目录

一、在docker的官方网站中直接创建

二、搭建自己本地的仓库

2.1、搭建自己的本地仓库

2.2、为本地镜像添加认证

2.2.1、添加证书加密功能

        2.2.2、添加用户登录认证

三、部署Harbor仓库


        总所周知,Docker的强大主要是依赖于其仓库中镜像的存在,公用仓库不用说,那如何创建一个私有的个人仓库呢,本片文章小编会从三个方面进行简单的阐述。

一、在docker的官方网站中直接创建

       首先在官方网址(https://hub.docker.com/)中,创建属于自己的账户,在Repository中创建自己的仓库。


docker 搭建本地仓库 docker自建仓库_HTTP


图 1 在官网中创建自己的仓库

 根据所需仓库要求,根据上述选项创建在官网自己的镜像仓库。

        远程登录自己的镜像仓库,并进行相应的操作(具体操作在本地搭建私有仓库时进行讲解)。


docker 搭建本地仓库 docker自建仓库_docker_02

图 2 登录自己的doker官方仓库

二、搭建自己本地的仓库

2.1、搭建自己的本地仓库

        在Docker的官方镜像中已经给我们提供了自己搭建仓库的镜像,我们只需要下载即可:


##获取官方镜像
[root@server1 ~]# docker pull registry        
[root@server1 ~]# docker images registry

##以该镜像为基础,启动容器
[root@server1 ~]# docker run -d --name registry -p 5000:5000 -v /opt/registry:/var/lib/registry registry

##上传镜像(需要先更改镜像名称,以指定上传的仓库)
[root@server1 ~]# docker tag webserver:latest localhost:5000/webservr:latest
[root@server1 ~]# docker push localhost:5000/webservr  ##上传

##查看挂载的地址
[root@server1 ~]# tree /opt/registry

##查看所挂载的镜像
[root@server1 ~]# curl localhost:5000/v2/_catalog


docker 搭建本地仓库 docker自建仓库_HTTP_03

图 3 搭建本地仓库


docker 搭建本地仓库 docker自建仓库_docker 搭建本地仓库_04

图 4 给本地仓库上传镜像

         上述过程就是我们简单的搭建了一个个人本地私有仓库,可以进行镜像的上传和获取!

[注] docker在镜像的上传和下载过程中默认的方式为:HTTPS。在上述测试过程中,我们可以临时将本地的仓库设为不安全的通信方式:


##设定registry为不安全的方式
[root@server1 docker]# /etc/docker/daemon.json
##文件内容
{
  "insecure-registries" : ["myregistrydomain.com:5000"]  ##myregistrydomain.com表明仓库的地址
}


docker 搭建本地仓库 docker自建仓库_HTTP_05

图 5 使用不安全方式给本地仓库上传镜像

2.2、为本地镜像添加认证

2.2.1、添加证书加密功能


##官方文档:https://docs.docker.com/registry/insecure/

##创建自签名证书
[root@server1 ~]# mkdir -p certs

[root@server1 ~]#  openssl req  -newkey rsa:4096 -nodes -sha256 -keyout certs/westos.key    -x509 -days 365 -out certs/westos.crt

##签名填写
##在填写签名是,需要注意域名的填写,需要和认证保持一致

##创建成功后,重新搭建容器registry(官方文档:https://docs.docker.com/registry/deploying/)
[root@server1 ~]# docker run -d --name registry  -v "$(pwd)"/certs:/certs  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.key -v /op/registry:/var/lib/registry  -p 443:443 registry

##查看存在的镜像
[root@server1 ~]# curl -k https://localhost/v2/busybox/tags/list

##上传镜像
#把生成的证书传到docker的配置文件中
[root@server1 ~]# mkdir -p /etc/docker/certs/reg.westos.org/
[root@server1 ~]# cp ~/certs/wetsos.org.crt /etc/docker/certs/reg.westos.org/ca.crt

##本地传输
[root@server1 ~]# docker push localhost:443/webservr
[root@server1 ~]# docker push reg.westos.org/webservr

##远程传输
#复制证书文件
[root@server1 ~]# scp /root/certs/westos.org.crt server:/etc/docker/certs/reg.westos.org/ca.crt

#远程传输(需要提前更改好标签,做好地址解析)
[root@server2 ~]# docker push reg.westos.org/webserver:latest


docker 搭建本地仓库 docker自建仓库_上传_06

图 6 生成CA认证证书


docker 搭建本地仓库 docker自建仓库_HTTP_07

图 7 添加证书启动镜像


docker 搭建本地仓库 docker自建仓库_HTTP_08

图 8 使用认证的方式进行上传镜像

 2.2.2、添加用户登录认证


##官方文档:https://docs.docker.com/registry/deploying/

##安装htpasswd工具
[root@server1 ~]# yum install -y httpd-tools

##生成用户加密文件
[root@server1 ~]# mkdir auth
[root@server1 ~]# htpasswd -Bc auth/htpasswd admin     ## B 表示强制认证
[root@server1 ~]# htpasswd -B auth/htpasswd linux      ## c 表示第一次创建

