专栏首页CSDN技术头条如何构建企业级Docker Registry Server

如何构建企业级Docker Registry Server

很多人问我,虚拟机镜像和docker镜像的区别是什么?其实区别非常明显,我们可以通过阅读Dockerfile文件就可以知道这个镜像都做了哪些操作,能提供什么服务;但通过虚拟机镜像,你能一眼看出来虚拟机镜像里面多做了哪些操作,能提供什么服务吗?更突出的是我们都说是mysql镜像,Wordpress镜像,从不说是虚拟机镜像。这点就更能说明docker是更贴近应用的,不单单是解决底层运行环境。

那么有了docker又如何呢?

  1. 我们可以快速构建,整体打包 (Build),在这个过程中主要是运维和研发需要更多的协助,编写Dockerfile来构建镜像
  2. 快速交付(Ship),研发以镜像作为交付,整体交付给测试人员,缩短研发和测试之间处理问题的周期
  3. 快速部署(Run),docker镜像保证了环境的一致性,让问题在部署前得到解决,更重要的是可以基于镜像,快速部署应用

总结起来其实所有的工作流程,都是围绕docker镜像来完成的。docker镜像贯串整个工作流程,那么镜像构建,交付,运行,以及镜像存储都非常重要。

当公司开始使用docker,到官方的docker hub上下载(pull)镜像,显然很不切合实际,而且咱这公司的网络环境是私有环境,都不允许访问外网,那就更不可能到官方的hub去下载镜像。所以我们接下来分享实战构建企业级的Docker Registry Server。

然后我们来理解一下什么是Docker镜像,什么是dockerregistry。理解docker镜像和docker registry的关系也非常容易。我们把docker镜像看成是“源代码文件“,registry server就是”git仓库“,平日我们写好的代码文件都需要push到代码仓库中,对于docker镜像也一样,镜像打包好以后需要提交到registry server服务器上让测试人员构建测试环境,或者是上线业务。

公司业务不仅仅是单个,而且还会越来越多,那么镜像也就相对会越来越多,我们需要重点考虑如何管理镜像之间的依赖关系,并要实现自动构建,实现持续集成。

我们需要考虑镜像存储到什么地方,确保镜像安全可用。

  1. 我们可以把镜像存储到宿主机本地,但这样传输镜像不方便,可靠性低,而且镜像唯一性不好确定。
  2. 所以我们需要把镜像统一都存储到registry server上,这样传输镜像就更加方便,也能保证镜像的唯一性,并且可靠性高,registry server可以把镜像存储到存储服务器上。

目前支持的后端存储有,openstack-swift,S3,Azure,OSS(aliyun),GCS(Google cloud storage),今天实战文章不去实战此过程。

镜像仓库好比就是APP store,我们可以到仓库里面去挑选自己想要的APP,然后下载到手机或者电脑上进行安装使用。docker镜像和仓库也类似。

目前docker registry版本是2.2,也是当前最新的版本。

registry2.2的特性有,目前是用go语言去写的,性能提升比v1能高2-3倍,安全和性能上有很多的提升,那么v1有哪些安全隐患呢?

v1版本,镜像的id是随机生成的,所以每次构建一个层都会随机生成一个新ID,即使是层的内容相同。这样会有一个风险就是层的内容文件会被串改,因为最终验证的是id,而不是里面的内容。

v2版本,镜像ID是通过sha256做hash得出来的,这样一来同样的内容就会得到的是一样的ID。镜像id这点能保证了,但还是有其他的问题。细心的同学会发现运行docker pull镜像下载完后,会看到Digest字段,看起来docker像是想用此字符来取代tag.只是猜测不知道后续会发展成什么一样。

这个地方普及一个知识点,有人问,我在dockerhub上能看到镜像的说明文档(README.md),而在docker registry上什么也看不到。主要是因为docker hub上默认是调用github上的秒速文件,所以我们可以想看代码的README文件一样去了解镜像。我们也不需要去花费力气去解决这个问题,但我们也必须应该要把Dockerfile放到git上或者是svn上,让docker镜像真正的代码化。这一点做到后,后面能省非常多的力气,而且这样也非常容易实现CI过程。

提示,在实际生产环境中不要使用latest作为镜像的tag,推荐在测试过程中镜像以commit id作为镜像的tag,到生产环境的镜像以产品stalbe版本号作为tag。

我们来回顾一下registry v1版本我们是如何实现push镜像的,要么需要配置--insecure-registr=0.0.0.0/0,要么需要配置一个nginx来实现用户验证和配置证书。

这篇文章主要可以概括为:真实经验交流,并实战构建docker registry。

下面命令其实也比较简单,大家看的不要烦啊!现在我们来构建一个有证书,有用户验证的registry server。

创建registry server端

1.下载registry2.2镜像

docker pull registry:2.2

2.生成自签名证书,如果是购买的证书就不用了,直接用购买的证书即可。假如域名是:reg.carson.com

创建目录:

mkdir registry && cd registry && mkdir certs && cd certs

openssl req -x509 -days 3650 -subj '/CN=reg.carson.com/' -nodes -newkey rsa:2048 -keyout registry.key -out registry.crt

