手把手教你搭建Docker Registry私服（梦幻西游手游sf无限仙玉版）大话西游三端，

Build, Ship and Run any App, Anywhere

有关Docker更多的基本上概念将无此责任编辑约勒了，作为并行计算市场的一颗冉冉上升的明日之星，Docker获得了愈来愈多企业的青睐，愈来愈多的开发人员决定欢呼雀跃Docker的怀抱。

“货柜”是Docker设计哲学之所在，它让两台物理机（或是应用软件包）同时运行数个彼此隔离的应用变得更为轻松单纯，总之这一切还是要不是Linux的有关底层技术，总之，也包括OS X，Windows这两个作业系统。

Docker的有关讲义已经够多了，但是由于Docker近年来发展迅猛，版插值速度较快，数个版之间还存在不相容的情况，假如在网上找网志文章，未必能解决自己碰到的难题。

总之，对Docker的自然环境加装，此基础指示之类的文本，是完全没有难题的，评注官方网站文档格式文本基本上都能顺利掌握。然而，当本栏尝试着构筑一套基于SSL的Docker Registry（官方网站推荐的作法）却碰到了不少的麻烦，对这部分文本，大多数网志文档格式文本都是直接埃唐佩县了SSL的环节，采用了HTTP的出访形式。

电魂网络分享，评注完了此首诗后，对构筑Docker Registry就不再是难题了。

> docker --version Docker version 18.03.1-ce, build 9ee9f40

以内是我的Docker自然环境，建议加装Docker1.6+以内版。

除此之外，听众还须要：

1、两台加装了CentOS_7_64bit作业系统的主机（或是应用软件包）；

2、提出申请两个搜索引擎。要不然，能改HOST文档，但不确保能获得成功。本栏在阿里云提出申请了两个个人搜索引擎，包了5年，价值￥105；

3、假如提出申请了搜索引擎，顺便拿两个完全免费的CA合格证书，因为须要实现HTTPS出访，SSL合格证书是必须的，反之亦然，阿里云上有完全免费合格证书提出申请。要不然，能采用OpenSSL自己生成，这也是很多昌明所提到的作法，不确保获得成功；

4、再装上两个nginx做全权，可选。

5、熟悉Docker的基本上基本上概念和常用指示，但不必了解Dockerfile，Compose，Swarm，Kubernetes等低阶知识。

一、从Docker快照说起

抽象的基本上概念阐述不多说了，本栏举两个例子，让大家领略：

1、我们从系统之家下载来的ISO文档，除了此基础的作业系统，还可能内建了数个预载应用软件；

2、在采用maven管理jar包倚赖的时候，为了避免每次都从中央库房拉取倚赖包，采用了nexus做了全权库房。

能认为，大话西游发布网，Docker快照就是一系列应用软件（文档）的组合，只要将它们放在合适的寄主上，即可做到照相狸尾豆。

有关责任编辑须要的Docker快照操作方式，有四个常用的指示：

a、拉取快照，后跟快照库房中文名称，假如要指定某个版，大话西游私服，能带上tag。

> docker pull <repo>[:tag]

b、列出所有快照，能获得快照的有关基本上信息。

> docker images REPOSITORY TAG IMAGE ID CREATED SIZE redis latest bfcb1f6df2db 3 weeks ago 107MB registry 2 d1fd7d86a825 4 months ago 33.3MB hyper/docker-registry-web latest 0db5683824d8 19 months ago 599MB

c、删掉快照。能根据快照ID，或是快照库房中文名称展开删掉。

> docker rmi <IMAGE ID>/<repo>

d、快照陈建力。能将此操作方式与Git陈建力展开等效，相当于是release两个可用的快照版。

> docker tag <repo> <new_repo>[:tag]

e、快照发送。反之亦然是能借鉴Git领域的push操作方式，将打包好的快照发送给远程库房（即为Docker Registry）。

> docker push <new_repo>[:tag]

