2.使用nexus3配置docker私有仓库

1，配置走起

1，创建blob存储

登陆之后，先创建一个用于存储镜像的空间。

定义一个name，下边的内容会自动补全。

然后保存。

注意：实际生产中使用，建议服务器存储500G或以上。

2，创建一个hosted类型的docker仓库

Hosted类型仓库用作我们的私有仓库，替代harbor的功能。

点击步骤如下：

而后可见所支持种类之丰富，可见一斑。

这里我们看到docker类型有三种：

• hosted : 本地存储，即同 docker 官方仓库一样提供本地私服功能。
• proxy : 提供代理其他仓库的类型，如 docker 中央仓库。
• group : 组类型，实质作用是组合多个仓库为一个地址。

先来创建一个hosted类型的私有仓库。

点击 Repository下面的 Repositories – Create repository – docker(hosted) :

Name: 定义一个名称docker-local

Online: 勾选。这个开关可以设置这个Docker repo是在线还是离线。

Repository Connectors

• 下面包含HTTP和HTTPS两种类型的port。

• 有什么用呢？说明讲得很清楚：

• 连接器允许docker客户端直接连接到docker仓库，并实现一些请求操作，如docker pull, docker push, API查询等。但这个连接器并不是一定需要配置的，尤其是我们后面会用group类型的docker仓库来聚合它。

我们把HTTP这里勾选上，然后设置端口为8083。

Allow anonymous docker pull

不勾选。这样的话就不允许匿名访问了，执行docker pull或 docker push之前，都要先登录：docker login

Docker Registry API Support

Docker registry默认使用的是API v2, 但是为了兼容性，我们可以勾选启用API v1。

Storage

Blob store：我们下拉选择前面创建好的专用blob：docker-hub。

Hosted

开发环境，我们运行重复发布，因此Delpoyment policy 我们选择Allow redeploy。

整体配置截图如下：

3，创建一个proxy类型的docker仓库

proxy类型仓库，可以帮助我们访问不能直接到达的网络，如另一个私有仓库，或者国外的公共仓库，如官方的dockerhub镜像库。

创建一个proxy类型的仓库

Name: proxy-docker-hub

Repository Connectors: 不设置。

Proxy

Remote Storage: docker hub的proxy，这里填写: https://registry-1.docker.io 这个是官方默认的一个链接

Docker Index： Use Docker Hub

Storage：idocker-hub

整体配置截图如下：

4，创建一个group类型的docker仓库

group类型的docker仓库，是一个聚合类型的仓库。它可以将前面我们创建的3个仓库聚合成一个URL对外提供服务，可以屏蔽后端的差异性，实现类似透明代理的功能。

name：docker-group

Repository Connectors：启用了一个监听在8082端口的http连接器；

Storage：选择专用的blob存储idocker-hub。

group : 将左边可选的3个仓库，添加到右边的members下。

整体配置截图如下：

最终效果

到这儿，nexus在docker这一块是部署已经完成了，但是这样并不能很好的使用。因为group仓库并不能推送镜像，因为你推送自己制作的镜像到仓库还得通过本地仓库的端口去推送，很不方便！

有一个解决方法：通过Nginx来判断推镜像还是拉镜像，然后代理到不同端口

5，nginx代理方式访问仓库

在部署 Nginx 部分，需要先生成自签名 SSL 证书，因为后面不想在 docker pull 的时候还要带一个端口！这里需要 2 个域名，一个用来展示 nexus 前台，另一个用做 docker 仓库，比如：

• nexus 前台：repo.ald.com
• docker 仓库：idocker.io

1.安装nginx

yum -y install nginx

2.生成证书

这里推荐一个一键生成工具，大家可以尝试使用：https://github.com/Fishdrowned/ssl ，使用方法请参考作者说明。

Ps：如果你打算做外网仓库服务，那也可以去申请一个免费SSL证书，我这边是内部oa域名使用，所以只能用自签名证书了。

创建证书方式如下：

#直接切换到应用目录
# cd /etc/nginx/conf.d/

#下载工具
# git clone https://github.com/Fishdrowned/ssl.git
Cloning into 'ssl'...
remote: Enumerating objects: 106, done.
remote: Total 106 (delta 0), reused 0 (delta 0), pack-reused 106
Receiving objects: 100% (106/106), 171.53 KiB | 286.00 KiB/s, done.
Resolving deltas: 100% (48/48), done.

