转载自:https://www.bilibili.com/read/cv15219863/?from=readlist



#1.下载registry仓库并设置数据存放的目录(并生成认证账号密码)

docker pull registry:2

mkdir -vp /opt/data/auth   #宿主机认证目录

mkdir -vp /opt/data/registry  #宿主机仓库目录

# 采用--entrypoint进行执行

docker run --entrypoint htpasswd httpd:2 -Bbn  testuser testpassword > auth/htpasswd

#2.运行下载的仓库镜像(我们常常指定一个本地数据卷给容器)

docker run -d -p 5000:5000 --name registry -v /opt/data/registry:/var/lib/registry registry:2  #未认证

## 加入认证 (已失效)

docker run -d -p 5000:5000 --restart=always --name docker-hub \

  -v /opt/data/registry:/var/lib/registry \

  -v /opt/data/auth:/auth \

  -e "REGISTRY_AUTH=htpasswd" \

  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \

  -e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \

  registry

#Docker 默认不允许非 HTTPS 方式推送镜像。我们可以通过 Docker 的配置选项来取消这个限制

# 3.修改docker的配置文件,让他支持http方式,上传私有镜像 (本地)

tee /etc/docker/daemon.json <<EOF

    # 写入如下内容

{

  "registry-mirror": [

    "https://registry.docker-cn.com"

  ],

  "insecure-registries": [

    "10.10.107.221:5000"

  ]

}

EOF

# 4.修改docker的服务配置文件(Ubuntu此步骤可以跳过)

vim /lib/systemd/system/docker.service

# 找到[service]这一代码区域块,写入如下参数

[Service]

EnvironmentFile=-/etc/docker/daemon.json

# 5.重新加载docker服务

systemctl daemon-reload

# 6.重启docker服务

systemctl restart docker

# 注意:重启docker服务,所有的容器都会挂掉

docker run -d -p 5000:5000 --name docker-registry -v /opt/data/registry:/var/lib/registry registry

# 7.修改本地镜像的tag标记,往自己的私有仓库推送

#docker tag weiyigeek/hello-world-docker 10.10.107.221:5000/weiyigeek  #对于修改名称的

$docker commit -m "alpine-sh" -a "weiyigeek" a63 10.10.107.221:5000/alpine-sh

sha256:b75ef26a9e1d92924914edcb841de8b7bdc0b336cea2c6cfbaaf6175e24472c6

$docker login 10.10.107.221:5000

Username: testuser

Password:

WARNING! Your password will be stored unencrypted in /root/.docker/config.json.

Configure a credential helper to remove this warning. See

https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

#上传我们的镜像文件

$docker push 10.10.107.221:5000/alpine-sh

The push refers to repository [10.10.107.221:5000/alpine-sh]

2a499f806f16: Pushed

f1b5933fe4b5: Pushed

latest: digest: sha256:6d13420cb9ce74095e2a71f565fc8c15ba17b40933e14534fc65775025eedd18 size: 735

# 8.下载私有仓库的镜像(查看)

docker pull 10.10.107.221:5000/weiyige

# http://10.10.107.221:5000/v2/_catalog  #查看仓库 需要进行认证

# http://10.10.107.221:5000/v2/[image_name]/tags/list #查看镜像版本列表

curl -XGET  http://10.10.107.221:5000/v2/_catalog -u testuser:testpassword

{"repositories":["alpine-sh"]}

可以从下图看到设置账号密码认证后直接访问Registry API将受到限制

# (1) Registry API

/var/lib/registry

# (2) Harbor 本地目录中

/data/harbor/registry/docker/registry/v2

# 查看镜像 Manifest 对应的blob id

$ cat repositories/release/cyclone-server/_manifests/tags/v0.5.0-beta.1/current/link

sha256:6d47a9873783f7bf23773f0cf60c67cef295d451f56b8b79fe3a1ea217a4bf98

# 查看镜像 Manifest

$ cat blobs/sha256/6d/6d47a9873783f7bf23773f0cf60c67cef295d451f56b8b79fe3a1ea217a4bf98/data

# Blob 数据的存储

# 查看镜像 blob 的位置和大小

$ du -s blobs/sha256/71/7118e0a5b59500ceeb4c9686c952cae5e8bfe3e64e5afaf956c7098854a2390e/data

7560 blobs/sha256/71/7118e0a5b59500ceeb4c9686c952cae5e8bfe3e64e5afaf956c7098854a2390e/data

(2) 为Registry私有镜像仓库配置auth认证与tls证书

# 创建参数

docker run -d \

  -p 443:443 \

  --restart=always \

  --name registry \

  -v /app/registry/data:/var/lib/registry \

  -v /app/registry/auth:/auth \

  -v /app/registry/cert:/cert \

  -e "REGISTRY_HTTP_ADDR=0.0.0.0:443" \

  -e "REGISTRY_AUTH=htpasswd" \

  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \

  -e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \

  -e "REGISTRY_HTTP_TLS_CERTIFICATE=/cert/hub.weiyigeek.top.crt" \

  -e "REGISTRY_HTTP_TLS_KEY=/cert/server.key" \

  registry:2

# 查看创建的registry 容器

$ docker ps --format "table {{.ID}}\t{{.Names}}\t{{.Ports}}"

CONTAINER ID   NAMES      PORTS

c8657bd20936   registry   0.0.0.0:443->443/tcp, 5000/tcp

(3) 登陆远程仓库时报证书签名错误及其解决办法

~$ docker login hub.weiyigeek.top

Login did not succeed, error: Error response from daemon: Get https://hub.weiyigeek.top/v2/: x509: certificate signed by unknown authority

