docker registry的作用就是存储我们的镜像。通常情况下我们可以使用docker hub来存储,不过如果是在公司内部使用,不想将镜像公开,可以手动搭建一个本地registry,如docker registry或harbor。本文简单介绍一下docker registry的搭建使用及常用配置。
基础服务
搭建registry最基础的命令为:
docker run -d -v /data/registry:/var/lib/registry -p 5000:5000 registry:2
registry定义的对外服务端口为5000,我们也可以通过环境变量REGISTRY_HTTP_ADDR来修改服务端口。
docker run -d \
-e REGISTRY_HTTP_ADDR=0.0.0.0:5001 \
-p 5001:5001 \
registry:2
如果要使用其他存储,如 Amazon S3 bucket, Google Cloud Platform或其他docker支持的存储,也可以通过环境变量单独配置(推荐用yaml的形式来配置)。
注:私有仓库,推送镜像时,要在/etc/docker/daemon.json或C:\ProgramData\docker\config\daemon.json文件中添加以下配置,并重启docker。
{
"insecure-registries":[
"xxx.xxx.xxx.xx:port" #仓库IP地址和端口,或者是域名
]
}
带TLS的registry
- 证书制作
证书申请流程:先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA根证书来签发证书。
mkdir -p /root/docker/auth/certificates;
cd /root/docker/auth/certificates;
// 生成根证书
// 生成CA私钥(.key)-->生成CA证书请求(.csr)-->自签名得到根证书(.crt)(CA给自已颁发的证书)。
openssl genrsa -out ca.key 2048
openssl req -new -key ca.key -out ca.csr // 请求中的State or Province Name和Common Name一定要填写。
openssl x509 -days 3650 -in ca.csr -signkey ca.key -out ca.crt
cat ca.crt ca.key > ca.pem // 生成pem格式的证书
// 生成服务端证书
// 生成私钥(.key)-->生成证书请求(.csr)-->用CA根证书签名得到证书(.crt)
openssl genrsa -out server.key 1024 // 创建过程中需要输入密码
openssl req -new -key server.key -out server.csr // 需要输入上一步创建的密码,State or Province Name地址要在ca证书中,Common Name (eg, your name or your server's hostname)要填写。
openssl ca -in server.csr -out server.crt -keyfile ca.key -cert ca.crt
创建服务端证书的第三步,可能会报错unable to open '/etc/pki/CA/index.txt',需要手动创建该文件touch /etc/pki/CA/index.txt, 并创建一个序列文件来标记CA证书echo '1000' > /etc/pki/CA/serial。
证书生成也可以参考:https://www.jianshu.com/p/1163d1ae8029
- 使用TLS证书起registry服务
docker run -d \
--restart=always \
--name registry \
-v /root/docker/registry:/var/lib/registry \
-v /root/docker/auth/certificates:/certs \
-e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/server.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/server.key \
-p 443:443 \
registry:2
基本身份认证
为了提高regsitry的安全性,可以开启访问控制,用户需要登陆后才可以使用registry。
首先,创建一个密码文件,里面包含一条用户名密码(stark/catherine)。
mkdir /root/docker/auth
docker run \
--entrypoint htpasswd \
httpd:2 -Bbn stark catherine > /root/docker/auth/htpasswd
windows系统下需要修改编码格式:
docker run --rm --entrypoint htpasswd httpd:2 -Bbn testuser testpassword | Set-Content -Encoding ASCII auth/htpasswd
然后启动容器,带上用户认证。
docker run -d \
-p 5000:5000 \
--restart=always \
--name registry \
-v /root/docker/registry:/var/lib/registry \
-v "/root/docker/auth:/auth" \
-e "REGISTRY_AUTH=htpasswd" \
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
-v "/root/docker/auth/certificates:/certs" \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/server.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/server.key \
registry:2
配置一个域名解析:echo 127.0.0.1 myregistry.com>> /etc/hosts,然后使用docker登录docker login myregistry.com:5000,用户名/密码就是前面配置的stark/catherine。
注:使用身份认证,建议开启TLS,否则登录信息明文传输(header中),一样不安全。
x509报错解决:x509报错通常就是自签证书没有加入到docker client所在host的信任证书中,手动加入即可。对于linux用户,只需要拷贝根证书文件到/etc/docker/certs.d/myregistrydomain.com:5000/ca.crt中即可。
最后,也可以在浏览器中访问https://localhost:5000/v2/_catalog或是https://localhost:5000/v2/docker/registry/tags/list查看仓库信息。