以内四个指示只做单纯介绍，不是责任编辑的重点。更多快照操作方式指示，能自行查阅之。

展开接下来的操作方式之前，请听众先将registry快照pull下来。

> docker pull registry:2 2: Pulling from library/registry 81033e7c1d6a: Pull complete b235084c2315: Pull complete c692f3a6894b: Pull complete ba2177f3a70e: Pull complete a8d793620947: Pull complete Digest: sha256:672d519d7fd7bbc7a448d17956ebeefe225d5eb27509d8dc5ce67ecb4a0bce54 Status: Downloaded newer image for registry:2

此过程会持续几分钟，视网络状况而定，请听众耐心等候。

注意：本栏在pull的时候，指定了TAG，即为采用v2版的registry，对v1版的registry，听众大可不必在意了，基本上上是淘汰了。

二、先睹为快

对急切想看一下Docker Registry运行效果的听众，能先阅读本节文本。

运行如下指示即可：

> docker run -d \ -p 5000:5000 \ -v /usr/local/registry:/var/lib/registry \ --restart=always \ --name registry \ registry:2

这是一条典型的run指示，不出意外的话，Registry就在5000端口启动了。

为了验证，听众能拉取两个busybox快照（因为体积小），展开实验。

> docker pull busybox

拉取最新的busybox快照后，再给其陈建力，准备发布到Registry中。

> docker tag busybox localhost:5000/bosybox:v1.0

最后再发送给Registry。

> docker push localhost:5000/bosybox:v1.0

此时，Registry就有了busybox:v1.0快照了，这时能不用再去Docker Hub上面拉取了，通过自建的Registry即可。

> docker pull localhost:5000/bosybox:v1.0

假如想查看远程库房有哪些快照，能运行如下指示：

> curl http://localhost:5000/v2/_catalog

窥一斑而见全豹，通过以内指示，我们能得出两个重要的结论：

对Registry的出访都是通过一系列REST API完成的。

到此为止，我们已经构筑了两个Docker Registry的“半成品”，说是“半成品”是因为这个Registry只能在本机正常工作，假如在其他主机上试图发送快照上来，结果是失败的。

假如要做到externally-accessible，就必须采用CA安全合格证书。

三、基于SSL合格证书改造Registry

在展开本节的操作方式前，请听众确认是否满足了文章开头所列的条件。

本栏提出申请了两个搜索引擎：iwendao.vip，并映射出来了两个二级搜索引擎：registry.iwendao.vip，专门用来作为Docker Registry的出访，然后基于此二级搜索引擎提出申请CA合格证书。

不出意外的话，从阿里云提出申请的完全免费合格证书都是由Symantec颁发的，将合格证书下载下来后，压缩包内有两份文档：xxxxxx.pem、xxxxxx.key。

将其更名为server.key，server.pem，通过ftp工具上传至主机，假设存放的目录是：/usr/local/certs。

> ll /usr/local/certs - rw-r--r-- 1 root root 1678 May 28 13:42 server.key - rw-r--r-- 1 root root 3662 May 28 13:42 server.pem

因为颁发的是intermediate certificate，会发现没有crt文档，能采用如下指示获得：

> cat server.pem > server.crt

直接将pem文档内作为crt文档的文本输入，生成了server.crt文档。

至此，搜索引擎及其合格证书已准备就绪。

假如想采用nginx做全权，须要更改一下nginx.conf文档，以下是本栏的配置文本：

user root root; worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; log_format main $remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" "$http_x_forwarded_for"; access_log logs/access.log main; sendfile on; keepalive_timeout 60; gzip on; server { listen 443; server_name i-wendao; ssl on; root html; index index.html index.htm; ssl_certificate /usr/local/certs/server.pem; ssl_certificate_key /usr/local/certs/server.key; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; location ~ { proxy_pass_header Server; proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Scheme $scheme; proxy_pass https://registry; } } upstream registry { server 127.0.0.1:5000; } }

在nginx.conf配置文档中，须要注意两个地方：

1、开启nginx的ssl，只须要配置之前下载好的pem和key文档，这是阿里云官方给出的示例，亲测有效；

2、因为对Registry的出访都是通过REST API完成的，而且是HTTPS的出访协议，所以location节点的配置中，proxy_pass配置的是https://registry，假如配置成http://registry，一旦Docker Registry启用了SSL后，是出访不通的。

