docker搭建registry服务

作者: CodingCode | 来源:发表于2021-09-03 19:38 被阅读0次

docker registry搭建及配置用户认证
私有docker registry搭建
Docker registry搭建
基于百度云 BOS 搭建私有 Docker Registry
docker搭建registry服务
使用Docker Harbor搭建私有镜像服务器和Mirror服
微服务框架搭建系列: 3.搭建Docker Registry私服
docker搭建私有仓库
搭建私有docker registry
Docker搭建registry 私人仓库

下面步骤搭建一个简单的docker registry

创建一个独立的registry目录

$ mkdir registry
$ cd registry
$ mkdir data  # persistent repository
$ mkdir auth  # user account

目录data, 用来存储持久化的repository
目录auth, 用来存储基本认证的账号信息

创建一个基本认证的用户

$ cd auth
$ htpasswd -Bc registry.password username
$ cd ..

这样在当前目录(auth)下面会生成一个文件registry.password

如果本地没有htpasswd，可以下载httpd:2 image直接生成：

$ docker run --entrypoint htpasswd httpd:2 -Bbn username password > registry.password

创建docker-compose.yaml file

$ cat docker-compose.yml
version: '3'

services:
  registry:
    image: registry:2
    ports:
    - "5000:5000"
    environment:
      REGISTRY_AUTH: htpasswd
      REGISTRY_AUTH_HTPASSWD_REALM: Registry
      REGISTRY_AUTH_HTPASSWD_PATH: /auth/registry.password
      REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY: /data
    volumes:
      - ./auth:/auth
      - ./data:/data

启动registry

$ docker-compose up -d

或者直接使用docker run启动：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v "$(pwd)"/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/registry.password \
  -v "$(pwd)"/data:/data \
  -e REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY=/data \
  registry:2

再或者创建docker service:

docker service create \
  --name registry \
  --mount type=bind,src=$(pwd)/auth,dst=/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/registry.password \
  --mount type=bind,src=$(pwd)/data,dst=/data \
  -e REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY=/data \
  --publish published=5000,target=5000 \
  --replicas 1 \
  registry:2

登录

$ cat ~/my_password.txt | docker login --username username --password-stdin localhost:5000
WARNING! Your password will be stored unencrypted in /home/<username>/.docker/config.json

这个命令登录到registry，地址是localhost:5000；然后我们看到口令文件被存储在了/home/<username>/.docker/config.json里，打开看看：

$ cat ~/.docker/config.json
{
    "auths": {
        "localhost:5000": {
            "auth": "dXNlcm5hbWU6cGFzc3dvcmQ="
        }
    },
    "HttpHeaders": {
        "User-Agent": "Docker-Client/19.03.11-ol (linux)"
    }
}

这个auth信息确实就是明文存储的；因为我们没有配置SSL。

$ echo dXNlcm5hbWU6cGFzc3dvcmQ= | base64 -d
username:password

其实这个地方不用docker login命令，而直接编辑~/.docker/config.json，按照文件的格式把用户auth信息填写进来也是可以的。

另外如果在做docker命令时碰到这种错误：

Error response from daemon: Get https://<registryserveraddr>:5000/v2/: http: server gave HTTP response to HTTPS client

需要修改/etc/docker/daemon.json，加入一项内容{ "insecure-registries":["host:port"] }：

$ sudo cat /etc/docker/daemon.json
{ "insecure-registries":["<registryserveraddr>:5000"] }

或者把registry配置成TLS enable的，以docker run为例：

$ docker run -d \
  --restart=always \
  --name registry \
  -v "$(pwd)"/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/registry.password \
  -v "$(pwd)"/data:/data \
  -e REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY=/data \
  -v /etc/docker/ssl:/certs \
  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  -p 443:443 \
  registry:2

几点说明：

配置证书文件/certs/domain.crt和key文件/certs/domain.key
registry缺省监听在5000端口，如果我们要改端口，则需要制定环境变量REGISTRY_HTTP_ADDR
然后通过docker run的-p参数把端口导出
443是https的缺省端口，如果配置成443端口，那么访问registry地址的时候就不需要指定端口，否则需要带上端口。

如果使用的是自签名的证书，则需要把根证书倒入到/etc/docker/certs.d/<your_registry_host_name>:<your_registry_host_port>目录下面；如果使用标准443端口，则省略< your_registry_host_port>域。

$ mkdir /etc/docker/certs.d/<your_registry_host_name>:<your_registry_host_port>
$ cp path/to/domain/rootCA.crt /etc/docker/certs.d/<your_registry_host_name>:<your_registry_host_port>/

根证书文件名可以随意。
这个操作需要在所有的docker client机器上执行，但是不需要再在docker client机器上运行起来的container里面重新再做，也就是说只要在vm上执行了这个cp命令，那么在vm的container里面可以直接运行docker login就行。

常用操作

$ docker tag myrepos/myimage:latest localhost:5000/myrepos/myimage:2.1
$ docker push  localhost:5000/myrepos/myimage:2.1
$
$ docker pull localhost:5000/myrepos/myimage:2.1
$ docker tag localhost:5000/myrepos/myimage:2.1 myrepos/myimage:2.1

这里要注意的是不管push还是pull，必须使用<registryserver>:<port>/repository的格式，而不能使用本地的格式，所以通常每次push和pull都会有两个命令，一个是改名，然后再push和pull。

查看repository和repository内容：

$ curl -X GET -u'username:password' http://localhost:5000/v2/_catalog
{"repositories":["myrepos/myimage"]}
$ curl -X GET -u'username:password' http://localhost:5000/v2/myrepos/myimage/tags/list
{"name":"myrepos/myimage","tags":["2.1"]}