1 概述
本文将介绍两种方法搭建docker私有仓库:基于docker-distribution 和 基于 harbor 搭建
2 基于docker-distribution 的搭建
docker-distribution用于构建docker仓库私服,安装docker-distribution包,在extras仓库里
yum -y install docker-distribution
查看安装文件
[[email protected] ~]# rpm -ql docker-distribution
/etc/docker-distribution/registry/config.yml
/usr/bin/registry
/usr/lib/systemd/system/docker-distribution.service
/usr/share/doc/docker-distribution-2.6.2
/usr/share/doc/docker-distribution-2.6.2/AUTHORS
/usr/share/doc/docker-distribution-2.6.2/CONTRIBUTING.md
/usr/share/doc/docker-distribution-2.6.2/LICENSE
/usr/share/doc/docker-distribution-2.6.2/MAINTAINERS
/usr/share/doc/docker-distribution-2.6.2/README.md
/var/lib/registry
[[email protected] ~]#
查看/etc/docker-distribution/registry/config.yml文件,有基础的配置,如默认镜像放置路径为rootdirectory: /var/lib/registry
默认不做修改,启动服务
[[email protected] ~]# systemctl start docker-distribution.service
启动成功后,服务监听在5000端口
默认docker不支持不安全的http协议,需要在docker的json配置文件写入 "insecure-registries":[]这个配置项。假设安装docker-distribution的服务器ip 为 10.10.10.72,如果能够解析主机名,也可以写 主机名:5000,如下
[[email protected] ~]# vim /etc/docker/daemon.json
{
"registry-mirrors": ["https://eyg9yi6d.mirror.aliyuncs.com"],
"bip":"172.17.0.1/16",
"insecure-registries":["10.10.10.72:5000"]
}
重启docker服务,此时该docker可以把10.10.10.72当做不安全的仓库使用,会使用http协议连接仓库10.10.10.72
[[email protected] ~]# systemctl restart docker.service
把镜像推送到10.10.10.72这台仓库
首先,把要推送到仓库的镜像打标签,如下
[[email protected] ~]# docker tag nginx:v1 10.10.10.72:5000/testdis_nginx:v1
然后把打完标签的镜像推送到仓库
[[email protected] ~]# docker push 10.10.10.72:5000/testdis_nginx:v1
如果出现如下的报错,registry有两个版本的接口,v1和v2,可能是docker-ce推送时调用的是v2版本接口,但是docker-distribution不支持版本v2,只支持v1,这里默认找v2版本。导致出现如下的报错
[[email protected] ~]# docker push 10.10.10.72:5000/testdis_nginx:v1
The push refers to repository [10.10.10.72:5000/testdis_nginx]
Get https://10.10.10.72:5000/v2/: http: server gave HTTP response to HTTPS client
[[email protected] ~]#
但是,默认distribution搭建的仓库没有安全认证机制,所以可以借助nginx来实现安全认证
Docker private Registry的Nginx反代配置方式:
# client_max_body_size对客户端上传的文件大小不做限制
vim nginx.conf
client_max_body_size 0;
location / {
proxy_pass http://registrysrvs;
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
proxy_redirect off;
proxy_buffering off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
auth_basic "Docker Registry Service";
auth_basic_user_file "/etc/nginx/.ngxpasswd";
}
Docker-distribution配置文件格式详细信息:
https://docs.docker.com/registry/configuration/#list-of-configuration-options
distribution没有web页面,管理起来不方便,还有一个解决办法是vmware harbor,路径为https://github.com/vmware/harbor 关于harbor的安装文档,可以见链接 https://github.com/vmware/harbor/blob/master/docs/installation_guide.md
3 基于harbor 仓库搭建
安装包:harbor-offline-installer-v1.5.2.tgz, 这个包很大,有1G左右
注意,harbor依赖docker-compose,因此要提前安装好docker-compose,而且不同版本的harbor依赖的docker-compose不一样,如果没有安装,执行
yum -y install docker-compose
同时也要安装docker软件,并启动docker服务
yum -y install docker-ce
systemctl start docker.service
是一个编译好的包,展开就可以启动
tar xf harbor-offline-installer-v1.5.2.tgz -C /usr/local
cd /usr/local/harbor
vim /usr/local/harbor/harbor.cfg
#注意,这个配置文件,如果不更改,里面的选项都是会自动创建,所以要看清楚,包括路径是否和本地其他文件有冲突
#主要修改以下三个配置,其他配置可使用默认
hostname=docker.ghbsubby.cn
db_password=root123
#管理登录密码
harbor_admin_password = Harbor12345
运行install.sh
. /usr/local/harbor/install.sh
安装过程,[Step 1]: loading Harbor images … 这一步比较慢,需要下载很多镜像,来实现相关的服务
停止docker harbor服务,通过docker-compose来实现,所有harbor服务会被停止,命令如下
注意,命令必须在/usr/local/harbor/路径下执行
docker-compose stop
启动服务
docker-compose start
但是这里有个问题,推送打过标签的镜像到harbor是遇到了问题
docker tag testrun:latest 10.10.10.72/lnmp/testrun:v1
docker push 10.10.10.72/lnmp/testrun:v1
出现报错,超时了。
目前添加了以下两个配置
如果是协议上不支持v1和v2,加入配置insecure-registries可能可以解决,尤其docker版本是docker而不是docker-ce时可以解决。
这里docker没有实现安全访问,因此需要把harbor的主机写入insecure-registries配置段
[[email protected] harbor]# vim /etc/docker/daemon.json
{
"registry-mirrors": ["https://eyg9yi6d.mirror.aliyuncs.com"],
"bip":"172.17.0.1/16",
"insecure-registries":["10.10.10.72"]
}
[[email protected] ~]# vim /etc/sysconfig/docker
OPTIONS='--insecure-registry 10.10.10.72'
推送还是不成功,估计也跟版本有关系。操作步骤是没问题的,应该是哪些配置没启用。这个问题还在解决中~~
原文地址:http://blog.51cto.com/ghbsunny/2155048