我们平时镜像都是习惯于放在公共仓库的,比如Dockerhub, Daocloud。但在企业里,我们经常会需要搭建公司自己的镜像仓库。
这篇文章讲解如何用docker提供的registry镜像来搭建自己的镜像仓库。
不添加ssl认证的仓库
下面用registry:2.6.2镜像创建docker仓库。
将宿主机的5000端口映射到容器的5000端口。
将宿主机/mnt/registry挂在到容器的/var/lib/registry目录,容器里的这个目录就是存放镜像的地方。这样可以将数据持久化,当容器挂掉时镜像不会丢失。
mkdir /mnt/registrydocker run -d
-p 5000:5000
--restart=always
--name registry
-v /mnt/registry:/var/lib/registry
registry:2.6.2
docker仓库是需要ssl认证的,由于现在没有添加ssl认证,需要在docker客户端添加参数:
vim /etc/sysconfig/docker# 在OPTIONS下添加--insecure-registry=<host-ip>:5000
OPTIONS='--selinux-enabled --log-driver=json-file --signature-verification=false --insecure-registry=10.34.31.13:5000'
# 重启docker
systemctl restart docker
我们可以测试一下新建的仓库是否可用。
docker push 10.34.31.13:5000/hello-world:v1但这样形式的仓库可用性不高,比如我们有多个镜像仓库要使用,我们需要经常去修改–insecure-registry参数。
下面会讲解如何创建一个https协议的高可用仓库。
创建一个带ssl认证的高可用仓库
1、安装openssl
yum install -y openssl2、修改openssl.cnf文件
vim /etc/pki/tls/openssl.cnf# 找到v3_ca,在下面添加宿主机的IP地址
[ v3_ca ]subjectAltName = IP:10.34.31.13
如果没有修改这个文件,最后生成的ssl证书使用时会报错如下:
x509: cannot validate certificate 10.34.31.13 because it doesn’t contain any IP SANs
3、生成ssl证书
mkdir /certs
openssl req -newkey rsa:4096 -nodes -sha256
-keyout /certs/domain.key -x509 -days 1000
-out /certs/domain.cert# 生成证书的过程中需要填写以下参数,在Conmmon那一栏填写你为dokcer仓库准备的域名
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:10.34.31.13:5000
Email Address []:
4、创建docker仓库
