如何构建企业级Docker Registry Server

很多人问我,虚拟机镜像和docker镜像的区别是什么?其实区别非常明显,我们可以通过阅读Dockerfile文件就可以知道这个镜像都做了哪些操作,能提供什么服务;但通过虚拟机镜像,你能一眼看出来虚拟机镜像里面多做了哪些操作,能提供什么服务吗?更突出的是我们都说是mysql镜像,Wordpress镜像,从不说是虚拟机镜像。这点就更能说明docker是更贴近应用的,不单单是解决底层运行环境。

那么有了docker又如何呢?

  1. 我们可以快速构建,整体打包 (Build),在这个过程中主要是运维和研发需要更多的协助,编写Dockerfile来构建镜像
  2. 快速交付(Ship),研发以镜像作为交付,整体交付给测试人员,缩短研发和测试之间处理问题的周期
  3. 快速部署(Run),docker镜像保证了环境的一致性,让问题在部署前得到解决,更重要的是可以基于镜像,快速部署应用

总结起来其实所有的工作流程,都是围绕docker镜像来完成的。docker镜像贯串整个工作流程,那么镜像构建,交付,运行,以及镜像存储都非常重要。

当公司开始使用docker,到官方的docker hub上下载(pull)镜像,显然很不切合实际,而且咱这公司的网络环境是私有环境,都不允许访问外网,那就更不可能到官方的hub去下载镜像。所以我们接下来分享实战构建企业级的Docker Registry Server。

然后我们来理解一下什么是Docker镜像,什么是dockerregistry。理解docker镜像和docker registry的关系也非常容易。我们把docker镜像看成是“源代码文件“,registry server就是”git仓库“,平日我们写好的代码文件都需要push到代码仓库中,对于docker镜像也一样,镜像打包好以后需要提交到registry server服务器上让测试人员构建测试环境,或者是上线业务。

公司业务不仅仅是单个,而且还会越来越多,那么镜像也就相对会越来越多,我们需要重点考虑如何管理镜像之间的依赖关系,并要实现自动构建,实现持续集成。

我们需要考虑镜像存储到什么地方,确保镜像安全可用。

  1. 我们可以把镜像存储到宿主机本地,但这样传输镜像不方便,可靠性低,而且镜像唯一性不好确定。
  2. 所以我们需要把镜像统一都存储到registry server上,这样传输镜像就更加方便,也能保证镜像的唯一性,并且可靠性高,registry server可以把镜像存储到存储服务器上。

目前支持的后端存储有,openstack-swift,S3,Azure,OSS(aliyun),GCS(Google cloud storage),今天实战文章不去实战此过程。

镜像仓库好比就是APP store,我们可以到仓库里面去挑选自己想要的APP,然后下载到手机或者电脑上进行安装使用。docker镜像和仓库也类似。

目前docker registry版本是2.2,也是当前最新的版本。

registry2.2的特性有,目前是用go语言去写的,性能提升比v1能高2-3倍,安全和性能上有很多的提升,那么v1有哪些安全隐患呢?

v1版本,镜像的id是随机生成的,所以每次构建一个层都会随机生成一个新ID,即使是层的内容相同。这样会有一个风险就是层的内容文件会被串改,因为最终验证的是id,而不是里面的内容。

v2版本,镜像ID是通过sha256做hash得出来的,这样一来同样的内容就会得到的是一样的ID。镜像id这点能保证了,但还是有其他的问题。细心的同学会发现运行docker pull镜像下载完后,会看到Digest字段,看起来docker像是想用此字符来取代tag.只是猜测不知道后续会发展成什么一样。

这个地方普及一个知识点,有人问,我在dockerhub上能看到镜像的说明文档(README.md),而在docker registry上什么也看不到。主要是因为docker hub上默认是调用github上的秒速文件,所以我们可以想看代码的README文件一样去了解镜像。我们也不需要去花费力气去解决这个问题,但我们也必须应该要把Dockerfile放到git上或者是svn上,让docker镜像真正的代码化。这一点做到后,后面能省非常多的力气,而且这样也非常容易实现CI过程。

提示,在实际生产环境中不要使用latest作为镜像的tag,推荐在测试过程中镜像以commit id作为镜像的tag,到生产环境的镜像以产品stalbe版本号作为tag。

我们来回顾一下registry v1版本我们是如何实现push镜像的,要么需要配置--insecure-registr=0.0.0.0/0,要么需要配置一个nginx来实现用户验证和配置证书。