##重现启动容器(使用镜像重新生成)

[root@server1 ~]# docker rm -f registry
[root@server1 ~]# docker run -d --name registry -v /opt/registry:/var/lib/registry -p 443:443 -v  "$(pwd)"/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.org.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.org.key -v "$(pwd)"/auth:/auth -e "REGISTRY_AUTH=htpasswd"  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm"  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd registry

##登录仓库,进行文件上传
[root@server1 ~]# docker login reg.westos.org
#远程登录:保证网络畅通即可(需要注意的是这里启动时我们采用的是加密的传输方式,所以需要先将证书复制到docker文件中(/etc/docker/certs.d/reg.westos.org/ca.crt))
[root@server2 ~]# docker login reg.westos.org


docker 搭建本地仓库 docker自建仓库_docker 搭建本地仓库_09

图 9 使用thpasswd创建登录用户

  


docker 搭建本地仓库 docker自建仓库_上传_10

图  10 在CA认证的基础上添加用户认证

三、部署Harbor仓库


##资源下载:https://github.com/goharbor/harbor/releases

##解压安装包
[root@server1 app]# tar zxf harbor-offline-installer-v2.3.2.tgz 

##安装docker-compose文件
[root@server1 harbor]# cat /usr/local/bin/docker-compose-linux-x86_64 >> /usr/local/bin/docker-compose
[root@server1 harbor]# chmod +x /usr/local/bin/docker-compose
[root@server1 harbor]# ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose


##编辑配置文件
[root@server1 harbor]#  vim harbor.yml.tmpl

##运行
[root@server1 harbor]#  ./install/sh

[root@server1 harbor]# ./install.sh --with-notary --with-chartmuseum --with-trivy


 【注】上述安装过程中可能会出现安装包的依赖性,此时需要安装docker-compose管理工具:


docker 搭建本地仓库 docker自建仓库_docker 搭建本地仓库_11

图 11初步安装harbor


docker 搭建本地仓库 docker自建仓库_docker_12

图 12 修改harbor的初始配置文件

 


docker 搭建本地仓库 docker自建仓库_docker_13

图 13 修改harbor的配置文件

  

         如果注释证书,此时需要将--insecure-reghistry添加到客户端的Docker的守护进程中,默认文件夹位置为:/etc/docker/daemo.json

        内容:


{ "registry-mirrors": ["https://reg.westos.org"], ####换成自己的镜像仓库地址,下载时也会首先从本地下载 "insecure-registries" : ["172.25.21.5:80", "0.0.0.0"]}


配置完成后需要重启服务:


systemctl restart dockerdocker-compose down -vdocker-compose up -d


 启动成功后,自动产生docker-compose.yml的配置文件


docker 搭建本地仓库 docker自建仓库_上传_14

图 14 成功启动后的harbor配置目录

  启动后的容器:


docker 搭建本地仓库 docker自建仓库_docker_15

图 15 harbor所启动的容器

  在网页登录:


docker 搭建本地仓库 docker自建仓库_HTTP_16

图 16 harbor的图形化登录界面

使用docker-compose命令查看启动的容器组 :


docker 搭建本地仓库 docker自建仓库_HTTP_17

图 17 docer=compose的管理命令

  


##harbor的使用,通常情况下使用docker-compose进行管理
docker-compose down 关闭管理组中的的所有容器
docker-compose stop 临时停止容器组中的所有容器
docker-compose start 重现启动容器组中的所有容器



docker 搭建本地仓库 docker自建仓库_docker 搭建本地仓库_18

图 18 docer=compose的管理命令


docker 搭建本地仓库 docker自建仓库_HTTP_19

图 19 docer=compose的管理命令

 根据需求重新安装Harbor:


docker 搭建本地仓库 docker自建仓库_HTTP_20

图 20 添加harbor的镜像扫描的额外功能,重新启动

必须设置标签(这里做签名),在获取镜像时需要写入全部名称(eg:docker pull reg.westos.org/westos/ubuntu)。其他操作和私有仓库相同,这里不再做赘述,只进行签名认证的阐述。

##镜像签名
##部署根证书
/etc/docker/certs.d/reg.westos.org/ca/crt
~/.docker/tls/reg.westos.org:4443/ca.crt

##启用docker内容信任
export DOCKER_CONTENT_TRUST=1
export DOCKER_CONTENT_TRUST_SERVER=https://reg.westos.org:4443

##长传镜像
docker push reg.westos.org/library/nginx:lattest

##过程会生成两个密钥,包括根root key和仓库key

##删除签名
export DOCKER_CONTENT_TRUST=0
docker trust reovke reg.westos.org/library/nginx:latest