如何在Linux部署Docker Registry本地镜像仓库并实现无公网IP远程连接

一、部署Docker Registry本地镜像仓库

1.1 基础环境准备

在开始部署前，需确保Linux系统满足以下条件：

• 已安装Docker引擎（建议版本20.10+）
• 具备root或sudo权限的用户
• 至少10GB可用磁盘空间（用于存储镜像）
• 开放5000端口（默认Registry端口）

验证Docker安装：

docker --version
# 应输出类似：Docker version 24.0.7, build 311be9e

1.2 基础Registry部署

使用官方Registry镜像启动服务：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  registry:2

关键参数说明：

• -d：后台运行
• -p 5000:5000：端口映射（主机:容器）
• --restart=always：容器退出时自动重启
• registry:2：使用官方v2版本镜像

验证服务状态：

docker ps | grep registry
# 应显示运行中的registry容器

1.3 基础功能测试

推送测试镜像：

# 拉取测试镜像
docker pull alpine:latest
# 标记镜像（替换<server_ip>为实际IP）
docker tag alpine:latest <server_ip>:5000/my-alpine
# 推送镜像
docker push <server_ip>:5000/my-alpine

二、安全增强配置

2.1 启用HTTPS认证

生成自签名证书（需OpenSSL）：

mkdir -p /certs
openssl req -newkey rsa:4096 -nodes -sha256 \
  -keyout /certs/domain.key \
  -x509 -days 365 \
  -out /certs/domain.crt \
  -subj "/CN=registry.local"

启动带HTTPS的Registry：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /certs:/certs \
  -e REGISTRY_HTTP_ADDR=0.0.0.0:5000 \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

2.2 基本认证配置

创建认证文件：

mkdir -p /auth
docker run --entrypoint htpasswd \
  httpd:2 -Bbn testuser testpass > /auth/htpasswd

启动带认证的Registry：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /certs:/certs \
  -v /auth:/auth \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

三、无公网IP远程连接方案

3.1 内网穿透方案（推荐）

方案一：frp内网穿透

服务端配置（有公网IP的服务器）：

# frps.ini
[common]
bind_port = 7000
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = admin

客户端配置（无公网IP的Registry主机）：

# frpc.ini
[common]
server_addr = <公网服务器IP>
server_port = 7000
[docker-registry]
type = tcp
local_ip = 127.0.0.1
local_port = 5000
remote_port = 6000

启动服务：

# 服务端
./frps -c ./frps.ini
# 客户端
./frpc -c ./frpc.ini

远程访问：<公网IP>:6000

方案二：ngrok反向代理

# 下载ngrok
wget https://bin.equinox.io/c/4VmDzA7iaHb/ngrok-stable-linux-amd64.zip
unzip ngrok-stable-linux-amd64.zip
# 启动隧道（需注册token）
./ngrok tcp 5000
# 输出类似：Forwarding                    tcp://2.tcp.ngrok.io:12345 -> localhost:5000

3.2 VPN组网方案

OpenVPN服务器配置

1. 安装OpenVPN：

   apt install openvpn easy-rsa
   make-cadir ~/openvpn-ca
   cd ~/openvpn-ca

2. 生成证书：

   ./build-ca
   ./build-key-server server
   ./build-key client1

3. 创建服务器配置：

   # /etc/openvpn/server.conf
   port 1194
   proto udp
   dev tun
   ca ca.crt
   cert server.crt
   key server.key
   dh dh2048.pem
   server 10.8.0.0 255.255.255.0
   ifconfig-pool-persist ipp.txt
   push "route 192.168.1.0 255.255.255.0"
   keepalive 10 120
   persist-key
   persist-tun
   status openvpn-status.log
   verb 3

客户端配置

# client.ovpn
client
dev tun
proto udp
remote <服务器IP> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
verb 3

连接后，客户端可通过服务器内网IP访问Registry。

四、高级配置选项

4.1 存储配置

使用本地存储：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /data/registry:/var/lib/registry \
  registry:2

使用S3兼容存储：

docker run -d \
  -e REGISTRY_STORAGE=s3 \
  -e REGISTRY_STORAGE_S3_ACCESSKEY=<access_key> \
  -e REGISTRY_STORAGE_S3_SECRETKEY=<secret_key> \
  -e REGISTRY_STORAGE_S3_REGION=us-east-1 \
  -e REGISTRY_STORAGE_S3_BUCKET=my-registry \
  -e REGISTRY_STORAGE_S3_ENCRYPT=true \
  registry:2

4.2 缓存配置

启用镜像缓存：

docker run -d \
  -e REGISTRY_PROXY_REMOTEURL=https://registry-1.docker.io \
  registry:2

五、常见问题解决方案

5.1 推送镜像失败

错误示例：

The push refers to repository [192.168.1.100:5000/my-alpine]
Get https://192.168.1.100:5000/v2/: http: server gave HTTP response to HTTPS client

解决方案：

1. 修改客户端Docker配置（/etc/docker/daemon.json）：

   {
   "insecure-registries" : ["192.168.1.100:5000"]
   }

2. 重启Docker服务：

   systemctl restart docker

5.2 认证失败

错误示例：

no basic auth credentials

解决方案：

1. 确保已正确登录：

   docker login <registry_ip>:5000

2. 检查认证文件权限：

   chmod 600 /auth/htpasswd

六、最佳实践建议

1. 定期备份：设置cron任务备份/var/lib/registry目录
2. 镜像清理：配置垃圾回收策略：

   docker exec -it registry bin/registry garbage-collect /etc/docker/registry/config.yml

3. 监控配置：使用Prometheus监控Registry指标：

   docker run -d \
   -p 9090:9090 \
   --name prometheus \
   -v /path/to/prometheus.yml:/etc/prometheus/prometheus.yml \
   prom/prometheus

4. 日志管理：配置syslog或ELK收集Registry日志

七、完整部署示例

综合配置示例：

# 创建必要目录
mkdir -p /opt/registry/{auth,certs,data}
# 生成自签名证书
openssl req -newkey rsa:4096 -nodes -sha256 \
  -keyout /opt/registry/certs/domain.key \
  -x509 -days 365 \
  -out /opt/registry/certs/domain.crt \
  -subj "/CN=registry.local"
# 生成认证文件
docker run --entrypoint htpasswd \
  httpd:2 -Bbn admin P@ssw0rd > /opt/registry/auth/htpasswd
# 启动Registry
docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /opt/registry/auth:/auth \
  -v /opt/registry/certs:/certs \
  -v /opt/registry/data:/var/lib/registry \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  -e REGISTRY_STORAGE_DELETE_ENABLED=true \
  registry:2

通过以上配置，您将获得一个具备以下特性的Docker Registry：

• 支持HTTPS安全连接
• 基本的用户认证
• 持久化存储
• 镜像删除功能
• 可以通过内网穿透或VPN实现远程访问

这种部署方式特别适合中小企业内部使用，既保证了数据安全性，又解决了无公网IP的访问难题。根据实际需求，您可以进一步扩展存储后端、添加镜像缓存或集成CI/CD流程。