#生成证书
# cd ssl
# ./gen.cert.sh idocker.io

Removing dir out
Creating output structure
Done
Generating a 2048 bit RSA private key
......+++
......................................................................................................................+++
writing new private key to 'out/root.key.pem'
-----
Generating RSA private key, 2048 bit long modulus
...............................................................................+++
.................................+++
e is 65537 (0x10001)
Using configuration from ./ca.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'CN'
stateOrProvinceName   :ASN.1 12:'Guangdong'
localityName          :ASN.1 12:'Guangzhou'
organizationName      :ASN.1 12:'Fishdrowned'
organizationalUnitName:ASN.1 12:'idocker.io'
commonName            :ASN.1 12:'*.idocker.io'
Certificate is to be certified until Jun 12 04:29:18 2022 GMT (730 days)

Write out database with 1 new entries
Data Base Updated

Certificates are located in:
lrwxrwxrwx 1 root root 37 6月  12 12:29 /etc/nginx/conf.d/ssl/out/idocker.io/idocker.io.bundle.crt -> ./20200612-1229/idocker.io.bundle.crt
lrwxrwxrwx 1 root root 30 6月  12 12:29 /etc/nginx/conf.d/ssl/out/idocker.io/idocker.io.crt -> ./20200612-1229/idocker.io.crt
lrwxrwxrwx 1 root root 15 6月  12 12:29 /etc/nginx/conf.d/ssl/out/idocker.io/idocker.io.key.pem -> ../cert.key.pem
lrwxrwxrwx 1 root root 11 6月  12 12:29 /etc/nginx/conf.d/ssl/out/idocker.io/root.crt -> ../root.crt

3.配置nginx

# ip地址可以换成内网ip
upstream nexus_docker_get {
    server 192.168.75.11:8082;
}

upstream nexus_docker_put {
    server 192.168.75.11:8083;
}
server {
    listen 80;
    listen 443 ssl;
    server_name idocker.io;
    access_log /var/log/nginx/idocker.io.log;
    # 证书
    ssl_certificate /etc/nginx/conf.d/ssl/out/idocker.io/idocker.io.crt; # 证书路径根据上面生成的来定
    ssl_certificate_key /etc/nginx/conf.d/ssl/out/idocker.io/idocker.io.key.pem;
    ssl_protocols TLSv1.1 TLSv1.2;
    ssl_ciphers '!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:';
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    # disable any limits to avoid HTTP 413 for large image uploads
    client_max_body_size 0;
    # required to avoid HTTP 411: see Issue #1486 (https://github.com/docker/docker/issues/1486)
    chunked_transfer_encoding on;
    # 设置默认使用推送代理
    set $upstream "nexus_docker_put";
    # 当请求是GET，也就是拉取镜像的时候，这里改为拉取代理，如此便解决了拉取和推送的端口统一
    if ( $request_method ~* 'GET') {
        set $upstream "nexus_docker_get";
    }
    # 只有本地仓库才支持搜索，所以将搜索请求转发到本地仓库，否则出现500报错
    if ($request_uri ~ '/search') {
        set $upstream "nexus_docker_put";
    }
    index index.html index.htm index.php;
    location / {
        proxy_pass http://$upstream;
        proxy_set_header Host $host;
        proxy_connect_timeout 3600;
        proxy_send_timeout 3600;
        proxy_read_timeout 3600;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_buffering off;
        proxy_request_buffering off;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto http;
    }
}

nginx -t 检查没有问题的话，就可以启动nginx了。

4.客户端配置

部署完成之后，我们就可以找一台测试机器进行测试了，不过因为我们刚刚定义的是内部使用的域名，所以需要在测试机器上写hosts解析，并将证书拷贝过去，否则会报不信任的错误。

在上文介绍的一键生成自签名工具中，会生成一个根证书，名称为/etc/nginx/conf.d/ssl/out/idocker.io/root.crt，我们将这个文件上传到客户端服务器的 /etc/docker/certs.d/idocker.io 目录即可（注意目录需要创建，最后的文件夹名称和仓库域名保持一致：idocker.io）。

现在到一台新主机192.168.75.10上测试：

# 主机192.168.75.10上的操作
echo "192.168.75.11 idocker.io" >> /etc/hosts
mkdir -p /etc/docker/certs.d/idocker.io

# 然后去nexus主机上，将刚才的证书拷过来
scp root.crt root@192.168.75.10:/etc/docker/certs.d/idocker.io

接下来，就可以开始真正的使用了。

6，正式验证

1，pull镜像

[root@master ~]# docker pull redis
Using default tag: latest
latest: Pulling from library/redis
8559a31e96f4: Pull complete
85a6a5c53ff0: Pull complete
b69876b7abed: Pull complete
a72d84b9df6a: Pull complete
5ce7b314b19c: Pull complete
04c4bfb0b023: Pull complete
Digest: sha256:800f2587bf3376cb01e6307afe599ddce9439deafbd4fb8562829da96085c9c5
Status: Downloaded newer image for redis:latest
docker.io/library/redis:latest

