區域網內部署 Docker Registry

sparkdev發表於2017-05-22

在區域網內部署 Docker Registry 可以極大的提升平時 pull、push 映象的速度,從而縮短自動化操作的過程。同時也可以緩解頻寬不足的問題,真是一舉多得。本文將從建立單機的 Docker Registry 開始,逐步完成區域網內可用的 Docker Registry 的建立,並重點解釋如何使用 IP 地址訪問 Registry 的方法。

注意,本文假設你已經在使用的 OS 中安裝了 docker 引擎。

建立本機使用的 Docker Registry

這是一個非常簡單的過程,簡單到只需要執行一個 docker 容器就可以了:

$ docker run -d -p 5000:5000 --restart=always --name registry \
-v `pwd`/registry:/var/lib/registry \
registry:2

檢視一下 5000 埠是否已被監聽:

看起來還不錯,讓我們向本地的 Registry 中推送一個映象試試。
先找個映象,打上自己的 tag:

$ docker pull ubuntu
$ docker tag ubuntu localhost:5000/myubuntu:20170520

從上圖我們可以看到,兩個映象完全是一樣的,只不過我們建立的 tag 名稱不一樣而已。
接下來把映象 push 到本地的 Registry 中:

$ docker push localhost:5000/myubuntu:20170520

上圖顯示 push 操作成功了,那再看看檔案系統發生了什麼變化:

在我們掛載的 ~/registry 目錄的子目錄中出現了儲存映象 myubuntu 的目錄,在這個目錄下儲存了映象相關的資料。
最後我們看看能不能從自己的庫中 pull 映象。先把本地的映象 localhost:5000/myubuntu:20170520 刪除掉:

$ docker rmi localhost:5000/myubuntu:20170520

然後從本地的庫中 pull 映象:

$ docker pull localhost:5000/myubuntu:20170520

是不是 pull 操作已經成功啦!

建立區域網內可用的 Docker Registry

前面建立的 Registry 可以在區域網內使用嗎?我們來做個試驗。
執行 Registry 的機器 IP 為:192.168.171.156,我們在區域網中的另一臺機器上建立 tag 並執行推送命令:

推送失敗了!原因是為了保證安全,跨機的映象推送操作預設採用的都是 https 協議。也就是說,為了在區域網內使用 Docker Registry, 我們必須配置 https 版的 Registry 伺服器。

選擇通過 IP 地址訪問 registry

由於種種原因,筆者無法為這臺 Docker Registry Server 提供一個有效的域名。好在它的 IP 地址是固定的,因此決定通過 IP 地址來訪問這臺 Registry 伺服器。假設這臺機器的 IP 地址為:10.32.2.140,下面的描述都以此 IP 地址為例。

建立自簽名的證書

既然是在區域網中使用,因此不會大動干戈的去購買 https 證書,自己生成一個自簽名的就足夠了。但這也存在一個缺點,就是需要在作為客戶端的 docker daemon 中安裝這個根證書,本文的稍後部分會介紹這一步驟。

在 ubuntu 系統中,下面的命令會在 dcerts 目錄下生成祕鑰和自簽名的證書:

openssl req \
    -newkey rsa:4096 -nodes -sha256 \
    -keyout dcerts/domain.key \
    -x509 -days 356 \
    -out dcerts/domain.crt

注意,在執行此命令前需要在當前目錄下建立 dcerts 目錄。此命令的細節本文就不解釋了,有興趣的同學去查 openssl 命令的幫助文件。

生成證書時,openssl 要求我們輸入相關的資訊。比如地域和公司、部門的資訊。比較重要的是 Common Name,如果你是要為某個域名生成證書,那麼這裡就應該是你的域名。我們使用的是 IP 地址,所以我就想當然的把 IP 地址放在了這裡。很遺憾的是這並不正確!如果拿此時生成的證書去配置 Docker Registry,我們將無法完成 pull/push 操作。配置的 Registry 根本無法在區域網中使用。
此處是一個很隱晦的 openssl 配置問題,當我們使用 IP 地址作為訪問伺服器的名稱時就會碰到。解決的方法也很簡單,就是在生成證書的配置檔案中指定 subjectAltName 。開啟檔案 /etc/ssl/openssl.cnf,在 [v3_ca] 節點新增配置項:
subjectAltName = IP:10.32.2.140

儲存並退出,然後重新執行上面生成證書的命令。

執行 https 版的 Registry

有了前面建立的證書,我們就可以執行新版的 Registry 了:

$ docker run -d -p 5000:5000 \
    --restart=always \
    --name registry \
    -v `pwd`/dstorage:/var/lib/registry \
    -v `pwd`/dcerts:/certs \
    -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
    -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
    registry:2

命令中我們把證書所在的目掛載到了容器的 /certs 目錄。然後分別指定了容器的環境變數 REGISTRY_HTTP_TLS_CERTIFICATE 和 REGISTRY_HTTP_TLS_KEY,這兩個環境變數會引用我們常見的祕鑰檔案和證書檔案。
好了,到目前為止新版的 Docker Registry 已經可以提供服務了。

在 client 端設定根證書

為了快速、方便和省錢,我們沒有去購買商業版的證書。這種方式的弊端是:必須把我們生成的根證書安裝到每一個需要訪問 Registry 伺服器的客戶端上。具體做法如下:
把前面生成的證書檔案 dcerts/domain.crt 複製到需要訪問 Registry 伺服器的機器上。放到目錄 /etc/docker/certs.d/10.32.2.140:5000/ 中,並重新命名為 ca.crt。當然這個目錄需要你自己建立。最後重新啟動 docker 服務:

$ sudo systemctl restart docker.service        // 不同的系統重啟服務的命令可能不一樣。

終於大功告成了,讓我們往 Registry 中推送一個映象吧:

看,redis:3.2 已經被 tag 為 10.32.2.140:5000/myredis:20170520,並推送到了區域網中的 Docker Registry Server 中。
為了驗明正身,我們還是到 10.32.2.140 上去看一下檔案儲存的狀態:

從這張圖中我們可以看到,myredis:20170520 真的已經被 Registry 儲存到檔案系統中了。

總結

由於安全性的考慮,配置區域網內可用的 Docker Registry 稍微有點麻煩。尤其是使用 IP 地址的配置方式,需要配置證書的 subjectAltName 才能正常工作。但完成配置後,使用區域網內的 Registry 還是很爽的。希望本文對有類似需求的朋友們有所幫助。

相關文章