Linux企业运维——Docker（三）Registry仓库

2021/8/3 7:06:11

编程Tag： 认证仓库 docker registry 镜像 linux 运维证书

本文主要是介绍Linux企业运维——Docker（三）Registry仓库，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

Linux企业运维——Docker（三）Registry仓库

文章目录

- Linux企业运维——Docker（三）Registry仓库
- 1、什么是Docker仓库
- 2、Docker Hub
- 3、Registry仓库原理及搭建
- - 3.1、工作原理
  - 3.2、私有仓库搭建
- 4、为仓库添加证书加密功能
- 5、为仓库添加用户认证功能

1、什么是Docker仓库

Docker仓库是用来包含镜像的位置，Docker提供一个注册服务器（Register）来保存多个仓库，每个仓库又可以包含多个具备不同tag的镜像。
Docker运行中使用的默认仓库是Docker Hub公共仓库。

2、Docker Hub

docker hub是docker公司维护的公共仓库，用户可以免费使用，也可以购买私有仓库。
在这里插入图片描述
Docker Hub虽然方便，但是还是有限制：

需要网络连接，速度慢
所有人都可以访问
由于安全原因企业不允许将镜像放到外网

在实际工作中，我们不可能把企业项目push到公有仓库Docker Hub进行管理。好消息是Docker公司已经将Registry开源，我们可以快速构建企业私有仓库，更好的管理镜像。这一篇介绍registry私有仓库搭建。

3、Registry仓库原理及搭建

3.1、工作原理

Docker Registry有三个角色，分别是index、registry和registry client

index：
负责并维护有关用户帐户、镜像的校验以及公共命名空间的信息。
Web UI
元数据存储
认证服务
符号化
registry：
是镜像和图表的仓库，它不具有本地数据库以及不提供用户认证，通过Index Auth service的Token的方式进行认证。
registry client：
Docker充当registry客户端来维护推送和拉取，以及客户端的授权。

在这里插入图片描述
index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候，首先会去index服务上做认证，然后查找镜像所在的registry的地址并放回给docker客户端，docker客户端再从registry下载镜像，在下载过程中 registry会去index校验客户端token的合法性，不同镜像可以保存在不同的registry服务上，其索引信息都放在index服务上。

情景A：
用户要获取并下载镜像
情景B：
用户要获取并下载镜像
情景C：
用户要从index或registry中删除镜像

3.2、私有仓库搭建

（1）下载registry镜像
在这里插入图片描述
（2）运行registry容器并开放5000端口

（3）上传镜像到本地仓库
（本地镜像在命名时需要加上仓库的ip和端口）

（4）测试能否成功访问

可以看到成功了，但是这个库目前任何人都可以访问，不安全，下面我们要增加库的安全性

4、为仓库添加证书加密功能

（1）创建证书存放目录并生成证书
在这里插入图片描述
（2）删除之前的registry容器

（3）修改本地解析
（域名westos.org要求在主机上有解析）

（4）重建registry容器

（5）尝试上传镜像

出现了问题，意思是证书是被不知名的ca签名的，因为是我们自建的证书，所以会有问题。

（6）拷贝证书到docker主机

因为使用的是自签证书，客户端要与私有仓库通信，那么必须建立一个目录：/etc/docker/certs.d，在这个目录下建立签名的域名的目录，然后把私有仓库的证书拷贝到这个目录即可。
在这里插入图片描述
（7）再次尝试上传镜像

可以看到操作成功

5、为仓库添加用户认证功能

（1）创建用户认证文件并安装相关支持软件
在这里插入图片描述
（2）添加用户

（3）删除之前的容器并重建，添加用户认证及密钥模块

接下来测试效果
（1）启动server2

（2）安装并配置docker，然后运行

（3）在server2中添加域名解析

（4）server2尝试拉取仓库镜像
在这里插入图片描述
因为没有配置证书，所以出现如图报错，配置方法在第4节讲到。