zoukankan      html  css  js  c++  java
  • 仓库

    访问 Docker 仓库

    仓库(Repository)是集中存放镜像的地方。

    一个容易混淆的概念是注册服务器(Registry)。实际上注册服务器是管理仓库的具体服务器,每个服务器上可以有多个仓库,而每个仓库下面有多个镜像。从这方面来说,仓库可以被认为是一个具体的项目或目录。例如对于仓库地址 dl.dockerpool.com/ubuntu 来说,dl.dockerpool.com 是注册服务器地址,ubuntu 是仓库名。

    大部分时候,并不需要严格区分这两者的概念。

    Docker Hub

    目前 Docker 官方维护了一个公共仓库 Docker Hubhttps://hub.docker.com/,其中已经包括了数量超过 15,000 的镜像。大部分需求都可以通过在 Docker Hub 中直接下载镜像来实现。

    注册

    你可以在 https://cloud.docker.com 免费注册一个 Docker 账号。

    登录

    可以通过执行 docker login 命令交互式的输入用户名及密码来完成在命令行界面登录 Docker Hub。

    你可以通过 docker logout 退出登录。

    拉取镜像

    你可以通过 docker search 命令来查找官方仓库中的镜像,并利用 docker pull 命令来将它下载到本地。

    例如以 centos 为关键词进行搜索:

    $ docker search centos
    NAME                                            DESCRIPTION                                     STARS     OFFICIAL   AUTOMATED
    centos                                          The official build of CentOS.                   465       [OK]
    tianon/centos                                   CentOS 5 and 6, created using rinse instea...   28
    blalor/centos                                   Bare-bones base CentOS 6.5 image                6                    [OK]
    saltstack/centos-6-minimal                                                                      6                    [OK]
    tutum/centos-6.4                                DEPRECATED. Use tutum/centos:6.4 instead. ...   5                    [OK]
    

    可以看到返回了很多包含关键字的镜像,其中包括镜像名字、描述、收藏数(表示该镜像的受关注程度)、是否官方创建、是否自动创建。

    官方的镜像说明是官方项目组创建和维护的,automated 资源允许用户验证镜像的来源和内容。

    根据是否是官方提供,可将镜像资源分为两类。

    一种是类似 centos 这样的镜像,被称为基础镜像或根镜像。这些基础镜像由 Docker 公司创建、验证、支持、提供。这样的镜像往往使用单个单词作为名字。

    还有一种类型,比如 tianon/centos 镜像,它是由 Docker 的用户创建并维护的,往往带有用户名称前缀。可以通过前缀 username/ 来指定使用某个用户提供的镜像,比如 tianon 用户。

    另外,在查找的时候通过 --filter=stars=N 参数可以指定仅显示收藏数量为 N 以上的镜像。

    下载官方 centos 镜像到本地。

    $ docker pull centos
    Pulling repository centos
    0b443ba03958: Download complete
    539c0211cd76: Download complete
    511136ea3c5a: Download complete
    7064731afe90: Download complete
    

    推送镜像

    用户也可以在登录后通过 docker push 命令来将自己的镜像推送到 Docker Hub。

    以下命令中的 username 请替换为你的 Docker 账号用户名。

    $ docker tag ubuntu:17.10 username/ubuntu:17.10
    
    $ docker image ls
    
    REPOSITORY                                               TAG                    IMAGE ID            CREATED             SIZE
    ubuntu                                                   17.10                  275d79972a86        6 days ago          94.6MB
    username/ubuntu                                          17.10                  275d79972a86        6 days ago          94.6MB
    
    $ docker push username/ubuntu:17.10
    
    $ docker search username
    
    NAME                      DESCRIPTION                                     STARS               OFFICIAL            AUTOMATED
    username/ubuntu
    

