搭建自己的Docker registry（五）

弄了一天，在网上查了很多资料，感觉都好复杂好复杂，一步一步踩坑踩出来就好了。

服务器：阿里云（香港）

环境：CentOS Linux release 7.4.1708 (Core)

Docker：1.13.1

一、使用https的nginx

因为已经在阿里云有了域名，申请了免费的CA证书，具体的申请方法参考阿里云的文档就行

1、在nginx的配置目录下创建cert免费，存放秘钥，我的是在/usr/local/nginx/conf目录下

mkdir cert

2、把在阿里提供的证书全部拷贝，放到此目录

3、修改nginx的配置文件添加有关CA证书的内容

1）在nginx.conf配置文件中的http{ } 段添加

include /usr/local/nginx/conf/conf.d/*;

2）创建conf.d文件夹

mkdir /usr/local/nginx/conf/conf.d

3）在conf.d下创建docker.conf配置文件

upstream docker-registry{
server localhost:5000;
}
 
server {
listen 80;
listen 443 ssl;
 
server_name www.lereun.com;
 
charset utf8;
ssl_certificate cert/214501762340334.pem;
ssl_certificate_key cert/214501762340334.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM- SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
 
 
location / {
 
root html;
index index.html;
 
proxy_pass http://docker-registry;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 
client_max_body_size 0;
chunked_transfer_encoding on;
}
}

这段配置里需要注意的是：

1） proxy_pass http://docker-registry; 这里的反向代理，一定要看自己的配置文件nginx.conf，对localhost:5000是否支持https；若不支持那么只能写http://docker-registry; 这个地方弄了好久，一直报502，所以一定要注意

2）client_max_body_size 0; #表示客户端连接的最大请求实体大小；为0表示不限制

chunked_transfer_encoding on; #响应时是否启用chunked编码

这里是不设置的话，等上传镜像的时候，会报错：

4）重启nginx

/usr/local/nginx/sbin/nginx -s reload

5）测试，使用https访问是可以的

二、部署Registry

1、先搜索docker的registry镜像，然后拉取下来

docker search registry

2、拉取registry镜像

docker pull docker.io/registry

3、启动一个容器

docker run -v 宿主机目录：容器目录

docker run -d -v /opt/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry

-d 表示后台进程

-v /opt/registry:/var/lib/registry registry服务默认会将上传的镜像保存到/var/lib/registry，将该目录挂载到/opt/registry，这样就可以将镜像保存在/opt/registry目录

4、修改镜像的tag

docker tag用法：

docker tag [OPTIONS] IMAGE[:TAG] [REGISTRYHOST/][USERNAME/]NAME[:TAG]

docker tag centos www.lereun.com/centos

5、把打了tag的镜像上传到自己的Docker Registry

docker push用法：

docker push [OPTIONS] NAME[:TAG]

docker push www.lereun.com/centos

可以根据我们挂在的目录查看，里面有已经上传的镜像

6、从另外的客户端测试从自己刚刚搭建的Docker Registry拉取刚刚上传的镜像

1）查看仓库中的镜像情况

curl www.lereun.com/v2/_catalog

2）测试能否拉下来

从服务本机拉取：

从其他客户端拉取，报这个错：

解决办法：修改客户端的配置文件 vim /etc/sysconfig/docker

other_args="--insecure-registry www.lereun.com:5000"

然后，再一次尝试，就可以了

7、其他报错

启动的容器的时候如果报错

看他提示的要把容器的删除，才能启动

三、使用身份验证的功能

如果是自己公司内部使用的话，前两步基本上可以了，但是我如果放在外网，不做认证措施的话，那么谁都可以下载，谁都可以上传，所以得把身份验证操作加上，这又是一个大坑，花了一个晚上加一个上午的时候

1、安装httpd工具

yum -y install httpd-tools

2、创建存放密码文件的目录

mkdir /etc/docker/auth

3、生成账号密码文件

htpasswd -Bbn username password >> /etc/docker/auth/registry.htpasswd

4、启动registry容器，这里在第二部的基础上，需要先把原来的容器删掉再启动

先停掉容器、再删除

docker stop 560445a00194
docker rm 560445a00194

6、启动registry容器（这一串看着很多，实则很简单，本来我也以为很难，不想看但是最终还是得看，很容易理解很容易理解）

docker run -d -p 5000:5000 --restart=always --name registry \
-v /opt/registry:/var/lib/registry \
-v /etc/docker/auth:/auth \
-e REGISTRY_AUTH=htpasswd \
-e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/registry.htpasswd \
-v /etc/docker/certs.d/registry:/certs \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/214501762340334.pem \
-e REGISTRY_HTTP_TLS_KEY=/certs/214501762340334.key \
registry