上一篇文章搭建了一個具有基礎功能的私有倉庫，這次來搭建一個擁有許可權認證、TLS 的私有倉庫。

環境準備

• 系統：Ubuntu 17.04 x64
• IP:198.13.48.154
• 域名：hub.ymq.io，此域名需要dns 解析到198.13.48.154 作為私有倉庫地址

本文出現的所有：hub.ymq.io 域名。使用時候請替換成自己的域名

Docker 環境

在部署私有倉庫之前，需要在主機上安裝Docker。私有倉庫是 registry images，並在Docker中執行。

我是用的vultr 的伺服器，所以，下面操作，就不用配置國內的，加速映象庫，直接用Docker官方的！

國內加速倉庫，我其他文章有提到:Ubuntu 17.04 x64 安裝 Docker CE 初窺 Dockerfile 部署 Nginx
www.ymq.io/2017/12/30/…

安裝Docker CE

使用儲存庫進行安裝

1.更新apt軟體包索引：

$ sudo apt-get update
複製程式碼

2.裝軟體包以允許apt通過HTTPS使用儲存庫：

$ sudo apt-get install \
    apt-transport-https \
    ca-certificates \
    curl \
    software-properties-common
複製程式碼

3.新增Docker的官方GPG金鑰：

$ curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
複製程式碼

4.使用以下命令來設定穩定的儲存庫

$ sudo add-apt-repository \
   "deb [arch=amd64] https://download.docker.com/linux/ubuntu \
   $(lsb_release -cs) \
   stable"
複製程式碼

5.更新apt軟體包索引。

$ sudo apt-get update
複製程式碼

7.安裝最新版本的Docker CE

$ sudo apt-get install docker-ce
複製程式碼

8.通過執行hello-world 映像驗證是否正確安裝了Docker CE 。

$ sudo docker run hello-world
複製程式碼

域名證書

acme.sh 實現了 acme 協議, 可以從 letsencrypt 生成免費的證書. https://github.com…

給acme.sh組織贊助：Acknowledgments

很簡單就兩個步驟:

• 安裝 acme.sh
• 生成證書，及驗證證書

1.安裝 acme.sh

安裝很簡單, 一個命令:

$ curl  https://get.acme.sh | sh
複製程式碼

這條命令，會做的事情

1.把 acme.sh 安裝到你的 home 目錄下： 並建立 一個 bash 的 alias, 方便你的使用: acme.sh=~/.acme.sh/acme.sh

2.自動為你建立 cronjob, 每天 0:00 點自動檢測所有的證書, 如果快過期了, 需要更新, 則會自動更新證書.

2.生成證書

如果你還沒有執行任何 web 服務, 且80 埠是空閒的, 那麼 acme.sh 能假裝自己是一個webserver, 臨時聽在80 埠, 完成驗證:

**注意：**如果您使用的時候，請把，hub.ymq.io 替換成自己域名，此域名需要dns 解析到安裝私有倉庫的伺服器IP

$ cd ~/.acme.sh/
$ apt-get install socat
$ sh acme.sh  --issue -d hub.ymq.io   --standalone
複製程式碼

如果看到如下資訊，說明證書驗證並生成成功,證書生成位置在：/root/.acme.sh/hub.ymq.io/ 下

Success
Verify finished, start to sign.
Cert success.
-----BEGIN CERTIFICATE-----
複製程式碼

[Wed Jan  3 14:36:25 UTC 2018] Standalone mode.
[Wed Jan  3 14:36:25 UTC 2018] Registering account
[Wed Jan  3 14:36:27 UTC 2018] Registered
[Wed Jan  3 14:36:27 UTC 2018] ACCOUNT_THUMBPRINT='7TpUIE5N--hq2nhk2ruKmHBfgKB-LX-pBCkWzzmHzVM'
[Wed Jan  3 14:36:27 UTC 2018] Creating domain key
[Wed Jan  3 14:36:28 UTC 2018] The domain key is here: /root/.acme.sh/hub.ymq.io/hub.ymq.io.key
[Wed Jan  3 14:36:28 UTC 2018] Single domain='hub.ymq.io'
[Wed Jan  3 14:36:28 UTC 2018] Getting domain auth token for each domain
[Wed Jan  3 14:36:28 UTC 2018] Getting webroot for domain='hub.ymq.io'
[Wed Jan  3 14:36:28 UTC 2018] Getting new-authz for domain='hub.ymq.io'
[Wed Jan  3 14:36:29 UTC 2018] The new-authz request is ok.
[Wed Jan  3 14:36:29 UTC 2018] Verifying:hub.ymq.io
[Wed Jan  3 14:36:29 UTC 2018] Standalone mode server
[Wed Jan  3 14:36:34 UTC 2018] Success
[Wed Jan  3 14:36:34 UTC 2018] Verify finished, start to sign.
[Wed Jan  3 14:36:35 UTC 2018] Cert success.
-----BEGIN CERTIFICATE-----
MIIE9zCCA9+gAwIBAgISA6WV4ZFi6lr/kngVGx7/FoPMMA0GCSqGSIb3DQEBCwUA
******************************************
...

