在區域網內部署 Docker Registry 可以極大的提升平時 pull、push 映象的速度,從而縮短自動化操作的過程。同時也可以緩解頻寬不足的問題,真是一舉多得。本文將從建立單機的 Docker Registry 開始,逐步完成區域網內可用的 Docker Registry 的建立,並重點解釋如何使用 IP 地址訪問 Registry 的方法。
注意,本文假設你已經在使用的 OS 中安裝了 docker 引擎。
建立本機使用的 Docker Registry
這是一個非常簡單的過程,簡單到只需要執行一個 docker 容器就可以了:
$ docker run -d -p 5000:5000 --restart=always --name registry \ -v `pwd`/registry:/var/lib/registry \ registry:2
檢視一下 5000 埠是否已被監聽:
看起來還不錯,讓我們向本地的 Registry 中推送一個映象試試。
先找個映象,打上自己的 tag:
$ docker pull ubuntu $ docker tag ubuntu localhost:5000/myubuntu:20170520
從上圖我們可以看到,兩個映象完全是一樣的,只不過我們建立的 tag 名稱不一樣而已。
接下來把映象 push 到本地的 Registry 中:
$ docker push localhost:5000/myubuntu:20170520
上圖顯示 push 操作成功了,那再看看檔案系統發生了什麼變化:
在我們掛載的 ~/registry 目錄的子目錄中出現了儲存映象 myubuntu 的目錄,在這個目錄下儲存了映象相關的資料。
最後我們看看能不能從自己的庫中 pull 映象。先把本地的映象 localhost:5000/myubuntu:20170520 刪除掉:
$ docker rmi localhost:5000/myubuntu:20170520
然後從本地的庫中 pull 映象:
$ docker pull localhost:5000/myubuntu:20170520
是不是 pull 操作已經成功啦!
建立區域網內可用的 Docker Registry
前面建立的 Registry 可以在區域網內使用嗎?我們來做個試驗。
執行 Registry 的機器 IP 為:192.168.171.156,我們在區域網中的另一臺機器上建立 tag 並執行推送命令:
推送失敗了!原因是為了保證安全,跨機的映象推送操作預設採用的都是 https 協議。也就是說,為了在區域網內使用 Docker Registry, 我們必須配置 https 版的 Registry 伺服器。
選擇透過 IP 地址訪問 registry
由於種種原因,筆者無法為這臺 Docker Registry Server 提供一個有效的域名。好在它的 IP 地址是固定的,因此決定透過 IP 地址來訪問這臺 Registry 伺服器。假設這臺機器的 IP 地址為:10.32.2.140,下面的描述都以此 IP 地址為例。
建立自簽名的證書
既然是在區域網中使用,因此不會大動干戈的去購買 https 證書,自己生成一個自簽名的就足夠了。但這也存在一個缺點,就是需要在作為客戶端的 docker daemon 中安裝這個根證書,本文的稍後部分會介紹這一步驟。
在 ubuntu 系統中,下面的命令會在 dcerts 目錄下生成秘鑰和自簽名的證書:
openssl req \ -newkey rsa:4096 -nodes -sha256 \ -keyout dcerts/domain.key \ -x509 -days 356 \ -out dcerts/domain.crt
注意,在執行此命令前需要在當前目錄下建立 dcerts 目錄。此命令的細節本文就不解釋了,有興趣的同學去查 openssl 命令的幫助文件。
生成證書時,openssl 要求我們輸入相關的資訊。比如地域和公司、部門的資訊。比較重要的是 Common Name,如果你是要為某個域名生成證書,那麼這裡就應該是你的域名。我們使用的是 IP 地址,所以我就想當然的把 IP 地址放在了這裡。很遺憾的是這並不正確!如果拿此時生成的證書去配置 Docker Registry,我們將無法完成 pull/push 操作。配置的 Registry 根本無法在區域網中使用。
此處是一個很隱晦的 openssl 配置問題,當我們使用 IP 地址作為訪問伺服器的名稱時就會碰到。解決的方法也很簡單,就是在生成證書的配置檔案中指定 subjectAltName 。開啟檔案 /etc/ssl/openssl.cnf,在 [v3_ca] 節點新增配置項:
subjectAltName = IP:10.32.2.140
儲存並退出,然後重新執行上面生成證書的命令。
執行 https 版的 Registry
有了前面建立的證書,我們就可以執行新版的 Registry 了:
$ docker run -d -p 5000:5000 \ --restart=always \ --name registry \ -v `pwd`/dstorage:/var/lib/registry \ -v `pwd`/dcerts:/certs \ -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \ -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \ registry:2
命令中我們把證書所在的目掛載到了容器的 /certs 目錄。然後分別指定了容器的環境變數 REGISTRY_HTTP_TLS_CERTIFICATE 和 REGISTRY_HTTP_TLS_KEY,這兩個環境變數會引用我們常見的秘鑰檔案和證書檔案。
好了,到目前為止新版的 Docker Registry 已經可以提供服務了。
在 client 端設定根證書
為了快速、方便和省錢,我們沒有去購買商業版的證書。這種方式的弊端是:必須把我們生成的根證書安裝到每一個需要訪問 Registry 伺服器的客戶端上。具體做法如下:
把前面生成的證書檔案 dcerts/domain.crt 複製到需要訪問 Registry 伺服器的機器上。放到目錄 /etc/docker/certs.d/10.32.2.140:5000/ 中,並重新命名為 ca.crt。當然這個目錄需要你自己建立。最後重新啟動 docker 服務:
$ sudo systemctl restart docker.service // 不同的系統重啟服務的命令可能不一樣。
終於大功告成了,讓我們往 Registry 中推送一個映象吧:
看,redis:3.2 已經被 tag 為 10.32.2.140:5000/myredis:20170520,並推送到了區域網中的 Docker Registry Server 中。
為了驗明正身,我們還是到 10.32.2.140 上去看一下檔案儲存的狀態:
從這張圖中我們可以看到,myredis:20170520 真的已經被 Registry 儲存到檔案系統中了。
總結
由於安全性的考慮,配置區域網內可用的 Docker Registry 稍微有點麻煩。尤其是使用 IP 地址的配置方式,需要配置證書的 subjectAltName 才能正常工作。但完成配置後,使用區域網內的 Registry 還是很爽的。希望本文對有類似需求的朋友們有所幫助。