Docker 使用基础（1）—镜像仓库

一、镜像仓库的核心地位

在Docker生态中，镜像仓库是容器化应用的核心基础设施，承担着镜像存储、分发与版本管理的关键职能。其重要性体现在三方面：

1. 标准化分发：通过统一仓库实现镜像跨环境部署
2. 版本控制：支持镜像标签管理，确保环境一致性
3. 安全管控：提供镜像签名、漏洞扫描等安全机制

以Docker Hub为例，作为全球最大的公共镜像仓库，已存储超过150万官方镜像，日均下载量超10亿次。企业级用户则更倾向于构建私有仓库，如Harbor项目在GitHub上已收获18.6k星标，成为私有仓库首选方案。

二、公共镜像仓库操作指南

1. Docker Hub基础使用

镜像搜索：

docker search nginx
# 输出示例：
NAME      DESCRIPTION       STARS     OFFICIAL   AUTOMATED
nginx     Official build   16.2k     [OK]

关键字段解析：

• STARS：社区认可度指标
• OFFICIAL：Docker官方维护标识
• AUTOMATED：自动构建标识

镜像拉取：

docker pull nginx:latest
# 等效于
docker pull docker.io/library/nginx:latest

镜像推送（需先登录）：

docker login
Username: your_username
Password:
docker tag local-image your_username/repo:tag
docker push your_username/repo:tag

2. 第三方公共仓库

• 阿里云容器镜像服务：提供全球加速节点，国内下载速度提升3-5倍
• Google Container Registry：与GCP深度集成，支持IAM权限控制
• Quay.io：提供企业级安全扫描和镜像分析功能

三、私有仓库搭建实战

1. 使用Registry官方镜像

快速部署：

docker run -d -p 5000:5000 --name registry registry:2

基础验证：

# 标记并推送镜像
docker tag ubuntu:20.04 localhost:5000/my-ubuntu
docker push localhost:5000/my-ubuntu
# 拉取验证
docker pull localhost:5000/my-ubuntu

2. Harbor企业级方案

架构组成：

• Core Services：API、认证、元数据管理
• Database：存储镜像元数据
• Token Service：提供安全令牌
• Proxy Cache：加速镜像拉取

安装流程：

# 下载安装包
wget https://github.com/goharbor/harbor/releases/download/v2.7.0/harbor-offline-installer-v2.7.0.tgz
# 配置修改（harbor.yml）
hostname: reg.example.com
http:
  port: 80
# 生成自签名证书（生产环境建议使用CA证书）
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout /data/cert/harbor.key -out /data/cert/harbor.crt
# 安装启动
./install.sh

3. 高级配置选项

存储驱动选择：
| 驱动类型 | 适用场景 | 性能特点 |
|——————|———————————————|————————————|
| filesystem | 单节点部署 | 简单可靠 |
| s3 | 云存储集成 | 可扩展，支持跨区域 |
| azure | Azure Blob Storage | 与Azure生态无缝集成 |
| swift | OpenStack对象存储 | 适合私有云环境 |

网络配置优化：

# docker-compose.yml示例
registry:
  image: registry:2
  ports:
    - "5000:5000"
  volumes:
    - ./registry-data:/var/lib/registry
  environment:
    REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY: /var/lib/registry
    REGISTRY_HTTP_ADDR: 0.0.0.0:5000
    REGISTRY_STORAGE_DELETE_ENABLED: "true"
  networks:
    - registry-net
networks:
  registry-net:
    driver: bridge
    ipam:
      config:
        - subnet: 172.20.0.0/24

四、镜像仓库安全实践

1. 认证机制

基础认证：

# 生成htpasswd文件
mkdir -p auth
docker run --entrypoint htpasswd \
  httpd:2 -Bbn username password > auth/htpasswd
# 启动带认证的registry
docker run -d -p 5000:5000 --restart=always --name registry \
  -v $(pwd)/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -v $(pwd)/registry-data:/var/lib/registry \
  registry:2

Token认证（Harbor示例）：

1. 在Harbor界面创建项目
2. 配置用户角色和权限
3. 使用docker login reg.example.com进行认证

2. 镜像签名验证

Notary使用流程：

# 初始化Notary服务器
notary-server -config notary-server.json
# 镜像签名
notary add example.com/my-image:1.0.0 /path/to/file
notary publish example.com/my-image
# 验证签名
notary verify example.com/my-image:1.0.0