寄主机的配置已经完成了，接下来对Docker容器展开配置。

对Docker Registry Server的部署，官方给了两个途径：

其一，针对参数不多的情况，能直接在docker run指示指定；

另两个是通过yaml配置文档，能一次性配置数个参数。

在本节，本栏将采用第一种方式部署，第二种方式的部署能参见文末的附文。

> docker run -d \ -p 5000:5000 \ -v /usr/local/registry:/var/lib/registry \ -v /usr/local/certs:/certs \ -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/server.crt \ -e REGISTRY_HTTP_TLS_KEY=/certs/server.key \ --restart=always \ --name registry \ registry:2

假如没有加装nginx的听众，可运行这条指示：

> docker run -d \ -p 443:443 \ -v /usr/local/registry:/var/lib/registry \ -v /usr/local/certs:/certs \ -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \ -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/server.crt \ -e REGISTRY_HTTP_TLS_KEY=/certs/server.key \ --restart=always \ --name registry \ registry:2

能看到，Docker Registry Server启用SSL的时候，用到的是crt、key两个合格证书文档。

接下来，我们实验一下。

> docker tag busybox registry.iwendao.vip/bosybox:v1.0

最后再发送给Registry。

> docker push registry.iwendao.vip/bosybox:v1.0

查看远程库房有哪些快照。

> curl https://registry.iwendao.vip/v2/_catalog

在另外两台主机，重复上述步骤，依然能获得成功，说明已经构筑获得成功了。

四、Authentication的加持

通过对Registry Server的构筑，我们能明显感觉获得，Docker对安全控制有足够的重视，这在全网HTTPS化的背景下是恰合时宜的作法。

这节是进阶知识，目的是将Docker的安全机制做得更彻底——加上登录校验机制。

很明显，既然是Persona，就意味着不是每个人都能提交快照的，只有凭借登录用户和密码才行。

总之，登录校验机制的前提是有HTTPS协议，否则，用户名和密码都将会明文传输。

Docker的认证机制也有很多实现，能直接用全权（比如nginx）在Registry之前展开拦截验证，高端的一些的是有Token服务端，引导用户授权登录，实现难度较大。

责任编辑以最单纯的htpasswd在实现登录校验机制。有关htpasswd的更多介绍无此责任编辑的范畴，请听众自行查阅之。

假如主机上没有加装此指示工具，能运行如下指示：

> yum install httpd-tools

因为htpasswd是Apache2的附属工具指示，假如加装了Apache2，此指示理应是能用的。

假如听众不想加装了，能直接采用registry快照，其内建了httpd。

假设密码文档存放在/usr/local/auth目录下面，运行如下指示

> htpasswd -Bbn admin 123456 > /usr/local/auth/passwd

采用registry快照内建的httpd，如下：

> docker run --entrypoint htpasswd registry:2 -Bbn admin 123456 > /usr/local/auth/passwd

两种方式都能达到反之亦然的目的：在/usr/local/auth/passwd文档中生成用户名和密码。

指示中的admin是用户名，123456即为密码。

查看passwd文档文本：

> cat /usr/local/auth/passwd admin:$2y$05$/2H8DTcY.1JROHm0MnnK8.UulmbSclib63qTe8FGyWnnE9XWBz3cy

虽然是反之亦然的指示，但在不同的主机，生成的结果并不相同。因此，在主机A上生成的密码文档不能用作主机B上展开认证。

接下来要启动registry容器了：

> docker run -d \ -p 5000:5000 \ --restart=always \ --name registry \ -v /usr/local/auth:/auth \ -e REGISTRY_AUTH=htpasswd \ -e REGISTRY_AUTH_HTPASSWD_REALM=Registry_Realm \ -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/passwd \ -v /usr/local/certs:/certs \ -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/server.crt \ -e REGISTRY_HTTP_TLS_KEY=/certs/server.key \ registry:2

启动获得成功后，假如试图直接查看远程库房有哪些快照，会提示未认证，如下：

> curl https://registry.iwendao.vip/v2/_catalog { "errors": [{ "code": "UNAUTHORIZED", "message": "authentication required", "detail": [{ "Type": "registry", "Class": "", "Name": "catalog", "Action": "*" }] }] }

