搭建私有镜像仓库和利于团队开发和运维，搭建方式有两种。

准备工作

安装docker

• 设置仓库

sudo yum install -y yum-utils
device-mapper-persistent-data
lvm2

• 配置镜像源

sudo yum-config-manager
--add-repo
http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

• 安装docker

sudo yum install docker-ce docker-ce-cli containerd.io

• 启动docker

sudo systemctl start docker

• 设置开机启动

sudo systemctl enable docker

安装docker-compose

• 安装docker-compose

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-(uname -m)" -o /usr/local/bin/docker-compose
或 将下载好docker-compose文件上传到Centos7 mv docker-compose /usr/local/bin/docker-compose

• 修改comose执行权限

sudo chmod +x /usr/local/bin/docker-compose

• 创建快捷方式

sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

• 检查安装是否成功

docker-compose --version

• 详细说明 Docker Compose | 菜鸟教程 (runoob.com)

安装python3.9

• 下载python
  Index of /ftp/python/

一、利用docker提供registry镜像文件实现

配置环境

• 下载registry镜像

docker pull registry

• 启动私有仓库容器(要检查目录是否存在，权限是否开放)

docker run -d -p 8899:5000 --name=publicregistry --restart=always --privileged=true -v /usr/local/docker_registry:/var/lib/registry docker.io/registry

• 修改deamon.json（这一步可以省略）

* 配置镜像访问地址
>vi /etc/docker/daemon.json
添加以下内容，保存退出。
{"insecure-registries":["ip:端口"]} 
此步用于让 docker信任私有仓库地址

• 重启docker

systemctl restart docker

• 启动registry仓库镜像

docker start publicregistry

上传镜像到私有仓库

• 标记镜像

docker tag 镜像名[:tag] [REGISTRYHOST/][USERNAME/]NAME[:TAG]
docker tag nginx localhost:8899/nginx

• 上传镜像

docker push 镜像名[:tag]
docker push localhost:8899/nginx
再从浏览器访问http://localhost/v2/[ _catalog ]
发现能看到刚刚上传的镜像

• 删除镜像

docker rmi 111.*******:5000/nginx
docker rmi nginx

• 拉取镜像，docker默认从本地拉取，也可手动指定从本地拉取

docker pull localhost:8899/nginx

二、利用Harbor搭建私有镜像仓库

• 默认情况下只需要配置 harbor.yml的hostname参数就可以了
• 详查Harbor私有镜像仓库无坑搭建 (juejin.cn)

安全配置

Harbor docs | Configure HTTPS Access to Harbor (goharbor.io)

• 生成公匙

openssl genrsa -out ca.key 4096

• 生成公匙对

openssl req -x509 -new -nodes -sha512 -days 3650
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor"
-key ca.key
-out ca.crt

• 生成私匙

openssl genrsa -out harbor.key 4096

• 生成私匙对

openssl req -sha512 -new
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor"
-key harbor.key
-out harbor.csr

• 创建V3文件

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=192.168.179.1
DNS.2=harbor
EOF

• 应用私匙

openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in harbor.csr \
    -out harbor.crt

• 将服务器证书和密钥复制到您的harbor主机上的认证文件夹中。

cp harbor.crt /data/harbor/cert/
cp harbor.key /data/harbor/cert/

• 转换为，Docker使用。（注意要切换目录）

openssl x509 -inform PEM -in harbor.crt -out harbor.cert

• 将服务器证书、密钥和 CA 文件复制到harbor主机上的 Docker 证书文件夹中。您必须首先创建相应的文件夹。

cp harbor.cert /etc/docker/certs.d/harbor/
cp harbor.key /etc/docker/certs.d/harbor/
cp ca.crt /etc/docker/certs.d/harbor/

• 如果将默认端口 443 映射到其他端口，则创建文件夹或。

nginx/etc/docker/certs.d/harbor:port/etc/docker/certs.d/harbor_IP:port

• 重启docker

systemctl restart docker

安装和参数配置

Harbor docs | Configure the Harbor YML File (goharbor.io)
默认配置文件harbor.yml需要修改3个参数

• 主机名

hostname: harbor

• 生成的密匙文件

certificate: /data/harbor/cert/harbor.cert
private_key: /data/harbor/cert/harbor.key

image.png

测试访问

• 默认用户名 admin 密码 可在配置文件内找到（harbor_admin_password）
• 在web页面创建用户名和密码
• 创建项目