配置存储
下载和安装 Docker 注册表包后,您需要为镜像配置存储位置。
- 创建一个目录来存储镜像。无论是在本地磁盘还是在外部磁盘上,都可以在指定服务器上的任何挂载点上创建该目录。在此示例中,/data/ 是磁盘上一个用于存储 Docker 镜像的单独分区。
# mkdir /data/registry_data - 使用
htpasswd命令创建 HTTP 访问控制文件。以下命令将会安装 httpd-tools 包(其中包含 htpasswd 工具),并为用户 regimguser 创建一个文件 registry_passwd。根据您的需求来替换文件名和用户名。选项 -B 用于对密码执行 bcrypt 加密。# yum install -y httpd-tools# htpasswd -Bc /etc/registry/registry_passwd regimguser
请注意,在基于 RHEL 的系统上,htpasswd 包含在httpd-tools包中,在基于 Ubuntu 的系统上,它包含在apache2-utils中。
创建注册表配置文件
以下各小节将介绍如何创建注册表配置文件。
- 创建一个使用 TLS 保护注册表的证书,并将它复制到所有 Docker 主机。确保在生成证书时使用了注册表 FQDN 作为 CN。
# mkdir /certs/# openssl req -newkey rsa:4096 -nodes -sha256 -keyout /certs/domain.key -x509 -days 365 -out /certs/domain.crtGenerating a 4096 bit RSA private key..........................................................................................++[snip] - 将证书复制到所有 Docker 主机,将它放在特定的路径下,如下所示:
# mkdir -p /etc/docker/certs.d/registry.kube.com:5000/# cp domain.crt /etc/docker/certs.d/registry.kube.com:5000/ca.crt - 在操作系统级别上信任该证书并更新 CA 列表。不同 Linux 发行版的指令也会有所不同。
- 在 RHEL 和 Fedora 上,运行以下命令:
# cp domain.crt /etc/pki/ca-trust/source/anchors/registry.kube.com.crt# update-ca-trust - 在 Ubuntu 上,运行以下命令:
# cp domain.crt /usr/local/share/ca-certificates/registry.kube.com.crt# update-ca-certificates
- 在 RHEL 和 Fedora 上,运行以下命令:
- 重新启动 Docker 守护进程:
# service docker restart
启动注册表服务器
使用以下命令行启动注册表服务器:
# REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt
REGISTRY_HTTP_TLS_KEY=/certs/domain.key screen -dmS registry registry /etc/registry/config.yml
|
REGISTRY_HTTP_TLS_CERTIFICATE 和 REGISTRY_HTTP_TLS_KEY 也可在注册表配置文件中指定。私有注册表的默认配置文件可在 /etc/registry/config.yml 中找到。关于可用配置选项的细节可在以下位置找到:https://docs.docker.com/registry/configuration/
以下是一段示例配置:
# cat /etc/registry/config.yml
version: 0.1
storage:
filesystem:
rootdirectory: /data/registry_data
delete:
enabled: true
http:
addr: registry.kube.com:5000
host: https://registry.kube.com:5000
tls:
certificate: /certs/domain.crt
key: /certs/domain.key
auth:
htpasswd:
realm: basic-realm
path: /etc/registry/registry_passwd
|
运行以下命令来启动注册表服务器:
# screen -dmS registry registry /etc/registry/config.yml
|
验证对注册表服务器的访问
从任何 Docker 主机,确认您可以登录到注册表服务器。使用通过 htpasswd 工具创建的 userid 和密码。
# docker login https://registry.kube.com:5000
|
您现在已完成设置,可以在您的环境中使用 Docker 私有注册表了。