Docker 装置及 Docker 公有仓库部署流程
docker 装置
此文档是基于 Centos7 操作。用户为 root。
零碎内核须要 3.8 或更高版本
// 查看内核
$ uname -a
// 装置 docker, 此脚本会查看内核并装置
$ curl -fsSL https://get.docker.com/ | sh
// 启动服务
$ systemctl start docker
// 查看版本
$ docker --version
部署公有仓库
镜像在私有仓库 dockerhub 拉取推送十分慢,而且把我的项目的镜像放在公网很不平安,在局域网内搭建公有仓库平安快捷。
docker registry server 分为 2 个版本,第一版是 python 写成的,第二版是 go 写的。本文档基于 go 版本,须要 docker version 1.6 以上。
// 查看镜像
$ docker images
// 删除镜像 - f 示意强制删除
$ docker rmi -f 镜像 id
// 运行基于容器的 registry. registry:2 镜像不存在时 会去 dockerhub 下面下载镜像并运行。--restart 设置为 always,无论容器的退出代码是什么,Docker 都会重启该容器,设置为 on-failure 时 只有当容器的退出代码为非 0 时才会重启,如 --restart=on-failure:5 示意最多重启 5 次
$ docker run -d -p 5000:5000 --restart=always --name registry registry:2
// 默认的 registry data 是存储在容器 docker volume 中的,如果 registry 进行 volume 是会被删除的
// 把 data 共享进去到宿主机目录 /data 下
$ docker run -d -p 5000:5000 --restart=always --name registry -v /data:/var/lib/registry registry:2
// 获取容器日志 与 tail -f 相似
$ docker logs centos_d_container -f
// 来查看以后零碎中正在运行的容器列表
$ docker ps
// 命令会列出所有的容器
$ docker ps -a
// 进行容器 start restart
$ docker stop registry (容器名或容器 id)
// 删除容器
$ docker rm registry (容器名或容器 id)
// 删除全副容器
$ docker rm `docker ps -a -q`
// 当初测试下公有仓库
// 下载 ubuntu 镜像
$ docker pull ubuntu
// 打 tag 将 ubuntu 取名为 192.168.1.182:5000/ubuntu 不写 tag 默认为 latest
$ docker tag ubuntu 192.168.1.182:5000/ubuntu
// 推送到公有仓库
$ docker push 192.168.1.182:5000/ubuntu
// 查看
// 能够间接在宿主机共享目录 查到 ubuntu
$ ll /data/docker/registry/v2/repositories/
// 应用 API 查看
$ curl https://192.168.1.182:5000/v2/_catalog
客户端应用公有仓库
先装置好 Docker 请看上文
// 配置公有仓库地址
$ echo '{"insecure-registries":["192.168.1.182:5000"] }' > /etc/docker/daemon.json
// 重启失效
$ systemctl restart docker
// 拉取公有仓库中的 ubuntu 镜像
$ docker pull 192.168.1.182:5000/ubuntu
// 也能够推送到公有仓库, 比方本地有个 centos 镜像
$ docker tag centos 192.168.1.182:5000/centos
$ docker push 192.168.1.182:5000/centos
// 应用 API 查看
$ curl https://192.168.1.182:5000/v2/_catalog
创立证书
如果公有仓库想放到外网拜访,这样谁都能够拜访,就不平安了,须要登录认证
running a domain registry using TLS
// 须要装置 openssl
$ which openssl
// 创立证书
$ openssl genrsa -out server.key 2048
$ openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:guangdong
Locality Name (eg, city) [Default City]:shenzhen
Organization Name (eg, company) [Default Company Ltd]:mobi
Organizational Unit Name (eg, section) []:soft
Common Name (eg, your name or your server's hostname) []:registrydomain.com
Email Address []:liangxxx@xxx.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
而后把证书装置到零碎中.