    自动创建

    自动创建(Automated Builds)功能对于需要经常升级镜像内程序来说,十分方便。

    有时候,用户创建了镜像,安装了某个软件,如果软件发布新版本则需要手动更新镜像。

    而自动创建允许用户通过 Docker Hub 指定跟踪一个目标网站(目前支持 GitHub 或 BitBucket)上的项目,一旦项目发生新的提交或者创建新的标签(tag),Docker Hub 会自动构建镜像并推送到 Docker Hub 中。

    要配置自动创建,包括如下的步骤:

    • 创建并登录 Docker Hub,以及目标网站;
    • 在目标网站中连接帐户到 Docker Hub;
    • 在 Docker Hub 中 配置一个自动创建;
    • 选取一个目标网站中的项目(需要含 Dockerfile)和分支;
    • 指定 Dockerfile 的位置,并提交创建。
      之后,可以在 Docker Hub 的 自动创建页面 中跟踪每次创建的状态。

    Docker 私有仓库

    有时候使用 Docker Hub 这样的公共仓库可能不方便,用户可以创建一个本地仓库供私人使用。

    本节介绍如何使用本地仓库。

    docker-registry 是官方提供的工具,可以用于构建私有的镜像仓库。本文内容基于 docker-registry v2.x 版本。

    安装运行 docker-registry

    容器运行

    你可以通过获取官方 registry 镜像来运行。

    $ docker run -d -p 5000:5000 --restart=always --name registry registry
    

    这将使用官方的 registry 镜像来启动私有仓库。默认情况下,仓库会被创建在容器的 /var/lib/registry 目录下。你可以通过 -v 参数来将镜像文件存放在本地的指定路径。例如下面的例子将上传的镜像放到本地的 /opt/data/registry 目录。

    $ docker run -d 
        -p 5000:5000 
        -v /opt/data/registry:/var/lib/registry 
        registry
    

    在私有仓库上传、搜索、下载镜像

    创建好私有仓库之后,就可以使用 docker tag 来标记一个镜像,然后推送它到仓库。例如私有仓库地址为 127.0.0.1:5000。

    先在本机查看已有的镜像。

    $ docker image ls
    REPOSITORY                        TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
    ubuntu                            latest              ba5877dc9bec        6 weeks ago         192.7 MB
    

    使用 docker tag 将 ubuntu:latest 这个镜像标记为 127.0.0.1:5000/ubuntu:latest。

    格式为 docker tag IMAGE[:TAG] [REGISTRY_HOST[:REGISTRY_PORT]/]REPOSITORY[:TAG]。

    $ docker tag ubuntu:latest 127.0.0.1:5000/ubuntu:latest
    $ docker image ls
    REPOSITORY                        TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
    ubuntu                            latest              ba5877dc9bec        6 weeks ago         192.7 MB
    127.0.0.1:5000/ubuntu:latest      latest              ba5877dc9bec        6 weeks ago         192.7 MB
    

    使用 docker push 上传标记的镜像。

    $ docker push 127.0.0.1:5000/ubuntu:latest
    The push refers to repository [127.0.0.1:5000/ubuntu]
    373a30c24545: Pushed
    a9148f5200b0: Pushed
    cdd3de0940ab: Pushed
    fc56279bbb33: Pushed
    b38367233d37: Pushed
    2aebd096e0e2: Pushed
    latest: digest: sha256:fe4277621f10b5026266932ddf760f5a756d2facd505a94d2da12f4f52f71f5a size: 1568
    

    用 curl 查看仓库中的镜像。

    $ curl 127.0.0.1:5000/v2/_catalog
    {"repositories":["ubuntu"]}
    

    这里可以看到 {"repositories":["ubuntu"]},表明镜像已经被成功上传了。

    先删除已有镜像,再尝试从私有仓库中下载这个镜像。

    $ docker image rm 127.0.0.1:5000/ubuntu:latest
    
    $ docker pull 127.0.0.1:5000/ubuntu:latest
    Pulling repository 127.0.0.1:5000/ubuntu:latest
    ba5877dc9bec: Download complete
    511136ea3c5a: Download complete
    9bad880da3d2: Download complete
    25f11f5fb0cb: Download complete
    ebc34468f71d: Download complete
    2318d26665ef: Download complete
    