-----END CERTIFICATE-----
[Wed Jan  3 14:36:35 UTC 2018] Your cert is in  /root/.acme.sh/hub.ymq.io/hub.ymq.io.cer 
[Wed Jan  3 14:36:35 UTC 2018] Your cert key is in  /root/.acme.sh/hub.ymq.io/hub.ymq.io.key 
[Wed Jan  3 14:36:35 UTC 2018] The intermediate CA cert is in  /root/.acme.sh/hub.ymq.io/ca.cer 
[Wed Jan  3 14:36:35 UTC 2018] And the full chain certs is there:  /root/.acme.sh/hub.ymq.io/fullchain.cer 
複製程式碼

搭建倉庫

前提條件：域名的dns 解析到安裝私有倉庫的伺服器IP上

複製證書

1.建立一個certs目錄。

$ cd /opt/
$ mkdir -p certs
複製程式碼

2.移動證書到certs目錄。

$ cd ~/.acme.sh/
$ sh acme.sh  --installcert  -d  hub.ymq.io   \
        --key-file   /opt/certs/hub.ymq.io.key \
        --fullchain-file /opt/certs/fullchain.cer
複製程式碼

身份驗證

為使用者建立一個帶有一個條目的密碼檔案testuser，密碼為 testpassword：

$ mkdir auth
$ docker run \
  --entrypoint htpasswd \
  registry:2 -Bbn testuser testpassword > auth/htpasswd
複製程式碼

建立倉庫

啟動登錄檔，指示它使用TLS證書。這個命令將certs/目錄繫結到容器中/certs/，並設定環境變數來告訴容器在哪裡找到fullchain.cer 和hub.ymq.io.key檔案。登錄檔在埠443（預設的HTTPS埠）上執行。

docker run -d \
  --restart=always \
  --name registry \
  -v `pwd`/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -v `pwd`/certs:/certs \
  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/fullchain.cer \
  -e REGISTRY_HTTP_TLS_KEY=/certs/hub.ymq.io.key \
  -p 443:443 \
  registry:2
複製程式碼

檢視日誌

$ docker logs -f registry
複製程式碼

登入倉庫

$ docker login hub.ymq.io
Username (testuser): testuser
Password: 輸入倉庫密碼
Login Succeeded
複製程式碼

拉取映象

從 Docker Hub拉取 ubuntu:16.04 映象

$ docker pull ubuntu:16.04
複製程式碼

標記映象

將映象標記為 hub.ymq.io/my-ubuntu，在推送時，Docker會將其解釋為倉庫的位置。

$ docker tag ubuntu:16.04 hub.ymq.io/my-ubuntu
複製程式碼

推送映象

將映象推送到本地映象標記的倉庫hub.ymq.io/my-ubuntu

$ docker push hub.ymq.io/my-ubuntu
複製程式碼

刪除映象

刪除本地快取ubuntu:16.04和hub.ymq.io/my-ubuntu 映象，以便您可以測試從私有倉庫中拉取映象。這不會hub.ymq.io/my-ubuntu 從您的私有倉庫中刪除映象。

$ docker image remove ubuntu:16.04
$ docker image remove hub.ymq.io/my-ubuntu
複製程式碼

拉取映象

拉取 hub.ymq.io 倉庫的 my-ubuntu 映象。

$ docker pull hub.ymq.io/my-ubuntu
複製程式碼

檢視映象

$ docker images hub.ymq.io/my-ubuntu
REPOSITORY             TAG                 IMAGE ID            CREATED             SIZE
hub.ymq.io/my-ubuntu   latest              00fd29ccc6f1        2 weeks ago         111MB
複製程式碼

在瀏覽器中檢視倉庫中的映象。需要輸入賬號密碼

操作API

Docker Registry HTTP API V2

倉庫操作 API 官方文件：docs.docker.com/registry/sp…

倉庫搭建 官方文件：docs.docker.com/registry/de…

Harbor

Harbor是VMware公司開源的企業級DockerRegistry專案，專案地址為：github.com/vmware/harb…

其目標是幫助使用者迅速搭建一個企業級的Dockerregistry服務。它以Docker公司開源的registry為基礎，提供了管理UI，基於角色的訪問控制(Role Based Access Control)，AD/LDAP整合、以及審計日誌(Auditlogging) 等企業使用者需求的功能，同時還原生支援中文。Harbor的每個元件都是以Docker容器的形式構建的，使用Docker Compose來對它進行部署

Harbor 的搭建，及使用，正在整理中，會在下篇文章體現，關注公眾號：“搜雲庫” 我會在微信公眾號首發

Contact

• 作者：鵬磊
• 出處：www.ymq.io
• Email：admin@souyunku.com
• 版權歸作者所有，轉載請註明出處
• Wechat：關注公眾號，搜雲庫，專注於開發技術的研究與知識分享