你必须知道的Docker镜像仓库的搭建

docker pull registry

docker run -d -v /edc/images/registry:/var/lib/registry 
-p 5000:500 
--restart=always
--name xdp-registry registry

curl http://your-server-ip:5000/v2/_catalog

{
    "insecure-registries" : [ "your-server-ip:5000" ]
}

docker tag your-image-name:tagname your-server-ip:5000/your-image-name:tagname

docker push your-registry-server-ip:5000/your-image-name:tagname

docker pull your-server-ip:5000/your-image-name:tagname

curl http://your-server-ip:5000/v2/your-image-name/tags/list

02—共享源头：Docker Hub公共仓库
程序员们都喜欢用Git，如果把Registry私有仓库比作GitLab的话，那么Docker Hub公共仓库就类似于GitHub，这是一个公共的共享的镜像仓库平台，我们可以像在GitHub上随意得clone公共的开源项目一样pull镜像到本地。下面就是基于Docker Hub建立公共仓库的步骤：注册账号&创建仓库　　首先，你得去docker hub上注册一个账号：　　　　其次，注册完成登录之后就可以创建一个Repository，例如这里我创建了一个名为xdp-service-runtime的仓库：　　客户端操作　　创建完仓库，我们就可以在客户端上登录：方式一：docker login方式二：docker login --username=your-account　　　　登录之后，就可以为镜像打Tag：docker tag xdp-service-runtime:2.2 edisonsaonian/xdp-service-runtime:2.2　　　　打完Tag就可以推送到远程仓库啦：docker push edisonsaonian/xdp-service-runtime:2.2　　　　这时，便可以到docker hub上查看Repository的信息：　　　　当然，我们可以在另外的客户端上拉取这个刚刚上传的镜像了：　　　　怎么样，是不是很Easy，Enjoy！
03—企业最爱：Harbor企业级私有仓库
Harbor是VMware公司开源的一个企业级Docker Registry项目，项目地址：https://github.com/vmware/harborHarbor作为一个企业级私有Registry服务器，提供了更好的性能和安全，提升了用户使用Registry构建和运行环境传输镜像的效率。虽然Harbor和Registry都是私有镜像仓库的选择，但是Harbor的企业级特性更强，因此也是更多企业级用户的选择。Harbor实现了基于角色的访问控制机制，并通过项目来对镜像进行组织和访问权限的控制，也常常和K8S中的namespace结合使用。此外，Harbor还提供了图形化的管理界面，我们可以通过浏览器来浏览，检索当前Docker镜像仓库，管理项目和命名空间。有关Harbor的架构，可以参考阅读这一篇《Harbor整体架构》一文，里面讲述了Harbor的6大核心组件构成，有兴趣的朋友可以一读。下面列出了Harbor的搭建过程：一些准备工作（1）下载离线安装包　　Harbor提供了两种安装方式：一种是在线安装包，因此包很小；另一种是离线安装包，因此包很大（>=570MB）。这里选择下载离线安装包，下载地址：https://github.com/goharbor/harbor/releases　　这里选择版本为v1.7.0，下载完成后传输到你的服务器上并解压：tar zvxf harbor-offline-installer-v1.7.0.tgz　　（2）安装docker　　如果还没有安装docker，那么请先安装docker，已安装则跳过。# yum install docker# systemctl start docker.service　　（3）安装docker-compose　　这里选择Github源：sudo curl -L https://github.com/docker/compose/releases/download/1.22.0/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-composesudo chmod +x /usr/local/bin/docker-compose　　验证：docker-compose -version　　 　　PS：如果想要卸载docker-compose，请执行以下命令sudo rm /usr/local/bin/docker-compose自签TLS证书        虽然对于所有要求配置HTTPS的要求我都是比较抵触的，不过考虑到去年公司官网被攻击并且还被Google列入黑名单导致公司官网好几天不可用，我们信息中心遭受了很大的压力，因此还是老老实实地为所有有需要的地方配上HTTPS吧。当然，这里演示的只是我们自己创建的证书，实际生产环境中我们切记还是需要去阿里云或者其他云服务器厂商申请免费或收费的证书。　　此小节内容主要参考自Harbor的HTTPS配置文档：　　（1）创建存放证书的目录mkdir -p /data/cert/cd   /data/cert/　　（2）创建自签名证书key文件并生成证书请求：　　注意：这里reg.edisonedu.com需要替换为你的域名，我这里是随便取的，会在后面更改DNS。openssl genrsa -out reg.edisonedu.com.key 4096openssl req -x509 -new -nodes -sha512 -days 365 \    -subj "/C=TW/ST=Taipei/L=Taipei/O=example/OU=Personal/CN=reg.edisonedu.com" \    -key reg.edisonedu.com.key \    -out reg.edisonedu.com.crtHarbor安装与配置在解压的harbor目录中编辑harbor.cfg文件，修改以下内容：......hostname = reg.edisonedu.comui_url_protocol = httpsssl_cert = /data/cert/reg.edisonedu.com.crtssl_cert_key = /data/cert/reg.edisonedu.com.keyharbor_admin_password = EdisonZhou123456......　　