Docker私有仓库--自签名方式

　　为了能集中管理我们创建好的镜像，方便部署服务，我们会创建私有的Docker仓库。通读了一遍官方文档，Docker为了确保安全使用TLS,需要CA认证，认证时间长的要钱啊，免费过期时间太短，还是用自签名比较简单。

准备环境

环境：两台Centos 7 虚拟机

　　》服务器IP：10.57.220.244  ，作为Docker仓库使用

　　》客户端IP：10.57.220.220  ，作为客户端来上传或拉取镜像

　　》域名：lpxxn.com

　　两台机器上均已安装好Docker 版本为 17.03.0-ce

　　如果你和我一样没有用真域名，只需要在客户机上修改一下hosts文件

生成自签名证书

　　在服务器主机上生成自签名证书，创建一个文件夹用于存放证书　　

mkdir -p certs

　　

　　生成证书

openssl req -newkey rsa: -nodes -sha256 -keyout certs/lpxxn.com.key -x509 -days  -out certs/lpxxn.com.crt

　　需要注意的是在填写的时候Common Name和你的域名是一至的。

　　

　　 ll certs文件夹就可以看到生成好的两个文件

　　运行仓库镜像，如果本地没有相应的镜像会从Docker服务器上下载，然后才启动，可以用docker ps命令查看是否已经有窗口在运行。

docker run -d -p : --restart=always --name registry_https -v `pwd`/certs:/home/certs -e REGISTRY_HTTP_TLS_CERTIFICATE=/home/certs/lpxxn.com.crt -e REGISTRY_HTTP_TLS_KEY=/home/certs/lpxxn.com.key registry:

　　你也可以指定本机的目录保存上传好的docker镜像

　　

docker run -d -p :  -v `pwd`/dockerregister:/var/lib/registry  --restart=always --name registry_https -v `pwd`/certs:/home/certs -e REGISTRY_HTTP_TLS_CERTIFICATE=/home/certs/lpxxn.com.crt -e REGISTRY_HTTP_TLS_KEY=/home/certs/lpxxn.com.key registry:

　　到这里服务器就启动好了，最后一步是把生成好的lpxxn.com.crt复制到客户端，你可以用自己的方式复制， 我用的scp先复制到/home/test目录下，再复制到/etc/pki/ca-trust/source/anchors目录下　　

scp -r lpxxn.com.crt li@10.57.220.220:/home/test

配置客户端

　　把服务器端生成的的lpxxn.com.crt复制到客户端服务器的  /etc/pki/ca-trust/source/anchors目录下，ll查看 一下

　　更新证书，然后重新启动docker 。

update-ca-trust

service docker stop && service docker start

　　ok.使用curl查看一下仓库

curl https://lpxxn.com:5000/v2/_catalog

　　可以正常访问了。再使用docker命令上传下载试试

　　使用docker tag 标记本地的镜像centos:6为 lpxxn.com:5000/centos6:1.0

push到仓库

　　执行push 命令　　

docker push lpxxn.com:/centos6:1.0

查看仓库信息

　　使用curl 查看仓库有哪些镜像和版本

curl https://lpxxn.com:5000/v2/_catalog

curl https://lpxxn.com:5000/v2/centos6/tags/list

从仓库拉取镜像

　　先把本地的镜像删除

docker rmi lpxxn.com:/centos6:1.0

docker rmi centos:

　　拉取然后run

docker pull lpxxn.com:/centos6:1.0