docker 指南系列之部署registry

一. 找到镜像

搜索registry镜像

docker search registry

此处的OFFICIAL表示是官方镜像

下载registry镜像

docker pull docker.io/registry

基础方式运行registry镜像

docker run -d -p 5000:5000 --name registry --restart=always docker.io/registry

验证registry镜像是否启动成功

docker ps -a

访问registry

# curl http://127.0.0.1:5000/v2/_catalog
# {"repositories":""}

二. 配置用户

创建目录保存用户信息以及数据

mkdir /opt/registry/ /opt/registry/auth opt/registry/data

创建用户信息

docker run --entrypoint htpasswd docker.io/registry:latest -Bbn testuser testpwd > /opt/registry/auth/htpasswd

停止原有registry，并重新启动

# 停止registry，之前指定了--name
docker stop registry

# 移除容器
docker rm registry

# 以授权方式启动
docker run -d -p 5000:5000 --name registry --restart=always -v /opt/registry/data:/var/lib/registry -v /opt/registry/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm"  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd docker.io/registry:latest

• -v 挂载本地目录，即建立宿主机与容器之间目录的映射关系
• -e 指定环境变量
• -p 指定端口的映射关系
• -d 以后台的方式启动
• --name 指定别名
• --restart=always 总是启动

验证鉴权registry

## 原有方式
# curl http://127.0.0.1:5000/v2/_catalog
# {"errors":[{"code":"UNAUTHORIZED","message":"authentication required","detail":[{"Type":"registry","Class":"","Name":"catalog","Action":"*"}]}]}

## 鉴权方式
# curl http://127.0.0.1:5000/v2/_catalog -u testuser:testpwd
# {"repositories":""}

三.字签证书版

假如读者有现成证书可以跳过生成自建证书过程

自建证书

# mkdir /opt/registry/certs

# 生成证书
openssl req -newkey rsa:2048 -nodes -sha256 -keyout /opt/registry/certs/domain.key -x509 -days 365 -out /opt/registry/certs/domain.crt

使用证书

docker run -d -p 5000:5000 --name registry --restart=always -v /opt/registry/data:/var/lib/registry -v /opt/registry/auth:/auth -v /opt/registry/certs:/certs
-e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm"  
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key
docker.io/registry:latest

四. 可能问题

1.客户端执行docker login http://XXXX 时登录异常

# docker login http://XXXX
Username: testuser
Password: testpwd
Error response from daemon : Get https://XXX/v2 : http: server gave HTTP response to HTTPS client  

• 从错误描述可以看出，服务端把我们的客户端当成HTTPS client，我们需要配置客户端，daemon.json 文件
• docker login -u testuser -p testpwd http://xxxx 可以略过输入密码过程

将 http://XXXX 添加到客户端 daemon.json 的insecure-registries 中。

# cd /etc/docker
# vim daemon.json
{
  "insecure-registries" : [
    "http://xxxx"
  ]
}

2. push 镜像时，返回如下内容

error parsing HTTP 413 response body: invalid character '<' looking for beginning of value: "<html>\r\n<head><title>413 Request Entity Too Large</title></head>\r\n<body bgcolor=\"white\">\r\n<center><h1>413 Request Entity Too Large</h1></center>\r\n<hr><center>openresty/1.13.6.2</center>\r\n</body>\r\n</html>\r\n"

• 使用使用nginx代理了自己的registry，需要修改nginx.conf 文件，解除大小限制

# 在http，server，location均可以设置，不同的设置，影响范围不一样。
client_max_body_size 0;