$ cp server.crt /etc/pki/ca-trust/source/anchors/
$ update-ca-trust enable
$ update-ca-trust extract
而后在 /etc/hosts 中配置域名,重启 docker 过程
$ vim /etc/hosts
192.168.1.182 registrydomain.com
$ systemctl restart docker
而后应用证书启动容器。
$ mkdir certs
$ cp server.crt certs/
$ cp server.key certs/
$ docker run -d -p 5000:5000 --name registry --restart=always -v /data:/var/lib/registry -v $PWD/certs:/certs -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/server.crt -e REGISTRY_HTTP_TLS_KEY=/certs/server.key registry:2
在其余客户端中也进行装置证书和配置域名并重启 docker 过程后就能够应用了
用户名明码利用
// 用户名:hello, 明码:world
$ sh -c "docker run --entrypoint htpasswd registry:2 -Bbn hello world > auth/htpasswd"
$ docker run -d -p 5000:5000 --restart=always --name registry -v `pwd`/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd -v `pwd`/certs:/certs -v /data:/var/lib/registry -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/server.crt -e REGISTRY_HTTP_TLS_KEY=/certs/server.key registry:2
// 登录 输出用户名明码 hello:world
$ docker login registrydomain.com:5000
// 登出
$ docker logout registrydomain.com:5000
客户端用户名明码登录应用公有仓库
//server.crt 仓库生成的证书
$ cp server.crt /etc/pki/ca-trust/source/anchors/
$ update-ca-trust enable
$ update-ca-trust extract
// 而后在 /etc/hosts 中配置域名,重启 docker 过程
$ vim /etc/hosts
192.168.1.182 registrydomain.com
$ systemctl restart docker
$ docker login registrydomain.com -u hello -p world
界面治理公有仓库
// 登录胜利后查 BASIC_AUTH 值
$ cat /root/.docker/config.json
// 启动界面
$ docker run -d -p 8080:8080 --name web --link registry \
-e REGISTRY_URL=https://192.168.1.182:5000/v2 \
-e REGISTRY_TRUST_ANY_SSL=true \
-e REGISTRY_READONLY=false \
-e REGISTRY_BASIC_AUTH="aGVsbG86d29ybGQ=" \
-e REGISTRY_NAME=localhost:5000 hyper/docker-registry-web
浏览器拜访:http://192.168.1.182:8080/
能够界面上删除镜像,减少 delete 配置
// 把配置文件拷贝进去
docker cp registry:/etc/docker/registry/config.yml config.yml
$ vim config.yml
storage:
cache:
blobdescriptor: inmemory
filesystem:
rootdirectory: /var/lib/registry
delete:
enabled: true
.
.
.
// 指定配置文件启动
$ docker run -d -p 5000:5000 --restart=always --name registry -v `pwd`/config.yml:/etc/docker/registry/config.yml -v `pwd`/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd -v `pwd`/certs:/certs -v /data:/var/lib/registry -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/server.crt -e REGISTRY_HTTP_TLS_KEY=/certs/server.key registry:2
留神:不倡议应用删除,镜像是以层的概念,每个镜像可能依赖雷同的层,在这里删除不会物理删除
Docker Compose
装置 docker-compose
$ curl -L https://github.com/docker/compose/releases/download/1.11.2/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
$ chmod +x /usr/local/bin/docker-compose
$ docker-compose --version
// 列出容器
$ docker-compose ps
//version 1 当初已不反对, 倡议应用 version 2
// 上面应用 docker-compose 以服务形式 启动公有仓库和界面治理
$ vim docker-compose.yml
version: '2'
services:
registry:
restart: always
image: registry:2
ports:
- 5000:5000
environment:
REGISTRY_HTTP_TLS_CERTIFICATE: /certs/server.crt
REGISTRY_HTTP_TLS_KEY: /certs/server.key
REGISTRY_AUTH: htpasswd
REGISTRY_AUTH_HTPASSWD_PATH: /auth/htpasswd
REGISTRY_AUTH_HTPASSWD_REALM: Registry Realm
volumes:
- ./config.yml:/etc/docker/registry/config.yml
- ./auth:/auth
- ./certs:/certs
- /data:/var/lib/registry
networks:
- registry-net
web:
restart: always
image: hyper/docker-registry-web
ports:
- 8080:8080
environment:
REGISTRY_URL: https://registry:5000/v2
REGISTRY_TRUST_ANY_SSL: "true"
REGISTRY_READONLY: "false"
REGISTRY_BASIC_AUTH: aGVsbG86d29ybGQ=
REGISTRY_NAME: registry:5000
networks:
- registry-net
networks:
registry-net:
// 后盾启动
$ docker-compose up -d