在局域網內部署 Docker Registry 可以極大的提升平時 pull、push 鏡像的速度�,從而縮短自動化操作的過程。同時也可以緩解帶寬不足的問題����,真是一舉多得。本文將從創建單機的 Docker Registry 開始��,逐步完成局域網內可用的 Docker Registry 的創建,并重點解釋如何使用 IP 地址訪問 Registry 的方法�����。
注意�,本文假設你已經在使用的 OS 中安裝了 docker 引擎�。
創建本機使用的 Docker Registry
這是一個非常簡單的過程,簡單到只需要運行一個 docker 容器就可以了:
$ docker run -d -p 5000:5000 --restart=always --name registry /-v `pwd`/registry:/var/lib/registry /registry:2
查看一下 5000 端口是否已被監聽:
看起來還不錯�,讓我們向本地的 Registry 中推送一個鏡像試試。
先找個鏡像���,打上自己的 tag:
$ docker pull ubuntu$ docker tag ubuntu localhost:5000/myubuntu:20170520
從上圖我們可以看到���,兩個鏡像完全是一樣的,只不過我們創建的 tag 名稱不一樣而已��。
接下來把鏡像 push 到本地的 Registry 中:
$ docker push localhost:5000/myubuntu:20170520
上圖顯示 push 操作成功了����,那再看看文件系統發生了什么變化:
在我們掛載的 ~/registry 目錄的子目錄中出現了保存鏡像 myubuntu 的目錄,在這個目錄下保存了鏡像相關的數據�。
最后我們看看能不能從自己的庫中 pull 鏡像。先把本地的鏡像 localhost:5000/myubuntu:20170520 刪除掉:
$ docker rmi localhost:5000/myubuntu:20170520
然后從本地的庫中 pull 鏡像:
$ docker pull localhost:5000/myubuntu:20170520
是不是 pull 操作已經成功啦���!
創建局域網內可用的 Docker Registry
前面創建的 Registry 可以在局域網內使用嗎�����?我們來做個試驗���。
運行 Registry 的機器 IP 為:192.168.171.156�,我們在局域網中的另一臺機器上創建 tag 并執行推送命令:
推送失敗了�����!原因是為了保證安全�,跨機的鏡像推送操作默認采用的都是 https 協議。也就是說��,為了在局域網內使用 Docker Registry��, 我們必須配置 https 版的 Registry 服務器���。
選擇通過 IP 地址訪問 registry
由于種種原因����,筆者無法為這臺 Docker Registry Server 提供一個有效的域名��。好在它的 IP 地址是固定的,因此決定通過 IP 地址來訪問這臺 Registry 服務器�����。假設這臺機器的 IP 地址為:10.32.2.140���,下面的描述都以此 IP 地址為例�。
創建自簽名的證書
既然是在局域網中使用��,因此不會大動干戈的去購買 https 證書��,自己生成一個自簽名的就足夠了���。但這也存在一個缺點,就是需要在作為客戶端的 docker daemon 中安裝這個根證書����,本文的稍后部分會介紹這一步驟。
在 ubuntu 系統中����,下面的命令會在 dcerts 目錄下生成秘鑰和自簽名的證書:
openssl req / -newkey rsa:4096 -nodes -sha256 / -keyout dcerts/domain.key / -x509 -days 356 / -out dcerts/domain.crt
注意,在執行此命令前需要在當前目錄下創建 dcerts 目錄�����。此命令的細節本文就不解釋了,有興趣的同學去查 openssl 命令的幫助文檔��。
生成證書時����,openssl 要求我們輸入相關的信息。比如地域和公司���、部門的信息�。比較重要的是 Common Name���,如果你是要為某個域名生成證書���,那么這里就應該是你的域名。我們使用的是 IP 地址�,所以我就想當然的把 IP 地址放在了這里。很遺憾的是這并不正確��!如果拿此時生成的證書去配置 Docker Registry�,我們將無法完成 pull/push 操作。配置的 Registry 根本無法在局域網中使用���。
此處是一個很隱晦的 openssl 配置問題�����,當我們使用 IP 地址作為訪問服務器的名稱時就會碰到��。解決的方法也很簡單��,就是在生成證書的配置文件中指定 subjectAltName ���。打開文件 /etc/ssl/openssl.cnf��,在 [v3_ca] 節點添加配置項:
subjectAltName = IP:10.32.2.140
保存并退出,然后重新執行上面生成證書的命令��。
運行 https 版的 Registry
有了前面創建的證書�����,我們就可以運行新版的 Registry 了:
$ docker run -d -p 5000:5000 / --restart=always / --name registry / -v `pwd`/dstorage:/var/lib/registry / -v `pwd`/dcerts:/certs / -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt / -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key / registry:2
命令中我們把證書所在的目掛載到了容器的 /certs 目錄�����。然后分別指定了容器的環境變量 REGISTRY_HTTP_TLS_CERTIFICATE 和 REGISTRY_HTTP_TLS_KEY�,這兩個環境變量會引用我們常見的秘鑰文件和證書文件���。
好了,到目前為止新版的 Docker Registry 已經可以提供服務了��。
在 client 端設置根證書
為了快速���、方便和省錢���,我們沒有去購買商業版的證書。這種方式的弊端是:必須把我們生成的根證書安裝到每一個需要訪問 Registry 服務器的客戶端上��。具體做法如下:
把前面生成的證書文件 dcerts/domain.crt 復制到需要訪問 Registry 服務器的機器上�。放到目錄 /etc/docker/certs.d/10.32.2.140:5000/ 中,并重命名為 ca.crt�。當然這個目錄需要你自己創建。最后重新啟動 docker 服務:
$ sudo systemctl restart docker.service // 不同的系統重啟服務的命令可能不一樣�����。
終于大功告成了���,讓我們往 Registry 中推送一個鏡像吧:
看�,redis:3.2 已經被 tag 為 10.32.2.140:5000/myredis:20170520�����,并推送到了局域網中的 Docker Registry Server 中。
為了驗明正身��,我們還是到 10.32.2.140 上去看一下文件存儲的狀態:
從這張圖中我們可以看到�����,myredis:20170520 真的已經被 Registry 保存到文件系統中了��。
總結
由于安全性的考慮�����,配置局域網內可用的 Docker Registry 稍微有點麻煩��。尤其是使用 IP 地址的配置方式�,需要配置證書的 subjectAltName 才能正常工作��。但完成配置后��,使用局域網內的 Registry 還是很爽的��。希望本文對有類似需求的朋友們有所幫助�。