    $ docker image ls
    REPOSITORY                         TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
    127.0.0.1:5000/ubuntu:latest       latest              ba5877dc9bec        6 weeks ago         192.7 MB
    

    注意事项

    如果你不想使用 127.0.0.1:5000 作为仓库地址,比如想让本网段的其他主机也能把镜像推送到私有仓库。你就得把例如 192.168.199.100:5000 这样的内网地址作为私有仓库地址,这时你会发现无法成功推送镜像。

    这是因为 Docker 默认不允许非 HTTPS 方式推送镜像。我们可以通过 Docker 的配置选项来取消这个限制,或者查看下一节配置能够通过 HTTPS 访问的私有仓库。

    Ubuntu 14.04, Debian 7 Wheezy

    对于使用 upstart 的系统而言,编辑 /etc/default/docker 文件,在其中的 DOCKER_OPTS 中增加如下内容:

    DOCKER_OPTS="--registry-mirror=https://registry.docker-cn.com --insecure-registries=192.168.199.100:5000"
    

    重新启动服务。

    $ sudo service docker restart
    
    #Ubuntu 16.04+, Debian 8+, centos 7
    

    对于使用 systemd 的系统,请在 /etc/docker/daemon.json 中写入如下内容(如果文件不存在请新建该文件)

    {
      "registry-mirrors": [
        "https://registry.docker-cn.com"
      ],
      "insecure-registries": [
        "192.168.199.100:5000"
      ]
    }
    

    注意:该文件必须符合 json 规范,否则 Docker 将不能启动。

    其他

    对于 Docker for Windows 、 Docker for Mac 在设置中编辑 daemon.json 增加和上边一样的字符串即可。

    Docker 私有仓库高级配置

    上一节我们搭建了一个具有基础功能的私有仓库,本小节我们来使用 Docker Compose 搭建一个拥有权限认证、TLS 的私有仓库。

    新建一个文件夹,以下步骤均在该文件夹中进行。

    准备站点证书

    如果你拥有一个域名,国内各大云服务商均提供免费的站点证书。你也可以使用 openssl 自行签发证书。

    这里假设我们将要搭建的私有仓库地址为 docker.domain.com,下面我们介绍使用 openssl 自行签发 docker.domain.com 的站点 SSL 证书。

    第一步创建 CA 私钥。

    $ openssl genrsa -out "root-ca.key" 4096
    

    第二步利用私钥创建 CA 根证书请求文件。

    $ openssl req 
              -new -key "root-ca.key" 
              -out "root-ca.csr" -sha256 
              -subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=Your Company Name Docker Registry CA'
    

    以上命令中 -subj 参数里的 /C 表示国家,如 CN;/ST 表示省;/L 表示城市或者地区;/O 表示组织名;/CN 通用名称。

    第三步配置 CA 根证书,新建 root-ca.cnf。

    [root_ca]
    basicConstraints = critical,CA:TRUE,pathlen:1
    keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
    subjectKeyIdentifier=hash
    

    第四步签发根证书。

    $ openssl x509 -req  -days 3650  -in "root-ca.csr" 
                   -signkey "root-ca.key" -sha256 -out "root-ca.crt" 
                   -extfile "root-ca.cnf" -extensions 
                   root_ca
    

    第五步生成站点 SSL 私钥。

    $ openssl genrsa -out "docker.domain.com.key" 4096
    

    第六步使用私钥生成证书请求文件。

    $ openssl req -new -key "docker.domain.com.key" -out "site.csr" -sha256 
              -subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=docker.domain.com'
    

    第七步配置证书,新建 site.cnf 文件。

    [server]
    authorityKeyIdentifier=keyid,issuer
    basicConstraints = critical,CA:FALSE
    extendedKeyUsage=serverAuth
    keyUsage = critical, digitalSignature, keyEncipherment
    subjectAltName = DNS:docker.domain.com, IP:127.0.0.1
    subjectKeyIdentifier=hash
    