更高级的身份认证
以上只是最简单的用户认证,只能使用我们预先定义好的用户来访问。
我们也可以在regsitry之前使用一个代理,来实现更高级的身份认证;或者将registry集成到我们自己的身份认证和访问控制系统中,由我们的鉴权服务来签发token给用户,然后用户使用签发的token访问我们的registry。harbor就提供了这样一整套服务,如果有此方面的需求,可以考虑使用harbor。
通过yaml配置docker registry服务
不知到为啥,容器起来了,但访问不了
- 编写YAML配置文件
version: 0.1
storage:
filesystem:
rootdirectory: /var/lib/registry # docker镜像在容器内的存储位置。
maxthreads: 100
cache: # 可以是redis或inmemory,加速层 metadata(layerinfo/blobdescriptor)的读取。
blobdescriptor: inmemory
auth:
htpasswd:
realm: basic-realm
path: /auth/htpasswd
http:
addr: localhost:5000 # registry服务的地址。
net: tcp
tls:
certificate: /auth/certificates/server.crt # x509公钥的绝对路径
key: /auth/certificates/server.key # x509私钥的绝对路径
- 使用该yaml文件起docker registry容器。假设我们的yaml文件位于
/root/docker/config目录下。
docker run -d --restart=always \
-v /root/docker/config/config.yml:/etc/docker/registry/config.yml \
-v /root/docker/auth:/auth \
-p 5000:5000 \
-v /root/docker/registry:/var/lib/registry \
registry:2
完整的配置选项
完整的配置选项参考。
配置文件和环境变量的对应关系。配置文件中的内容为:
version: 0.1
storage:
filesystem:
rootdirectory: /var/lib/registry
上述配置文件如果通过环境变量来配置,则对应的环境变量为:
REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY=/var/lib/registry
格式为REGISTRY_variable,其中variable为配置的变量,通过_连接yaml文件中的各层变量得到。
常用的配置
- 后端存储
registry支持的后端存储有filesystem(本地存储),azure,gcs,s3,swift,oss,inmemory。存储只能配置一个,否则会出错。inmemory表示存储在内存中,仅供测试使用。使用本地存储时,不建议使用windows本地的存储,因为windows对路径长度有限制。
完整的配置文件及其说明如下:
storage:
filesystem:
rootdirectory: /var/lib/registry
azure:
accountname: accountname
accountkey: base64encodedaccountkey
container: containername
gcs:
bucket: bucketname
keyfile: /path/to/keyfile
credentials:
type: service_account
project_id: project_id_string
private_key_id: private_key_id_string
private_key: private_key_string
client_email: client@example.com
client_id: client_id_string
auth_uri: http://example.com/auth_uri
token_uri: http://example.com/token_uri
auth_provider_x509_cert_url: http://example.com/provider_cert_url
client_x509_cert_url: http://example.com/client_cert_url
rootdirectory: /gcs/object/name/prefix
s3:
accesskey: awsaccesskey
secretkey: awssecretkey
region: us-west-1
regionendpoint: http://myobjects.local
bucket: bucketname
encrypt: true
keyid: mykeyid
secure: true
v4auth: true
chunksize: 5242880
multipartcopychunksize: 33554432
multipartcopymaxconcurrency: 100
multipartcopythresholdsize: 33554432
rootdirectory: /s3/object/name/prefix
swift:
username: username
password: password
authurl: https://storage.myprovider.com/auth/v1.0 or https://storage.myprovider.com/v2.0 or https://storage.myprovider.com/v3/auth
tenant: tenantname
tenantid: tenantid
domain: domain name for Openstack Identity v3 API
domainid: domain id for Openstack Identity v3 API
insecureskipverify: true
region: fr
container: containername
rootdirectory: /swift/object/name/prefix
oss:
accesskeyid: accesskeyid
accesskeysecret: accesskeysecret
region: OSS region name
endpoint: optional endpoints
internal: optional internal endpoint
bucket: OSS bucket
encrypt: optional data encryption setting
secure: optional ssl setting
chunksize: optional size valye
rootdirectory: optional root directory
inmemory:
delete: // 表示允许通过digest删除镜像blob和manifest。(删除镜像的时候同时删除对应的layer?)