以上只是一些最基本的配置，你还可以配置例如SMTP邮件的设置，可以自己去摸索。　　接下来就是执行准备这个harbor.cfg了，在harbor目录下执行以下命令：./prepare　　然后再执行install这个shell脚本进行install：./install.sh　　它会经历好几个步骤：加载Harbor镜像（初次安装耗时较长）、准备运行环境、通过docker-compose启动harbor（有兴趣的童鞋可以看看harbor目录下的docker-compose.yml文件）等。　　我们可以通过docker-compose ps命令查看启动起来的docker实例：　　　　可以看到，整个harbor容器实例群包括了管理服务、数据库服务、Job服务、日志服务以及Portal网页入口（默认是80端口）服务等。　　为了能在你的开发机上能够访问到我们这个域名，你需要改一下Windows的hosts文件（C:/Windows/System32/drivers/etc/hosts），如果你用的阿里云，那么你可能还需要开放一下端口号，80和443端口：# your server ip47.102.140.255 reg.edisonedu.com　　这下我们可以在本地开发机上打开浏览器访问reg.edisonedu.com了，可以看到Harbor的管理平台登录页面了：　　　　使用刚刚在配置文件里面配置的密码登录之后，可以看到如下管理界面：　　　　为了进行后面的演示，这里我们创建一个私有项目：　　　　然后再创建一个项目管理员用户：　　　　最后，为test项目添加新创建的这个用户作为项目管理员（由于我们后续会演示镜像上传，所以这里设为管理员，如果只是拉取镜像，可以设为开发人员角色，如果只是看看那可以只设置为游客角色）：　　　　接下来我们就会在另一台主机中访问这台服务器上部署的Harbor私有镜像仓库了。Docker主机访问Harbor    （1）首先，由于我们这里是自签证书，不是受信任的，所以我们要做一些准备工作才能在普通主机上访问到刚刚部署的Harbor镜像仓库。（注意：这一部分的操作在另外的一台主机上，非我们刚刚部署的Harbor的服务器上面）　　准备工作一：创建Harbor服务域名的证书文件夹mkdir /etc/docker/certs.d/reg.edisonedu.com -p　　准备工作二：设置Hosts匹配我们设置的假域名vim /etc/hosts　　加上一行：47.22.232.200 reg.edisonedu.com #替换为你的Harbor服务器外网IP　　准备工作三：将Harbor服务器上的证书拷贝要访问Harbor仓库的主机上　　这一工作你可以选择直接通过SFTP软件将reg.edisonedu.com.crt从Harbor服务器上拷贝到客户机刚刚创建的文件夹中（/etc/docker/certs.d/reg.edisonedu.com），也可以通过scp命令去拷贝，总之拷贝过来就行。这里我通过scp去拷贝：scp root@47.22.232.200:/data/cert/reg.edisonedu.com.crt /etc/docker/certs.d/reg.edisonedu.com　　（2）其次，登录到Harbor镜像仓库（由于Docker的默认源是docker hub，所以刚刚我们需要改host，这里需要登录自己的源仓库）docker login reg.edisonedu.com　　（3）然后，就跟刚刚我们在docker hub中的步骤一样了，假设我们要push一个镜像到镜像仓库，首先打个Tag：docker tag xdp-service-runtime:2.2 reg.edisonedu.com/test/xdp-service-runtime:2.2　　PS：这里我们打的tag加上了私有项目名test　　打完Tag，就可以push到镜像仓库了：docker push reg.edisonedu.com/test/xdp-service-runtime:2.2　　推送完后，我们可以到Harbor的Web管理界面中验证：　　　　　　（4）推送完之后，我们想在其他docker主机中pull下来呢？docker pull reg.edisonedu.com/test/xdp-service-runtime:2.2　　（5）如果想退出我们的私有仓库docker logout reg.edisonedu.com其他补充如果想要继续更改harbor配置，那么改完后需要重新初始化Harbor：docker-compose down -v # 暂停Harbor实例群./prepare  # 生成配置文件，根据 harbor.cfg 配置生成docker-compose文件。docker-compose up -d  # 后台启动Harbor实例群　　想要暂停和重启Harbor：docker-compose  stop # 暂停 Harbordocker-compose  start # 启动 Harbor　　不用Harbor了，那么可以彻底删除Harbor的数据和镜像文件：# 彻底地删除 Harbor 的数据和镜像 rm -r /data/database rm -r /data/registry
04—小结
本文总结了流行的几个镜像仓库的搭建步骤，并给出了基本使用示例。个人感觉：对于个人开发者或开源社区而言，docker hub主要提供的是类似于github的共享公共仓库（当然docker hub也有提供私有仓库）。对于小团队而言，官方提供的Registry项目可以帮助小团队快速地构建起自己的镜像仓库把精力更多放在快速迭代上面。而对于中大规模的团队，Harbor的企业级特性更加适合此类型的团队使用。
参考资料李振良，《1天掌握Docker》Harbor，《Installation Guide》自由早晚乱余生，《Docker企业级镜像仓库Harbor的搭建与维护》Ivanzz，《Harbor整体架构》杨振涛，《Harbor介绍与实践》