湖南省邵阳建设局网站,县 住房和城乡建设局网站,免费网页设计作业素材,安徽网站排名1 . 含义及理解#xff1a;
仓库分为公开仓库#xff08;Public#xff09;和私有仓库#xff08;Private#xff09;两种形式。最大的公开仓库是 Docker Hub#xff0c;存放了数量庞大的镜像供用户下载。 国内的公开仓库包括 Docker Pool等#xff0c;可以提供大陆用户…1 . 含义及理解
仓库分为公开仓库Public和私有仓库Private两种形式。最大的公开仓库是 Docker Hub存放了数量庞大的镜像供用户下载。 国内的公开仓库包括 Docker Pool等可以提供大陆用户更稳定快速的访问。当然用户也可以在本地网络内创建一个私有仓库。当用户创建了自己的镜像之后就可以使用 push 命令将它上传到公有或者私有仓库这样下次在另外一台机器上使用这个镜像时候只需要从仓库上 pull 下来就可以了。私有仓库的优势 有时候使用Docker Hub这样的公共仓库可能不方便这种情况下用户可以使用registry创建一个本地仓库供私人使用 使用私有仓库可以节省网络带宽针对于每个镜像不用每个人都去中央仓库上面去下载只需要从私有仓库中下载即可。而且提供镜像资源利用针对于公司内部使用的镜像推送到本地的私有仓库中以供公司内部相关人员使用。 Docker官方提供的工具docker-registry可以用于构建私有的镜像仓库。
2 . 搭建私有仓库
首先将下载好的镜像导入到仓库里
[rootdocker ~]# docker images registry
REPOSITORY TAG IMAGE ID CREATED SIZE
registry 2 f32a97de94e1 4 months ago 25.8MB运行此容器
[rootdocker ~]# docker run -d --name registry -p 5000:5000 -v /opt/registry:/var/lib/registry registry:2
## 创建并运行容器设置数据卷并做端口映射查看容器运行运行情况以及映射端口开启情况
[rootdocker ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
cee722ac6ccb registry:2 /entrypoint.sh /etc… 2 minutes ago Up 2 minutes 0.0.0.0:5000-5000/tcp registry
[rootdocker ~]# netstat -antlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1091/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1564/master
tcp 0 0 192.168.13.111:22 192.168.13.250:40316 ESTABLISHED 5785/sshd: rootpts
tcp6 0 0 :::22 :::* LISTEN 1091/sshd
tcp6 0 0 ::1:25 :::* LISTEN 1564/master
tcp6 0 0 :::5000 :::* LISTEN 8994/docker-proxy 上传镜像到本地仓库
在上传镜像的时候一般会默认上传到docker hub官方仓库现在需要上传到本地自己创建的仓库需要指定上传的地址以及端口。如果使用ip默认使用tls加密目前没有设置所有直接指定到本机的端口。
docker tag nginx:latest localhost:5000/nginx上传修改过标签的镜像到本地仓库
docker push localhost:5000/nginx # 上传curl localhost:5000/v2/_catalog # 核实是否上传成功查看其数据卷挂载点
运行容器的时候设置了数据卷可以子阿宿主机查看上传的结果
cd /opt/registry/
cd docker/
cd registry/
cd v2/
cd repositories/此时创建的私有仓库远程主机无法使用并且不够安全此时则可以采用私有仓库加证书加密的方式来创建私有仓库
3 . 私有仓库的TLS加密
以上仓库使用明文的方式并且没有认证。存在较大的安全隐患下面介绍使用TLS加密以及用户认证。 为docker仓库添加证书加密功能 docker远程主机访问私有仓库默认必须使用TLS加密
1 . 生成证书
mkdir -p certs
openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/haha.com.key -x509 -days 365 -out certs/haha.com.crt2、重新启动registry容器
docker rm -f registry 先删除之前开启的容器重新加密开启容器 docker run -d \ ##-d打入后台 --restartalways \ --name registry \ -v $(pwd)/certs:/certs \##-v手动指定数据卷的挂载 \-e REGISTRY_HTTP_ADDR0.0.0.0:443 \ ##-e编辑registry的参数监听443端口 -e REGISTRY_HTTP_TLS_CERTIFICATE/certs/haha.com.crt \ ##使用证书为生成的证书 -e REGISTRY_HTTP_TLS_KEY/certs/haha,com.key \ ##使用的私钥 -p 443:443 \ ##端口映射registry:2 ##仓库名
查看容器运行情况以及端口开启情况
docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
d3063593b314 registry:2 /entrypoint.sh /etc… 33 seconds ago Up 31 seconds 0.0.0.0:443-443/tcp, 5000/tcp registrynetstat -antlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 656/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 778/master
tcp 0 0 172.25.13.160:22 172.25.13.250:59964 ESTABLISHED 20132/sshd: rootpt
tcp6 0 0 :::22 :::* LISTEN 656/sshd
tcp6 0 0 ::1:25 :::* LISTEN 778/master
tcp6 0 0 :::443 :::* LISTEN 21555/docker-proxy
docker客户端的设置。 mkdir -p /etc/docker/certs.d/toto.com # 创建该目录名称和证书域名一致
cd /etc/docker/certs.d/haha.com
cp /root/certs/haha.com.crt ca.crt证书域名解析的更改
192.168.13.111 docker haha.com验证部署是否成功
修改本地镜像标签为固定格式域名/进行名称
docker tag nginx:v4 haha.com/nginx上传镜像
docker push haha.com/nginx4 . Docker仓库添加用户认证功能
1 、创建用户密码文件 mkdir auth
docker run --rm --entrypoint htpasswd registry:2 \
-Bbn haha redhat auth/htpasswd #茶ungjian用户密码文件用户haha密码redhat2 由于创建密码文件已经开启了一个容器需要先删除该容器
docker rmi registry3 再次运行容器同时添加用户认证功能。
docker run -d \ ##-d打入后台 --restartalways \ --name registry \ -v $(pwd)/certs:/certs \##-v手动指定数据卷的挂载 \-e REGISTRY_HTTP_ADDR0.0.0.0:443 \ ##-e编辑registry的参数监听443端口 -e REGISTRY_HTTP_TLS_CERTIFICATE/certs/toto.com.crt \ ##使用证书为生成的证书 -e REGISTRY_HTTP_TLS_KEY/certs/toto,com.key \ ##使用的私钥 -p 443:443 \ ##端口映射-v $(pwd)/auth:/auth \ ##挂载认证目录-e REGISTRY_AUTHhtpasswd \ ##认证方式-e REGISTRY_AUTH_HTPASSWD_REALMRegistry Realm \ -e REGISTRY_AUTH_HTPASSWD_PATH/auth/htpasswd \ ##认证文件路径registry:2 ##仓库名
4 、查看容器以及端口开启情况
docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
17a21a99d6a6 registry:2 /entrypoint.sh /etc… About a minute ago Up About a minute 0.0.0.0:443-443/tcp, 5000/tcp registrynetstat -antlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 656/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 778/master
tcp 0 0 172.25.13.160:22 172.25.13.250:59964 ESTABLISHED 20132/sshd: rootpt
tcp6 0 0 :::22 :::* LISTEN 656/sshd
tcp6 0 0 ::1:25 :::* LISTEN 778/master
tcp6 0 0 :::443 :::* LISTEN 22096/docker-proxy
到次用户认证功能设置成功 测试
1 、再没有认证的情况下无法上传。
docker tag busybox:latest haha.com/busyboxdocker push haha.com/busybox2 、进行认证登陆 docker login haha.com
Username: haha
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded
docker push haha.com/busybox
The push refers to repository [haha.com/busybox]
8a788232037e: Pushed
latest: digest: sha256:915f390a8912e16d4beb8689720a17348f3f6d1a7b659697df850ab625ea29d5 size: 527
3 登陆成功后会产生认证文件
/root/.docker/config.json #记录用户登陆信息
