局域網(wǎng)內(nèi)如何部署DockerRegistry

這篇文章主要介紹了局域網(wǎng)內(nèi)如何部署Docker Registry，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

成都創(chuàng)新互聯(lián)專(zhuān)業(yè)為企業(yè)提供新洲網(wǎng)站建設(shè)、新洲做網(wǎng)站、新洲網(wǎng)站設(shè)計(jì)、新洲網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、新洲企業(yè)網(wǎng)站模板建站服務(wù)，10余年新洲做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

在局域網(wǎng)內(nèi)部署 Docker Registry 可以極大的提升平時(shí) pull、push 鏡像的速度，從而縮短自動(dòng)化操作的過(guò)程。同時(shí)也可以緩解帶寬不足的問(wèn)題，真是一舉多得。本文將從創(chuàng)建單機(jī)的 Docker Registry 開(kāi)始，逐步完成局域網(wǎng)內(nèi)可用的 Docker Registry 的創(chuàng)建，并重點(diǎn)解釋如何使用 IP 地址訪(fǎng)問(wèn) Registry 的方法。

注意，本文假設(shè)你已經(jīng)在使用的 OS 中安裝了 docker 引擎。

創(chuàng)建本機(jī)使用的 Docker Registry

這是一個(gè)非常簡(jiǎn)單的過(guò)程，簡(jiǎn)單到只需要運(yùn)行一個(gè) docker 容器就可以了：

$ docker run -d -p 5000:5000 --restart=always --name registry \
-v `pwd`/registry:/var/lib/registry \
registry:2

查看一下 5000 端口是否已被監(jiān)聽(tīng)：

看起來(lái)還不錯(cuò)，讓我們向本地的 Registry 中推送一個(gè)鏡像試試。

先找個(gè)鏡像，打上自己的 tag：

$ docker pull ubuntu
$ docker tag ubuntu localhost:5000/myubuntu:20170520

從上圖我們可以看到，兩個(gè)鏡像完全是一樣的，只不過(guò)我們創(chuàng)建的 tag 名稱(chēng)不一樣而已。

接下來(lái)把鏡像 push 到本地的 Registry 中：

$ docker push localhost:5000/myubuntu:20170520

上圖顯示 push 操作成功了，那再看看文件系統(tǒng)發(fā)生了什么變化：

在我們掛載的 ~/registry 目錄的子目錄中出現(xiàn)了保存鏡像 myubuntu 的目錄，在這個(gè)目錄下保存了鏡像相關(guān)的數(shù)據(jù)。

最后我們看看能不能從自己的庫(kù)中 pull 鏡像。先把本地的鏡像 localhost:5000/myubuntu:20170520 刪除掉：

$ docker rmi localhost:5000/myubuntu:20170520

然后從本地的庫(kù)中 pull 鏡像：

$ docker pull localhost:5000/myubuntu:20170520

是不是 pull 操作已經(jīng)成功啦！

創(chuàng)建局域網(wǎng)內(nèi)可用的 Docker Registry

前面創(chuàng)建的 Registry 可以在局域網(wǎng)內(nèi)使用嗎？我們來(lái)做個(gè)試驗(yàn)。

運(yùn)行 Registry 的機(jī)器 IP 為：192.168.171.156，我們?cè)诰钟蚓W(wǎng)中的另一臺(tái)機(jī)器上創(chuàng)建 tag 并執(zhí)行推送命令：

推送失敗了！原因是為了保證安全，跨機(jī)的鏡像推送操作默認(rèn)采用的都是 https 協(xié)議。也就是說(shuō)，為了在局域網(wǎng)內(nèi)使用 Docker Registry， 我們必須配置 https 版的 Registry 服務(wù)器。

選擇通過(guò) IP 地址訪(fǎng)問(wèn) registry

由于種種原因，筆者無(wú)法為這臺(tái) Docker Registry Server 提供一個(gè)有效的域名。好在它的 IP 地址是固定的，因此決定通過(guò) IP 地址來(lái)訪(fǎng)問(wèn)這臺(tái) Registry 服務(wù)器。假設(shè)這臺(tái)機(jī)器的 IP 地址為：10.32.2.140，下面的描述都以此 IP 地址為例。

創(chuàng)建自簽名的證書(shū)

既然是在局域網(wǎng)中使用，因此不會(huì)大動(dòng)干戈的去購(gòu)買(mǎi) https 證書(shū)，自己生成一個(gè)自簽名的就足夠了。但這也存在一個(gè)缺點(diǎn)，就是需要在作為客戶(hù)端的 docker daemon 中安裝這個(gè)根證書(shū)，本文的稍后部分會(huì)介紹這一步驟。

