Docker 私有仓库方案比较与搭建

作者博客:vps精选网    

我们知道docker镜像可以托管到dockerhub中,跟代码库托管到github是一个道理。但如果我们不想把docker镜像公开放到dockerhub中,只想在部门或团队内部共享docker镜像,能不能项gitlab一样在搭建私有的仓库呢?答案是肯定的,docker也支持将镜像存到私有仓库。下面将验证docker原生的仓库和开源的私用仓库,并分析其特点。

1docker原生仓库搭建

1.1配置要求和基本原理

配置要求

要求docker版本:1.6+

Docker registry 版本 2.0+

 

仓库原理


Docker模型的核心部分是有效的利用分层镜像机制,镜像可以通过分层来进行继承,基于基础镜像,可以制作各种具体的应用镜像。不同的Docker容器可以共享一些基础的文件系统层,同时再加上自己独有的改动层,大大提高了存储的效率。由于最终镜像最终是以tar.gz的方式静态存储在服务器端,这种存储适用于对象存储而不是块存储。

一次docker pull (即用户从客户端向仓库拉镜像),发生的交互。

 

   

1客户端向索引请求ubuntu镜像下载地址

2索引回复:ubuntu所在仓库A、 ubuntu镜像的校验码(Checksum)和所有层的Token

3客户端向仓库A请求 ubuntu的所有层(仓库A负责存储ubuntu,以及它所依赖的层)

4仓库A向索引发起请求,验证用户Token的合法性

5索引返回这次请求是否合法

6客户端从仓库下载所有的层,仓库从后端存储中获取实际的文件数据,返给客户端

 

具体配置步骤参考官方文档:https://docs.docker.com/registry/deploying/

 

1.2搭建步骤

1.2.1搭建基础仓库

是在docker容器中运行原生私有仓库。

下载仓库镜像:

docker pull registry:2

运行仓库:

docker run -d -p 5000:5000 --restart=always --name registry registry:2

上传下载镜像到本地仓库

docker push localhost:5000/ubuntu

1.2.2配置存储

用以下命令启动仓库

docker run -d -p 5000:5000 --restart=always --name registry \
  -v /opt/registry:/var/lib/registry registry:2

-v /opt/registry:/var/lib/registry 表示将本地目录/opt/registry映射到仓库容器中的/var/lib/registry目录,该目录中存储仓库中的镜像文件。

1.2.3通信加密

客户端与仓库通信加密分为三个等级:不采用通信加密,采用自签名证书加密,采用通过认证的证书加密

1不采用tls加密

不用tls加密,就不能使用基础的用户认证功能

2采用通过认证的证书加密

    官方推荐采用通过认证的证书加密,但目前无法获取通过认证的证书

3采用自签名的证书加密

本次原型搭建是采用自签名证书加密

 

推荐使用知名机构签名了的CA证书

1.2.4访问授权

注:要开启用户访问认证,就必须先采用通信加密

访问认证有三种方式:分别是silly、token、htpasswd

简单介绍下用htpasswd怎么实现访问认证

首先,创建用户的账号密码,下面命令创建了用户testuser/testpassword

mkdir auth
docker run --entrypoint htpasswd registry:2 -Bbn testuser testpassword > auth/htpasswd

然后,以htpasswd访问限制的方式开启registry

在开启命令后添加
-v `pwd`/auth:/auth -e "REGISTRY_AUTH=htpasswd" \

登陆registry

docker login –u testuser –p testpassword myregistrydomain.com:5000

这种方式就是在auth/htpasswd白名单中添加哪些用户,哪些用户就可以登陆registry。这种方式的权限控制比较粗略。

1.2.5 其他高级功能

另外原生的仓库还支持以下高级功能

对接AD/ldap:通过接入AD/ldap管理用户及授权

日志审计:方便查错及跟踪行为

分布式存储:在仓库中镜像数量剧增时,需要考虑对接分布式存储

负载均衡:仓库中镜像访问量剧增时,需要考虑采用负载均衡

1.3存在的问题

1原生的私有仓库提供的功能不够丰富,很多功能需要二次开发。如用户权限控制方面,基本没有实现,需要重新开发

2缺少UI界面,不适用于生产环境

2docker私有仓库开源解决方案比较

如果docker原生的仓库不能满足需求,这里提供了几种开源的解决方案。网上对私有仓库解决方案的比较不是很多,收集了以下三个较常见的私有仓库解决方案

2.1protus

Portus(by SUSE)是用于 Docker Registry API(v2)的开源前端和授权工具,最低要求registry版本是 2.1。它可以作为授权服务器和用户界面。

优缺点

优点:
1.安全:Portus 实现了最新的Docker Registry中定义的新的授权方案。它允许对你所有的镜像进行细颗粒度控制,你可以决定哪个用户和团队可 push/pull 镜像。
2.轻松管理用户: 在 Portus 映射你的公司,可以定义任意数量的 Team,并从 Team 添加和移除用户。Team 有三种类型的用户:Viewers ,只能 pull 镜像;Contributors,可以 push/pull 镜像;Owners,类似 contributors,但可以从 team 添加或移除用户。 
3.搜索: Portus 提供你的私人注册表的内容的预览,同时有一个快速搜索镜像的功能。 
4.审计: 用户的所有相关事件都会被Portus自动记录,并可被管理员进行用户分析。

5支持对接到AD/LDAP

 

缺点:

1UI界面不支持中文

部署过程

项目github托管地址:https://github.com/SUSE/Portus

注:部署完成后,界面无法与registry容器通信。也一直没找到如何解决,建议采用下一个方案harbor

2.2harbor

Project Harbor是由VMware公司中国团队为企业用户设计的Registry server开源项目,包括了权限管理(RBAC)、LDAP、审计、管理界面、自我注册、HA等企业必需的功能,同时针对中国用户的特点,设计镜像复制和中文支持等功能

优缺点

优点:

1可以实现 images 的私有存储

2支持日志统计

3支持基于角色的访问控制(Role Based Access Control)

4支持创建多项目

5提供了管理UI界面,并原生支持中文。

6支持AD/LDAP集成

 

缺点:

暂未发现

2.3AppHouse

未进行深入了解,如果后续有需要,可继续调研

3harbor私有仓库搭建步骤流程

参考官方教程:

https://github.com/vmware/harbor/blob/master/docs/installation_guide.md

过程比较简单,没遇到问题,不再赘述

4harbor 功能及使用说明

界面如下图:

通过测试以下功能均可用,且体验良好。

以管理员(admin/Harbor12345)登入登出registry

创建项目

创建用户test

以test身份pull/push 镜像

搜索功能

日志审计功能

  作者博客:vps精选网

posted @ 2018-07-19 10:01  jaazz  阅读(15033)  评论(0编辑  收藏  举报