3. 漏洞扫描方案

Clair集成：

1. 部署Clair扫描器

   docker run -d -p 6060-6061:6060-6061 \
   -v /var/run/docker.sock:/var/run/docker.sock \
   quay.io/coreos/clair:latest

2. 配置Harbor集成Clair
3. 在项目设置中启用自动扫描

五、性能优化策略

1. 镜像分层优化

最佳实践：

• 合并RUN指令减少层数
  ```dockerfile

  不推荐

  RUN apt-get update
  RUN apt-get install -y package1
  RUN apt-get install -y package2

推荐

RUN apt-get update && \
apt-get install -y package1 package2 && \
rm -rf /var/lib/apt/lists/*

- 使用多阶段构建
```dockerfile
# 构建阶段
FROM golang:1.18 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp
# 运行阶段
FROM alpine:3.15
COPY --from=builder /app/myapp /usr/local/bin/
CMD ["myapp"]

2. 缓存利用技巧

构建缓存机制：

• 添加文件时使用.dockerignore

  .git
  *.log
  *.tmp
  node_modules/

• 调整指令顺序（频繁变更的指令放后面）

3. 网络加速方案

国内环境优化：

# 配置镜像加速器（阿里云示例）
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://<your-id>.mirror.aliyuncs.com"]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker

六、常见问题解决方案

1. 推送失败排查

典型错误：

The push refers to repository [docker.io/library/nginx]
Get "https://registry-1.docker.io/v2/": net/http: TLS handshake timeout

解决方案：

1. 检查网络连接
2. 配置代理：

   export HTTP_PROXY=http://proxy.example.com:8080
   export HTTPS_PROXY=http://proxy.example.com:8080

3. 增加超时设置：

   docker --config ~/.docker/config.json pull --timeout 300s nginx

2. 权限错误处理

错误示例：

denied: requested access to the resource is denied

解决步骤：

1. 确认登录状态：docker login
2. 检查镜像命名空间：
   ```bash

   错误示例（缺少用户名前缀）

   docker tag my-image:latest example.com/my-image:latest

正确示例

docker tag my-image:latest username/example.com/my-image:latest

### 3. 存储空间清理
**清理命令**：
```bash
# 删除未使用的镜像
docker image prune -a
# 删除指定仓库的镜像
docker rmi $(docker images -q registry.example.com/repo)
# 清理Harbor中的垃圾镜像
curl -X DELETE "http://harbor-api/api/v2.0/system/gc" \
  -H "accept: application/json" \
  -u admin:Harbor12345

七、进阶使用场景

1. 镜像自动构建

GitHub Actions示例：

name: Docker Build
on:
  push:
    branches: [ main ]
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v2
    - name: Build and push
      uses: docker/build-push-action@v2
      with:
        context: .
        push: true
        tags: registry.example.com/repo:${{ github.sha }}
        username: ${{ secrets.DOCKER_USERNAME }}
        password: ${{ secrets.DOCKER_PASSWORD }}

2. 跨集群镜像同步

使用Skopeo复制镜像：

skopeo copy \
  docker://registry1.example.com/repo:tag \
  docker://registry2.example.com/repo:tag \
  --dest-creds username:password

3. 镜像元数据管理

使用Reg客户端工具：

# 安装Reg客户端
go install github.com/genuinetools/reg@latest
# 查看镜像标签
reg tags registry.example.com/repo
# 查看镜像manifest
reg manifest registry.example.com/repo:tag

八、总结与建议

1. 开发环境：优先使用Docker Hub公共镜像
2. 测试环境：搭建轻量级Registry实例
3. 生产环境：部署Harbor等企业级方案，配置完善的认证和审计机制
4. 安全建议：
   • 启用镜像签名和漏洞扫描
   • 定期轮换访问凭证
   • 限制仓库访问IP范围

通过合理配置镜像仓库，企业可将容器部署效率提升40%以上，同时降低60%的安全风险。建议从基础Registry开始实践，逐步过渡到Harbor等完整解决方案，最终构建起符合企业安全标准的容器镜像管理体系。