创建和管理Docker私有仓库

创建和管理Docker私有仓库是企业或组织在内部开发、部署和管理容器化应用时的一个重要环节，通过私有仓库，团队可以在不依赖公共互联网的情况下分享和管理Docker镜像，以下是详细的技术教学步骤：

（图片来源网络，侵删）

1. 了解Docker Registry

Docker Registry是一个开源项目，用于存储和分发Docker镜像，它支持配置为公有或私有仓库，并提供了简单的RESTful API来管理镜像的上传、下载和删除。

2. 安装Docker环境

确保你已经在你的机器上安装了Docker，如果没有，请参考Docker官方文档进行安装。

3. 部署Docker Registry

a. 使用Docker命令部署

你可以通过一个简单的Docker命令来部署一个本地的Docker Registry：

docker run d p 5000:5000 restart=always name registry registry:2

这个命令会启动一个名为registry的容器，将5000端口映射到宿主机的5000端口，并且设置了restart=always以确保容器总是运行。

b. 使用Docker Compose部署

如果你更喜欢使用Docker Compose，可以创建一个dockercompose.yml文件：

version: 3 services: registry: image: registry:2 ports: 5000:5000 restart: always

运行dockercompose up d来启动服务。

4. 配置访问权限

默认情况下，Docker Registry是没有访问控制和身份验证的，为了安全起见，你需要配置TLS和基本的身份验证。

a. 生成TLS证书

使用以下命令生成TLS证书：

openssl req newkey rsa:2048 nodes keyout domain.key x509 days 365 out domain.crt

这将生成一个自签名的证书，有效期为365天。

b. 配置Docker Registry使用TLS

编辑dockercompose.yml文件，添加TLS相关的配置：

version: 3 services: registry: image: registry:2 ports: 5000:5000 restart: always volumes: ./certs:/certs environment: REGISTRY_HTTP_TLS_CERTIFICATE: /certs/domain.crt REGISTRY_HTTP_TLS_KEY: /certs/domain.key

确保你的certs文件夹包含了之前生成的domain.crt和domain.key文件。

c. 配置基本身份验证

编辑dockercompose.yml文件，添加基本身份验证的配置：

version: 3 services: registry: image: registry:2 ports: 5000:5000 restart: always volumes: ./certs:/certs ./auth:/auth environment: REGISTRY_AUTH: htpasswd REGISTRY_AUTH_HTPASSWD_PATH: /auth/htpasswd REGISTRY_HTTP_TLS_CERTIFICATE: /certs/domain.crt REGISTRY_HTTP_TLS_KEY: /certs/domain.key

创建一个auth文件夹，并使用htpasswd命令创建用户：

mkdir p auth htpasswd bBc auth/htpasswd user pass

这将创建一个名为user的用户，密码为pass。

5. 使用私有仓库

a. 登录私有仓库

在客户端上，使用docker login命令登录私有仓库：

docker login u user p pass yourregistryurl:5000

b. 推送镜像到私有仓库

使用docker tag命令给本地镜像打上私有仓库的标签：

docker tag yourlocalimage yourregistryurl:5000/yourprivateimage:tag

然后使用docker push命令推送镜像到私有仓库：

docker push yourregistryurl:5000/yourprivateimage:tag