centos7搭建docker私人仓库的方法(kubernetes)
我们平时镜像都是习惯于放在公共仓库的,比如Dockerhub, Daocloud。但在企业里,我们经常会需要搭建公司自己的镜像仓库。
这篇文章讲解如何用docker提供的registry镜像来搭建自己的镜像仓库。
不添加ssl认证的仓库
下面用registry:2.6.2镜像创建docker仓库。
将宿主机的5000端口映射到容器的5000端口。
将宿主机/mnt/registry挂在到容器的/var/lib/registry目录,容器里的这个目录就是存放镜像的地方。这样可以将数据持久化,当容器挂掉时镜像不会丢失。
mkdir /mnt/registry docker run -d \ -p 5000:5000 \ --restart=always \ --name registry \ -v /mnt/registry:/var/lib/registry \ registry:2.6.2
docker仓库是需要ssl认证的,由于现在没有添加ssl认证,需要在docker客户端添加参数:
vim /etc/sysconfig/docker # 在OPTIONS下添加--insecure-registry=<host-ip>:5000 OPTIONS='--selinux-enabled --log-driver=json-file --signature-verification=false --insecure-registry=10.34.31.13:5000' # 重启docker systemctl restart docker
我们可以测试一下新建的仓库是否可用。
docker push 10.34.31.13:5000/hello-world:v1
但这样形式的仓库可用性不高,比如我们有多个镜像仓库要使用,我们需要经常去修改--insecure-registry参数。
下面会讲解如何创建一个https协议的高可用仓库。
创建一个带ssl认证的高可用仓库
1、安装openssl
yum install -y openssl
2、修改openssl.cnf文件
vim /etc/pki/tls/openssl.cnf # 找到v3_ca,在下面添加宿主机的IP地址 [ v3_ca ] subjectAltName = IP:10.34.31.13
如果没有修改这个文件,最后生成的ssl证书使用时会报错如下:
x509: cannot validate certificate 10.34.31.13 because it doesn't contain any IP SANs
3、生成ssl证书
mkdir /certs
openssl req -newkey rsa:4096 -nodes -sha256 \
-keyout /certs/domain.key -x509 -days 1000 \
-out /certs/domain.cert
# 生成证书的过程中需要填写以下参数,在Conmmon那一栏填写你为dokcer仓库准备的域名
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:10.34.31.13:5000
Email Address []:
4、创建docker仓库
# 这里启动方式跟上面差别不大,多了挂载/certs文件夹和添加了两个certificate参数 docker run -d \ --restart=always \ --name registry \ -v /certs:/certs \ -v /var/lib/registry:/var/lib/registry \ -e REGISTRY_HTTP_ADDR=0.0.0.0:5000 \ -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.cert \ -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \ -p 5000:5000 \ registry:2.6.2
5、配置docker客户端
# 以后需要使用这个仓库的机器,在客户端像这样配置一下就可以了 mkdir /etc/docker/certs.d/10.34.31.13:5000 cp /certs/domain.cert /etc/docker/certs.d/10.34.31.13:5000/ca.crt # 现在就可以测试一下了 docker push 10.34.31.13:5000/hello-world:v1
使用kubernetes部署docker仓库
上面的容器是由doker直接启动的,由于我使用的是kubernetes集群,所以我希望一切容器都能由kubernetes来管理。
于是我为kubernetes集群添加了一个node节点,来做k8s集群的镜像仓库。
1、生成ssl证书
参考上面,在准备的node节点上生成ssl证书。
2、给node添加标签
因为我只想在这台节点上运行registry容器,所以需要给这台节点添加标签,便于k8s部署能只选到这台节点。
# n3是这个节点的hostname.如果没有添加k8s客户端权限,可以在master节点上执行。 kubectl label node n3 bind-registry=ture
3、创建registry目录,用于持久化images数据
mkdir /var/lib/registry
4、部署registry。dockerhub-dp.yaml我会在最后面贴出来。
kubectl create -f dockerhub-dp.yaml