包括pull，push操作方式也都受限了。因此，在做操作方式之前，须要展开登录。

> docker login https://registry.iwendao.vip

既然有登录，总之就有登出了。

> docker logout https://registry.iwendao.vip

五、WEB UI for Registry

当我们把Registry Server构筑好了之后，就意味着要开始管理我们的快照了。这个时候会发现，并没有两个可视化的工具帮助用户展开快照管理。

目前已经有很多开源的WEB UI管理工具：

1、docker-registry-frontend。截止到目前（2018年5月），其功能主要是快照列表查看，标签查看，还未开放快照删掉功能，在GitHub上开源，stars 1k+。

2、docker-registry-web。相比docker-registry-frontend项目，此项目提供了快照删掉功能，还接入了角色系统，功能有了进一步完善，在GitHub上开源，stars 300+。

3、Rancher。这个平台的定位类似Kubernetes，不仅仅是快照管理这么单纯了，对整个Docker容器管理都是能胜任的。

4、shipyard。很可惜，作者已经没有经历维护了，从GitHub上的stars，不难看出其昔日的辉煌。

有关WEB UI的加装部署就不再约勒了，都有其对应的文档格式。假如对快照管理没有什么特别要求，能不用WEB UI，或是采用前两个之一。

六、总结

责任编辑详述了Docker RegistryPersona构筑的过程，总结了来自各类网志，官方网站的学习资料，帮助听众顺利构筑Docker RegistryPersona。

附：

1、采用yaml文档启动registry server

假设配置文档的存放路径是：/usr/local/registry/config.yml

编辑其文本，如下：

version:0.1log:fields:service:registrystorage:cache:blobdescriptor:inmemoryfilesystem:rootdirectory:/var/lib/registrymaxthreads:100delete:enabled:truehttp:addr:0.0.0.0:5000host:https://registry.iwendao.vipsecret:yoogurt-taxi-123!@#headers:X-Content-Type-Options:[nosniff]tls:certificate:/certs/214709594090104.crtkey:/certs/214709594090104.keyhealth:storagedriver:enabled:trueinterval:10sthreshold:3

更多配置项，能出访Configuring a registry。

配置文档中的配置项是能对应到前文中-e参数的自然环境变量，其规则就是：

1、变量名由大写字母组成；

2、前缀固定加上REGISTRY；

3、将YAML中的配置项的冒号（:）变成了下划线（_）。

比如：

REGISTRY_HTTP_TLS_CERTIFICATE，对应的是http: tls: certificate配置项；

REGISTRY_AUTH_HTPASSWD_PATH，对应的是auth: htpasswd: path配置项。

值得注意的是，配置文档中所涉及的路径都是针对容器内的，这就意味着，在启动registry快照的时候，须要通过-v参数指定挂载目录。

保存配置文档后，即可启动容器：

> docker run -d -p 5000:5000 --restart=always --name registry \ -v /usr/local/certs:/certs -v /usr/local/registry/config.yml:/etc/docker/registry/config.yml \ registry:2

2、介绍有关Docker的书籍

《第一本Docker书（修订版）》，当之无愧的Docker启蒙书。零此基础入门者能着重看前五章此基础部分，掌握Docker的有关原理及其采用，可用作工具书。读此书，建议跟着文本同步展开实践，入门以后，能够建立起对Docker的兴趣，以便持续学习下去。《Docker 容器与容器云（第2版）》，知识文本有所进阶。第一部分文本为此基础知识，能快速过一遍。本书对容器云的基本上概念做了各方面反复的解释，非常精彩，能吸收之。接下来就是容器编排、部署的文本了，能加之实践，培养感觉。《Kubernetes权威指南（第2版）》，当之无愧的Kubernetes入门书籍。念完了《Docker 容器与容器云（第2版）》的Kubernetes部分，再来读此书，会轻松一些。关注我的微信公众号：技术汇（ID：jishuhui_2015），获取更多技术分享干货！

本文地址： /youxiziliao/18625.html