    第八步签署站点 SSL 证书。

    $ openssl x509 -req -days 750 -in "site.csr" -sha256 
        -CA "root-ca.crt" -CAkey "root-ca.key"  -CAcreateserial 
        -out "docker.domain.com.crt" -extfile "site.cnf" -extensions server
    

    这样已经拥有了 docker.domain.com 的网站 SSL 私钥 docker.domain.com.key 和 SSL 证书 docker.domain.com.crt。

    新建 ssl 文件夹并将 docker.domain.com.key docker.domain.com.crt 这两个文件移入,删除其他文件。

    配置私有仓库

    私有仓库默认的配置文件位于 /etc/docker/registry/config.yml,我们先在本地编辑 config.yml,之后挂载到容器中。

    version: 0.1
    log:
      accesslog:
        disabled: true
      level: debug
      formatter: text
      fields:
        service: registry
        environment: staging
    storage:
      delete:
        enabled: true
      cache:
        blobdescriptor: inmemory
      filesystem:
        rootdirectory: /var/lib/registry
    auth:
      htpasswd:
        realm: basic-realm
        path: /etc/docker/registry/auth/nginx.htpasswd
    http:
      addr: :443
      host: https://docker.domain.com
      headers:
        X-Content-Type-Options: [nosniff]
      http2:
        disabled: false
      tls:
        certificate: /etc/docker/registry/ssl/docker.domain.com.crt
        key: /etc/docker/registry/ssl/docker.domain.com.key
    health:
      storagedriver:
        enabled: true
        interval: 10s
    threshold: 3
    

    生成 http 认证文件

    $ mkdir auth
    
    $ docker run --rm 
        --entrypoint htpasswd 
        registry 
        -Bbn username password > auth/nginx.htpasswd
    

    将上面的 username password 替换为你自己的用户名和密码。

    编辑 docker-compose.yml

    version: '3'
    
    services:
      registry:
        image: registry
        ports:
          - "443:443"
        volumes:
          - ./:/etc/docker/registry
          - registry-data:/var/lib/registry
    
    volumes:
      registry-data:
    

    修改 hosts

    编辑 /etc/hosts

    docker.domain.com 127.0.0.1
    

    启动

    $ docker-compose up -d
    

    这样我们就搭建好了一个具有权限认证、TLS 的私有仓库,接下来我们测试其功能是否正常。

    测试私有仓库功能

    登录到私有仓库。

    $ docker login docker.domain.com
    

    尝试推送、拉取镜像。

    $ docker pull ubuntu:17.10
    
    $ docker tag ubuntu:17.10 docker.domain.com/username/ubuntu:17.10
    
    $ docker push docker.domain.com/username/ubuntu:17.10
    
    $ docker image rm docker.domain.com/username/ubuntu:17.10
    
    $ docker pull docker.domain.com/username/ubuntu:17.10
    

    如果我们退出登录,尝试推送镜像。

    $ docker logout docker.domain.com
    
    $ docker push docker.domain.com/username/ubuntu:17.10
    
    no basic auth credentials
    

    发现会提示没有登录,不能将镜像推送到私有仓库中。

    注意事项

    如果你本机占用了 443 端口,你可以配置 Nginx 代理,这里不再赘述。

    自律人的才是可怕的人
  • 相关阅读:
    html 中 #include file 的用法
    人人网FED CSS编码前端开发规范
    (转载)css垂直水平居中的整理
    CSS负边距自适应布局三例
    (转载)无缝滚动图片的js和jquery两种写法
    用css3实现鼠标移进去当前亮其他变灰
    应急响应
    扫描工具介绍
    入侵检测
    安全防护与加固
  • 原文地址:https://www.cnblogs.com/lovelifest/p/14441170.html
Copyright © 2011-2022 走看看