如何在Linux上搭建私有Docker Registry并开放公网访问

一、环境准备与基础部署

1.1 系统要求与依赖安装

选择CentOS 8或Ubuntu 20.04 LTS作为基础系统，需满足：

• 至少2核CPU、4GB内存
• 磁盘空间≥100GB（根据存储需求调整）
• 已安装Docker CE（版本≥19.03）

安装命令示例（Ubuntu）：

# 安装依赖
sudo apt update && sudo apt install -y apt-transport-https ca-certificates curl gnupg-agent software-properties-common
# 添加Docker官方GPG密钥
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
# 添加稳定版仓库
sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
# 安装Docker CE
sudo apt update && sudo apt install -y docker-ce docker-ce-cli containerd.io
# 验证安装
sudo docker run hello-world

1.2 基础Registry部署

使用官方registry镜像快速启动：

sudo docker run -d \
  --name registry \
  -p 5000:5000 \
  --restart always \
  -v /mnt/registry:/var/lib/registry \
  registry:2.7.1

关键参数说明：

• -p 5000:5000：映射容器5000端口到宿主机
• -v /mnt/registry：持久化存储镜像数据
• --restart always：设置容器异常退出后自动重启

验证服务状态：

curl http://localhost:5000/v2/_catalog
# 应返回：{"repositories":[]}

二、安全加固与HTTPS配置

2.1 自签名证书生成

使用OpenSSL创建证书（生产环境建议使用CA机构证书）：

# 创建证书目录
sudo mkdir -p /etc/docker/registry/certs
# 生成私钥
sudo openssl genrsa -out /etc/docker/registry/certs/domain.key 2048
# 生成证书签名请求
sudo openssl req -new -key /etc/docker/registry/certs/domain.key \
  -out /etc/docker/registry/certs/domain.csr \
  -subj "/CN=registry.example.com"
# 生成自签名证书（有效期365天）
sudo openssl x509 -req -days 365 \
  -in /etc/docker/registry/certs/domain.csr \
  -signkey /etc/docker/registry/certs/domain.key \
  -out /etc/docker/registry/certs/domain.crt

2.2 配置HTTPS Registry

创建配置文件/etc/docker/registry/config.yml：

version: 0.1
log:
  fields:
    service: registry
storage:
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
http:
  addr: :5000
  headers:
    X-Content-Type-Options: [nosniff]
  tls:
    certificate: /etc/docker/registry/certs/domain.crt
    key: /etc/docker/registry/certs/domain.key

重新启动Registry：

sudo docker stop registry
sudo docker rm registry
sudo docker run -d \
  --name registry \
  -p 5000:5000 \
  --restart always \
  -v /mnt/registry:/var/lib/registry \
  -v /etc/docker/registry/certs:/certs \
  -v /etc/docker/registry/config.yml:/etc/docker/registry/config.yml \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2.7.1

三、公网访问实现方案

3.1 Nginx反向代理配置

安装Nginx并配置代理：

sudo apt install -y nginx

创建配置文件/etc/nginx/conf.d/registry.conf：

server {
    listen 443 ssl;
    server_name registry.example.com;
    ssl_certificate /etc/docker/registry/certs/domain.crt;
    ssl_certificate_key /etc/docker/registry/certs/domain.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    client_max_body_size 0;
    location / {
        proxy_pass http://localhost:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
    location /v2/ {
        proxy_pass http://localhost:5000/v2/;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

重启Nginx服务：

sudo systemctl restart nginx
sudo systemctl enable nginx

3.2 防火墙与安全组配置

开放443端口（以UFW为例）：

sudo ufw allow 443/tcp
sudo ufw enable

云服务器需在控制台配置安全组规则：

• 入方向：TCP协议，端口443，来源IP（建议限制特定IP或0.0.0.0/0）

四、客户端配置与使用

4.1 信任自签名证书

将证书添加到客户端信任链（以Ubuntu为例）：

# 复制证书到系统目录
sudo mkdir -p /usr/local/share/ca-certificates/extra
sudo cp /etc/docker/registry/certs/domain.crt /usr/local/share/ca-certificates/extra/
# 更新证书库
sudo update-ca-certificates

4.2 Docker客户端配置

修改/etc/docker/daemon.json：

{
  "insecure-registries": [],
  "registry-mirrors": [],
  "allow-nondistributable-artifacts": ["registry.example.com"]
}

重启Docker服务：

sudo systemctl restart docker

4.3 镜像推送与拉取测试

标记并推送镜像：

docker tag ubuntu:latest registry.example.com/ubuntu:latest
docker push registry.example.com/ubuntu:latest

从公网拉取镜像：

docker pull registry.example.com/ubuntu:latest

五、高级功能扩展

5.1 基础认证配置

使用htpasswd创建认证文件：

sudo apt install -y apache2-utils
sudo htpasswd -Bc /etc/docker/registry/auth/htpasswd admin

修改Registry配置：

http:
  addr: :5000
  tls:
    certificate: /certs/domain.crt
    key: /certs/domain.key
auth:
  htpasswd:
    realm: Registry Realm
    path: /auth/htpasswd

5.2 存储配额管理

安装registry-storage-s3插件（如使用S3兼容存储）：

sudo docker run -d \
  --name registry \
  -p 5000:5000 \
  -e REGISTRY_STORAGE=s3 \
  -e REGISTRY_STORAGE_S3_ACCESSKEY=xxx \
  -e REGISTRY_STORAGE_S3_SECRETKEY=xxx \
  -e REGISTRY_STORAGE_S3_BUCKET=registry-bucket \
  -e REGISTRY_STORAGE_S3_REGION=us-east-1 \
  registry:2.7.1

5.3 监控与日志分析

配置Prometheus监控：

metrics:
  enabled: true
  raven:
    address: :9323

部署Grafana看板监控推送速率、存储使用率等关键指标。

六、运维与故障排查

6.1 常见问题处理

问题现象	可能原因	解决方案
502 Bad Gateway	Nginx配置错误	检查proxy_pass配置
x509证书错误	客户端未信任证书	导入证书到信任链
401 Unauthorized	认证配置错误	检查htpasswd文件权限
推送超时	网络带宽不足	调整客户端超时设置

6.2 日志分析命令

# 查看Registry日志
sudo docker logs -f registry
# 分析Nginx访问日志
sudo tail -f /var/log/nginx/registry.access.log

七、最佳实践建议

1. 存储冗余：使用RAID10或分布式存储（如Ceph）保障数据安全
2. 备份策略：每日增量备份+每周全量备份
3. 访问控制：结合IP白名单与OAuth2认证
4. 性能优化：
   • 启用Registry缓存（-e REGISTRY_PROXY_REMOTEURL=https://registry-1.docker.io）
   • 调整JVM参数（-e JAVA_OPTS="-Xmx4g"）

通过以上完整方案，开发者可在30分钟内完成从基础部署到公网访问的全流程配置，构建企业级私有镜像仓库。实际生产环境中，建议结合CI/CD流水线实现镜像自动构建与推送，进一步提升研发效率。