5、配置docker客户端
这个跟上面一个思路,端口稍有不同。
# 以后需要使用这个仓库的机器,在客户端像这样配置一下就可以了 mkdir /etc/docker/certs.d/10.34.31.13:30003 cp /certs/domain.cert /etc/docker/certs.d/10.34.31.13:5000/ca.crt
为了访问方便,我将registry service的端口设置为了NodePort,但k8s限制这个端口只能设置为30000以上,所有我这里设置为了30003。
dockerhub-dp.yaml
apiVersion: apps/v1beta2
kind: Deployment
metadata:
name: docker-local-hub
namespace: kube-system
labels:
app: registry
spec:
replicas: 1
selector:
matchLabels:
app: registry
template:
metadata:
labels:
app: registry
spec:
containers:
- name: registry
image: registry:2.6.2
ports:
- containerPort: 5000
env:
- name: REGISTRY_HTTP_TLS_CERTIFICATE
value: "/certs/domain.cert"
- name: REGISTRY_HTTP_TLS_KEY
value: "/certs/domain.key"
volumeMounts:
- mountPath: /var/lib/registry
name: docker-hub
- mountPath: /certs
name: certs
nodeSelector:
bind-registry: "ture"
volumes:
- name: docker-hub
hostPath:
path: /var/lib/registry
type: Directory
- name: certs
hostPath:
path: /certs
type: Directory
---
apiVersion: v1
kind: Service
metadata:
name: docker-local-hub
namespace: kube-system
labels:
app: registry
spec:
selector:
app: registry
ports:
- port: 5000
targetPort: 5000
nodePort: 30003
type: NodePort
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持小牛知识库。
-
本文向大家介绍搭建Docker私有仓库(自签名方式),包括了搭建Docker私有仓库(自签名方式)的使用技巧和注意事项,需要的朋友参考一下 为了能集中管理我们创建好的镜像,方便部署服务,我们会创建私有的Docker仓库。通读了一遍官方文档,Docker为了确保安全使用TLS,需要CA认证,认证时间长的要钱啊,免费过期时间太短,还是用自签名比较简单。 准备环境 环境:两台Centos 7 虚拟机
-
本文向大家介绍Docker Registry搭建私有镜像仓库的实现方法,包括了Docker Registry搭建私有镜像仓库的实现方法的使用技巧和注意事项,需要的朋友参考一下 微服务的镜像会上传到Docker仓库保存,常用的公网Docker仓库有阿里云,网易云等,在企业局域网也可以搭建自己的Docker私有仓库,本教程使用Docker提供的私有仓库registry。 1.拉取私有仓库镜像 2.创建
-
本文向大家介绍docker创建私有镜像仓库搭建教程,包括了docker创建私有镜像仓库搭建教程的使用技巧和注意事项,需要的朋友参考一下 我的环境相关设置如下 环境:centos7 IP地址:10.211.55.30 dockere版本:1.10.3 镜像仓库:v2 首先在10.211.55.30机器上下载registry镜像 也可以进行镜像导入的方法进行离线的安装。可以去我的网盘中下载:https
-
本文向大家介绍docker私有仓库的搭建和使用详解,包括了docker私有仓库的搭建和使用详解的使用技巧和注意事项,需要的朋友参考一下 1.下载仓库镜像 2.创建私有仓库容器-d表示后台启动 3.防火墙解除5000端口限制 4.验证私有仓库是否启动成功 http://192.3.8.12:5000/v2 5.打包镜像 6.把打包好的镜像上传到私有仓库 这个问题可能是由于客户端采用https,doc
-
本文向大家介绍Docker Registry 私有仓库搭建详细步骤,包括了Docker Registry 私有仓库搭建详细步骤的使用技巧和注意事项,需要的朋友参考一下 Docker Registry 私有仓库搭建 官方已经提供了很多版本的 Linux 镜像,直接从官方仓库(Public Repositories)下载就可以了。如果考虑到安全性和速度,我们可能会想在自己局域网里架设一个私有仓库
-
本文向大家介绍详解docker私有仓库搭建与使用实战,包括了详解docker私有仓库搭建与使用实战的使用技巧和注意事项,需要的朋友参考一下 hub.docker.com上可以保存镜像,但是网速相对较慢,在内部环境中搭建一个私有的公共仓库是个更好的方案,今天我们就来实战搭建私有docker仓库吧; 环境规划 需要两台机器:docker私服仓库的server和使用docker的普通机器,这两个机器都是