在 ubuntu 系統(tǒng)中，下面的命令會(huì)在 dcerts 目錄下生成秘鑰和自簽名的證書(shū)：

openssl req \
  -newkey rsa:4096 -nodes -sha256 \
  -keyout dcerts/domain.key \
  -x509 -days 356 \
  -out dcerts/domain.crt

注意，在執(zhí)行此命令前需要在當(dāng)前目錄下創(chuàng)建 dcerts 目錄。此命令的細(xì)節(jié)本文就不解釋了，有興趣的同學(xué)去查 openssl 命令的幫助文檔。

生成證書(shū)時(shí)，openssl 要求我們輸入相關(guān)的信息。比如地域和公司、部門(mén)的信息。比較重要的是 Common Name，如果你是要為某個(gè)域名生成證書(shū)，那么這里就應(yīng)該是你的域名。我們使用的是 IP 地址，所以我就想當(dāng)然的把 IP 地址放在了這里。很遺憾的是這并不正確！如果拿此時(shí)生成的證書(shū)去配置 Docker Registry，我們將無(wú)法完成 pull/push 操作。配置的 Registry 根本無(wú)法在局域網(wǎng)中使用。

此處是一個(gè)很隱晦的 openssl 配置問(wèn)題，當(dāng)我們使用 IP 地址作為訪(fǎng)問(wèn)服務(wù)器的名稱(chēng)時(shí)就會(huì)碰到。解決的方法也很簡(jiǎn)單，就是在生成證書(shū)的配置文件中指定 subjectAltName 。打開(kāi)文件 /etc/ssl/openssl.cnf，在 [v3_ca] 節(jié)點(diǎn)添加配置項(xiàng)：

subjectAltName = IP:10.32.2.140

保存并退出，然后重新執(zhí)行上面生成證書(shū)的命令。

運(yùn)行 https 版的 Registry

有了前面創(chuàng)建的證書(shū)，我們就可以運(yùn)行新版的 Registry 了：

$ docker run -d -p 5000:5000 \
  --restart=always \
  --name registry \
  -v `pwd`/dstorage:/var/lib/registry \
  -v `pwd`/dcerts:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

命令中我們把證書(shū)所在的目掛載到了容器的 /certs 目錄。然后分別指定了容器的環(huán)境變量 REGISTRY_HTTP_TLS_CERTIFICATE 和 REGISTRY_HTTP_TLS_KEY，這兩個(gè)環(huán)境變量會(huì)引用我們常見(jiàn)的秘鑰文件和證書(shū)文件。

好了，到目前為止新版的 Docker Registry 已經(jīng)可以提供服務(wù)了。

在 client 端設(shè)置根證書(shū)

為了快速、方便和省錢(qián)，我們沒(méi)有去購(gòu)買(mǎi)商業(yè)版的證書(shū)。這種方式的弊端是：必須把我們生成的根證書(shū)安裝到每一個(gè)需要訪(fǎng)問(wèn) Registry 服務(wù)器的客戶(hù)端上。具體做法如下：

把前面生成的證書(shū)文件 dcerts/domain.crt 復(fù)制到需要訪(fǎng)問(wèn) Registry 服務(wù)器的機(jī)器上。放到目錄 /etc/docker/certs.d/10.32.2.140:5000/ 中，并重命名為 ca.crt。當(dāng)然這個(gè)目錄需要你自己創(chuàng)建。最后重新啟動(dòng) docker 服務(wù)：

$ sudo systemctl restart docker.service    // 不同的系統(tǒng)重啟服務(wù)的命令可能不一樣。

終于大功告成了，讓我們往 Registry 中推送一個(gè)鏡像吧：

看，redis:3.2 已經(jīng)被 tag 為 10.32.2.140:5000/myredis:20170520，并推送到了局域網(wǎng)中的 Docker Registry Server 中。
為了驗(yàn)明正身，我們還是到 10.32.2.140 上去看一下文件存儲(chǔ)的狀態(tài)：

從這張圖中我們可以看到，myredis:20170520 真的已經(jīng)被 Registry 保存到文件系統(tǒng)中了。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“局域網(wǎng)內(nèi)如何部署Docker Registry”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持創(chuàng)新互聯(lián)，關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!

名稱(chēng)欄目：局域網(wǎng)內(nèi)如何部署DockerRegistry
本文來(lái)源：http://muchs.cn/article46/gjsdhg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供關(guān)鍵詞優(yōu)化、自適應(yīng)網(wǎng)站、做網(wǎng)站、小程序開(kāi)發(fā)、、App設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)