3.生成用户和密码

cd .. && mkdir auth

docker run --entrypoint htpasswd registry:2.2 -Bbn testuser password > auth/htpasswd

用户:testuser 密码:password 可随便填写自己想填写的

4.启动registry server

docker run -d –p 5000:5000 --restart=always --name registry -v `pwd`/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd -v `pwd`/certs:/certs -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/registry.crt -e REGISTRY_HTTP_TLS_KEY=/certs/registry.key -v /data:/var/lib/registry registry:2.2

确认registry server是UP状态,docker ps -a | grep registry

配置docker client端

同registry server在同一台服务器上配置:

1.创建证书目录(没有此目录自己创建,注意端口号)

mkdir -p /etc/docker/certs.d/reg.carson.com:5000

2.下载证书

cp /certs/registry.crt /etc/docker/certs.d/reg.carson.com:5000

3.域名解析,如果有DNS解析无需做此步骤(registry-server-ip=192.168.1.10)

echo 192.168.1.10 reg.carson.com >> /etc/hosts

其他主机配置:

1.创建证书目录(没有此目录自己创建,注意端口号)

mkdir -p /etc/docker/certs.d/reg.carson.com:5000

2.下载证书

scp -r root@192.168.1.10:~/registry/certs/registry.crt /etc/docker/certs.d/reg.carson.com:5000

3.域名解析,如果有DNS解析无需做此步骤(registry-server-ip=192.168.1.10)

echo 192.168.1.10 reg.carson.com >> /etc/hosts

验证测试

1.登陆(注意加端口号)

docker login reg.carson.com:5000

2.输入用户testuser,密码password以及邮箱

3.更改镜像tag

docker tag busybox reg.carson.com:5000/busybox:1.0

4.push镜像

docker push reg.carson.com:5000/busybox:1.0

作者简介:

张春源,就职于希云cSphere,希云docker开源免费实训课程专家。国内最早期的Docker实践者,在生产环境拥有一年多的Docker容器管理经历。 深刻理解Docker对于开发、测试以及运维的价值。 擅长利用Docker构建整个DevOps自动化平台。 热爱专研Dockerfile,以及docker周围的技术,对CoreOS有深入研究。

本文分享自微信公众号 - CSDN技术头条(CSDN_Tech)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-11-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 漫话:如何给女朋友解释什么是缓存穿透、缓存击穿、缓存雪崩?

    周末在家面试,和候选人聊到Redis的问题,于是问了他一个问题:你知道缓存穿透、缓存击穿和缓存雪崩吗?他们之间的区别是什么?分别怎么解决吗?

    CSDN技术头条
  • 微博宕机背后,高并发有哪些常见问题?

    上周,赵丽颖、冯绍峰结婚官宣造成微博宕机,那么回归技术,面对如此大的高并发流量和屡次崩溃的系统,作为程序员是否有较好的方法来应对及解决?在此,技术专家丁浪为我们...

    CSDN技术头条
  • 缓存那些事

    导语:在网络分层应用服务中,缓存的使用已比较普及,本文将结合作者实际工作经验总结,讲述在不同的场景下如何选择和使用适用的缓存框架,以达到提升服务质量,优化系统...

    CSDN技术头条
  • openshift/origin工作记录(8)——docker镜像垃圾回收

    版权声明:本文为博主原创文章,未经博主允许不得转载。博客地址:http://blog.csdn.net/huq...

    胡了了
  • 4 种方法将 Docker Registry 迁移至 Harbor

    Docker Distribution 是第一个是实现了打包、发布、存储和镜像分发的工具,起到 docker registry 的作用。(目前 Distribu...

    CNCF
  • Docker如何搭建私有registry镜像仓库

    说明:在docker01机器有registry镜像和docker-registry-web镜像,用搭建私有镜像仓库和web页面访问。

    踏歌行
  • Docker Hub 公有镜像在国内拉取加速配置

    版权声明:本文为耕耘实录原创文章,各大自媒体平台同步更新。欢迎转载,转载请注...

    耕耘实录
  • 手把手教你搭建Docker Registry私服

    关于Docker更多的概念将不在本文赘述了,作为虚拟化市场的一颗冉冉升起的新星,Docker得到了越来越多企业的青睐,越来越多的开发者决定拥入Docker的怀抱...

    猿哥
  • Docker 学习系列二之基本管理

    ---- 概述 之前对docker的基本的工作原理进行了简单的介绍和学习Docker工作原理 今天开始不断的学习Docker的容器、镜像和仓库管理。 Docke...

    BrianLv
  • ubuntu18.04 安装docker

    服务器是腾讯云的低配,已经吃灰好久,只放了公交的api,最近还被黑了,重装了系统,放着也是放着,打算拿来学习docker。

    青年码农

扫码关注云+社区

领取腾讯云代金券