2，登陆私服

这个地方也可能在登陆的时候会报错，说证书过期什么的，如下：

Error response from daemon: Get https://idocker.io/v1/users/: x509: certificate has expired or is not yet valid

报这个错的情况下，大概原因只有一个，那就是，两台服务器的时间不一致，只需要将两台服务器时间保持一致即可。

yum -y install ntpdate && ntpdate -u cn.pool.ntp.org

分别在两台主机执行之后，发现登陆就成功了。

[root@master ~]# docker login -u admin -p admin idocker.io
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

3,打标签

docker tag docker.io/library/redis:latest idocker.io/nginx

4,push镜像

[root@master ~]# docker push idocker.io/nginx
The push refers to repository [idocker.io/nginx]
7b9c5be81844: Pushed
67c707dbd847: Pushed
72d3a7e6fe02: Pushed
cdaf0fb0082b: Pushed
e6b49c7dcaac: Pushed
13cb14c2acd3: Pushed
latest: digest: sha256:76ff608805ca40008d6e0f08180d634732d8bf4728b85c18ab9bdbfa0911408d size: 1572

这里上传成功了，再去nexus3里边看看是有上去了。

5，测试从私服拉镜像

[root@master ~]# docker images
REPOSITORY                                                                    TAG                 IMAGE ID            CREATED             SIZE
redis                                                                         latest              235592615444        43 hours ago        104MB
idocker.io/redis                                                              latest              235592615444        43 hours ago        104MB
[root@master ~]# docker rmi idocker.io/redis
Untagged: idocker.io/redis:latest
Untagged: idocker.io/redis@sha256:76ff608805ca40008d6e0f08180d634732d8bf4728b85c18ab9bdbfa0911408d
[root@master ~]# docker images
REPOSITORY                                                                    TAG                 IMAGE ID            CREATED             SIZE
redis                                                                         latest              235592615444        43 hours ago        104MB
[root@master ~]# docker pull idocker.io/redis
Using default tag: latest
latest: Pulling from redis
Digest: sha256:76ff608805ca40008d6e0f08180d634732d8bf4728b85c18ab9bdbfa0911408d
Status: Downloaded newer image for idocker.io/redis:latest
idocker.io/redis:latest
[root@master ~]# docker images
REPOSITORY                                                                    TAG                 IMAGE ID            CREATED             SIZE
redis                                                                         latest              235592615444        43 hours ago        104MB
idocker.io/redis                                                              latest              235592615444        43 hours ago        104MB

7，代理的功能展示

当某一个镜像在我们本地仓库没有的时候，就需要从远程仓库拉取了，其他的私有仓库的操作大概都是要从远程拉取，然后在重复如上操作推到本地私有仓库，而nexus因为有了proxy功能，因此，当我们在pull远程镜像的时候，本地就会自动同步下来了.

以拉取gitlab镜像为例：

docker pull idocker.io/gitlab/gitlab-ce
Using default tag: latest
Trying to pull repository docker.io/gitlab/gitlab-ce ...
latest: Pulling from docker.io/gitlab/gitlab-ce
3b37166ec614: Pull complete
504facff238f: Pull complete
ebbcacd28e10: Pull complete
c7fb3351ecad: Pull complete
2e3debadcbf7: Pull complete
8e5e9b12009c: Pull complete
0720fffe6e22: Pull complete
2f336a213238: Pull complete
1656ee3e1127: Pull complete
25fa5248fd38: Pull complete
36b8c1d869a0: Pull complete
Digest: sha256:0dd22880358959d9a9233163147adc4c8f1f5d5af90097ff8dfa383c6be7e25a
Status: Downloaded newer image for docker.io/gitlab/gitlab-ce:latest

因为本地没有这个镜像，所以从远程仓库拉取，然后去仓库里看看啥情况：

经过查看可以发现：

docker-local里没有，proxy-docker-hub和docker-group里有

注意：删除的话只能在docker-local或proxy-docker-hub中删除，当在这两者中执行删除操作后，docker-group里会自动没有的

至此，基本上关于使用nexus3搭建docker私有仓库的知识点。