这篇文章主要可以概括为:真实经验交流,并实战构建docker registry。

下面命令其实也比较简单,大家看的不要烦啊!现在我们来构建一个有证书,有用户验证的registry server。

创建registry server端

1.下载registry2.2镜像

docker pull registry:2.2

2.生成自签名证书,如果是购买的证书就不用了,直接用购买的证书即可。假如域名是:reg.carson.com

创建目录:

mkdir registry && cd registry && mkdir certs && cd certs

openssl req -x509 -days 3650 -subj '/CN=reg.carson.com/' -nodes -newkey rsa:2048 -keyout registry.key -out registry.crt

3.生成用户和密码

cd .. && mkdir auth

docker run --entrypoint htpasswd registry:2.2 -Bbn testuser password > auth/htpasswd

用户:testuser 密码:password 可随便填写自己想填写的

4.启动registry server

docker run -d –p 5000:5000 --restart=always --name registry -v `pwd`/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd -v `pwd`/certs:/certs -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/registry.crt -e REGISTRY_HTTP_TLS_KEY=/certs/registry.key -v /data:/var/lib/registry registry:2.2

确认registry server是UP状态,docker ps -a | grep registry

配置docker client端

同registry server在同一台服务器上配置:

1.创建证书目录(没有此目录自己创建,注意端口号)

mkdir -p /etc/docker/certs.d/reg.carson.com:5000

2.下载证书

cp /certs/registry.crt /etc/docker/certs.d/reg.carson.com:5000

3.域名解析,如果有DNS解析无需做此步骤(registry-server-ip=192.168.1.10)

echo 192.168.1.10 reg.carson.com >> /etc/hosts

其他主机配置:

1.创建证书目录(没有此目录自己创建,注意端口号)

mkdir -p /etc/docker/certs.d/reg.carson.com:5000

2.下载证书

scp -r root@192.168.1.10:~/registry/certs/registry.crt /etc/docker/certs.d/reg.carson.com:5000

3.域名解析,如果有DNS解析无需做此步骤(registry-server-ip=192.168.1.10)

echo 192.168.1.10 reg.carson.com >> /etc/hosts

验证测试

1.登陆(注意加端口号)

docker login reg.carson.com:5000

2.输入用户testuser,密码password以及邮箱

3.更改镜像tag

docker tag busybox reg.carson.com:5000/busybox:1.0

4.push镜像

docker push reg.carson.com:5000/busybox:1.0

作者简介:

张春源,就职于希云cSphere,希云docker开源免费实训课程专家。国内最早期的Docker实践者,在生产环境拥有一年多的Docker容器管理经历。 深刻理解Docker对于开发、测试以及运维的价值。 擅长利用Docker构建整个DevOps自动化平台。 热爱专研Dockerfile,以及docker周围的技术,对CoreOS有深入研究。

原文发布于微信公众号 - CSDN技术头条(CSDN_Tech)

原文发表时间:2015-11-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏纯洁的微笑

Docker(一):Docker入门教程

如今Docker的使用已经非常普遍,特别在一线互联网公司。使用Docker技术可以帮助企业快速水平扩展服务,从而到达弹性部署业务的能力。在云服务概念兴起之后,D...

36450
来自专栏Java面试通关手册

可能是把Docker的概念讲的最清楚的一篇文章

本文只是对Docker的概念做了较为详细的介绍,并不涉及一些像Docker环境的安装以及Docker的一些常见操作和命令。

32420
来自专栏企鹅号快讯

【分享吧】带你初识Docker

一、引言 如今,Docker作为业界领先的轻量级虚拟化容器管理引擎,给全球开发者提供了一种新颖、便捷的软件集成测试与部署之道。Docker借助容器技术彻底释放了...

24750
来自专栏西安-晁州

Docker学习之基本概念

Docker学习之基本概念 作为一个后端noder,不了解docker有点说不过去,这节开始,学习一些docker层面的东西。 什么是docker Docker...

343120
来自专栏云计算D1net

容器技术教程:如何将Docker应用持续部署至Kubernetes当中

作为一款重要的容器编排工具,Kubenetes Deployment能够为我们带来出色的部署能力——但在实际操作中,我们该如何将其整合至自己的Codeship工...

33190
来自专栏北京马哥教育

高中生也能读懂的Docker入门教程

Docker 是 Golang 编写的, 自 2013 年推出以来,受到越来越多的开发者的关注。如果你关注最新的技术发展,那么你一定听说过 Docker。不管...

40470
来自专栏我是攻城师

容器化网页应用

37460
来自专栏程序员同行者

docker学习笔记

Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。简言之,docker就是用go开发的一种轻量级虚拟化容器。

12020
来自专栏python3

Docker是啥?

Docker的图标代表,它托着许多集装箱。我们可以把宿主机可当做这只鲸鱼,把相互隔离的容器可看成集装箱,每个集装箱中都包含自己的应用程序。

12020
来自专栏BestSDK

Docker的三大核心概念

Docker是啥 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可...

30750

扫码关注云+社区

领取腾讯云代金券