Username: WeiyiGeek

Password: ********

# 解决办法:

# (1) 在 /etc/docker/daemon.json 中配置insecure-registries字段,表示允许不安全的仓库。

"insecure-registries": ["192.168.12.111:5000","hub.weiyigeek.top"]

# (2) 从官方文档可知客户端要使用tls与Harbor通信使用的还是`自签证书`,那么必须建立一个目录`/etc/docker/certs.d`

# 如果配置可能会出现 x509: certificate signed by unknown authority 错误提示。

mkdir -vp /etc/docker/certs.d/hub.weiyigeek.top

cp -a /deployapp/harbor/harbor.pem  /etc/docker/certs.d/hub.weiyigeek.top/harbor.crt

6.云原生之Docker容器Registry私有镜像仓库搭建实践的更多相关文章

  1. 4.云原生之Docker容器数据持久化介绍与实践

    转载自:https://www.bilibili.com/read/cv15182308/?from=readlist #### 创建一个web容器并创建一个数据卷挂载到容器的/webapp目录下(默 ...

  2. 3.云原生之Docker容器三大核心概念介绍

    转载自:https://www.bilibili.com/read/cv15181760/?from=readlist docker search --no-trunc=false [镜像名称] #搜 ...

  3. 5.云原生之Docker容器网络介绍与实践

    转载自:https://www.bilibili.com/read/cv15185166/?from=readlist 例如, 当在一台未经过特殊网络配置的centos 或 ubuntu机器上安装完d ...

  4. Docker部署Registry私有镜像库

    拉取镜像 docker pull registry:2.6.2   生成账号密码文件,这里采用htpasswd方式认证 docker run --rm --entrypoint htpasswd re ...

  5. 2.云原生之Docker容器环境安装实践

    转载自:https://www.bilibili.com/read/cv15181036/?from=readlist 官方一键安装脚本 补充时间:[2020年4月22日 11:00:59] 一键安装 ...

  6. 8.云原生之Docker容器镜像构建最佳实践浅析

    转载自:https://www.bilibili.com/read/cv15220861/?from=readlist 本章目录 0x02 Docker 镜像构建最佳实践浅析 1.Dockerfile ...

  7. 7.云原生之Docker容器Dockerfile镜像构建浅析与实践

    转载自:https://www.bilibili.com/read/cv15220707/?from=readlist Dockerfile 镜像构建浅析与实践 描述:Dockerfile是一个文本格 ...

  8. 1.云原生之Docker容器技术基础知识介绍

    转载自:https://www.bilibili.com/read/cv15180540/?from=readlist

  9. Docker:搭建私有镜像仓储(image registry)(4)

    搭建私有仓储,其实本质上也是运行了一个官方提供的(Registry)镜像的容器:生产环境中,我们要搭建自己的专有仓储 下载registry镜像 docker pull registry 运行镜像 do ...

随机推荐

  1. 数据访问 - EntityFramework集成

    前言 Masa提供了基于EntityFramework的数据集成,并提供了数据过滤与软删除的功能,下面我们将介绍如何使用它? MasaDbContext入门 安装.Net 6.0 新建ASP.NET ...

  2. 大家好,我是UCMP云管家,这是我的自我介绍

    随着云计算的不断普及,构建在计算.存储.网络.数据库等基础资源之上的云平台逐渐大行其道:而随着多种云平台技术路线的发展成熟,多个云厂商的云平台开始出现在企业IT市场.对于企业而言,为满足成本.按需.隐 ...

  3. 用VS Code搞Qt6:编译源代码与基本配置

    先说明一下,本水文老周仅讨论新版的 Qt 6,旧版的 Qt 不讨论. 尽管 Qt 有自己的开发环境,但老周必须说句不装逼的话:真的不好用.说起写代码,当然了,用记事本也能写.但是,有个高逼格的工具,写 ...

  4. CF455ABoredom

    题目大意: 给你一个由 \(n\) 个整数构成的序列 \(a\),玩家可以进行几个步骤,每一步他可以选择序列中的一个元素(我们把它的值定义为 \(a_k\))并删除它,此时值等于 \(a_{k + 1 ...

  5. list集合的介绍和常用方法

    List接口介绍 java.util.List接口继承自Collection接口,是单列集合的一个重要分支,习惯性地会将实现了List接口的对象成为List集合.在List集合中允许出现重复的元素,所 ...

  6. 可以级联的以太网远程IO模块的优点与适用场景

    可以级联的以太网远程IO模块的优点与具体的适用场景 对于数据采集控制点是按照线性分布的场景,比如智慧园区的路灯.桥梁.路灯.数字化工厂.停车场车位监测.智慧停车场.智能停车架.楼宇自动控制系统等场景, ...

  7. 【ASP.NET Core】选项类的依赖注入

    咱们继续上一个话题.先简单复习一下,根据老周前面文章的介绍,选项类体系的基本套路是通过 IOptionsFactory 来创建选项类实例的.而我们在服务容器(IServiceCollection)上是 ...

  8. docker 部署私人 nuget 服务

    使用docker搭建私有Nuget服务 首先在linux服务器上创建两个容器挂着目录 mkdir /home/nuget/db mkdir /home/nuget/packages 并且对该目录指定写 ...

  9. 就在明天,Apache DolphinScheduler Meetup 2021 如约而至!

    点击上方 蓝字关注我们 社区的小伙伴们,Apache DolphinScheduler Meetup 2021 如约而至,就在明天,等你来玩! 在此次 Meetup 线上直播中,不仅将有来自 Bigo ...

  10. react实战 系列 —— React 的数据流和生命周期

    其他章节请看: react实战 系列 数据流和生命周期 如何处理 React 中的数据,组件之间如何通信,数据在 React 中如何流动? 常用的 React 生命周期方法以及开源项目 spug 中使 ...