enabled: false
cache: // 可以是redis或inmemory,加速层 metadata(layerinfo/blobdescriptor)的读取。
blobdescriptor: inmemory
maintenance:
uploadpurging: // 定期清理超过age的无效文件(夹)
enabled: true
age: 168h
interval: 24h
dryrun: false
readonly: // 设置registry只读,通常在后端存储gc的时候会开启。
enabled: false
redirect: // 不经过registry直接传输数据到后端存储
disable: false
- 用户认证
用户认证支持silly,token,htpasswd中的一个或者不配置。silly实际上不认证,只要请求头中有Authorization字段就直接通过;使用token认证的认证流程参考;使用htpasswd,需要事先准备好密码文件,如果新增用户,需要重启registry来加载。
auth:
silly: // 不推荐,只要请求头中带有Authorization 就认证通过。
realm: silly-realm
service: silly-service
token:
realm: token-realm // realm为提供token签发服务的服务地址
service: token-service // service为registry的名称或域名?表示registry在token签发服务中注册的域名。
issuer: registry-token-issuer // token的签发者。签发着会在token中写入,且必须与此处的值相匹配。
rootcertbundle: /root/certs/bundle // 根证书所在的绝对路径,路径下必须存在证书的公钥。
htpasswd:
realm: basic-realm
path: /path/to/htpasswd // 密码文件,如果不存在,则自动创建一个,并添加一个默认用户,并将密码打印到stdout。该文件只在registry启动的时候加载一次,支持的加密方式为bcrypt。
token认证流程简图:
image.png
- HTTP配置
http:
addr: localhost:5000 // registry服务的地址。根据下面net的不同,配置为ip:port或unix socket文件。
net: tcp // tcp或unix。
prefix: /my/nested/registry/ // 如果服务不是运行在跟路径下(ip:port后,还带有的一些其他路径),需要补充上该路径,前后都要带"/"。一般以docker容器方式启动的regsitry不需要配置。
host: https://myregistryaddress.org:5000 // 对外提供服务的URL地址。
secret: asecretforlocaldevelopment
relativeurls: false
draintimeout: 60s // registry收到停止信号后,等待连接结束的时间。
tls:
certificate: /path/to/x509/public // x509公钥的绝对路径
key: /path/to/x509/private // x509私钥的绝对路径
clientcas: // x509 ca证书文件列表,绝对路径
- /path/to/ca.pem
- /path/to/another/ca.pem
minimumtls: tls1.2 // 支持的tls版本
ciphersuites: // 加密算法
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
letsencrypt: // 可选,使用let's encrypt的证书
cachefile: /path/to/cache-file
email: emailused@letsencrypt.com
hosts: [myregistryaddress.org]
debug: // debug信息获取地址
addr: localhost:5001
prometheus:
enabled: false
path: /metrics // 通过上面debug定义的地址,获取prometheus监控信息。localhost:5001/metrics
headers: // response中需要包含的header
X-Content-Type-Options: [nosniff] // 不要解析为HTML??
http2:
disabled: false // 是否支持http2
- 中间件
- 日志
- 通知提醒: 发送webhook通知,参考。
- redis: 配置如何连接到redis服务。
- 健康检查
- proxy: proxy的作用是将该registry作为docker hub的二级缓存。只允许拉取镜像,无法推送镜像。如果指定了用户名和密码,则可以通过该用户名密码拉取docker hub的私有仓库。
网友评论