一、Docker镜像与容器的导入导出

1.1 镜像导出与导入

镜像导出是Docker环境迁移的重要环节，通过docker save命令可将镜像打包为tar归档文件。例如将Nginx镜像导出：

docker save -o nginx_image.tar nginx:latest

该操作会生成包含完整镜像层的归档文件，支持跨主机传输。导入时使用docker load命令：

docker load -i nginx_image.tar

系统会解压归档并重建镜像元数据，恢复后的镜像与原始镜像完全一致。这种机制特别适用于离线环境部署和版本备份。

1.2 容器导出与导入

容器状态导出通过docker export实现，可将运行中容器的文件系统保存为tar文件：

docker export -o container_fs.tar my_container

与镜像导出不同，容器导出仅包含文件系统快照，不包含镜像层信息和运行状态。导入时需先创建基础镜像：

cat container_fs.tar | docker import - my_custom_image

此方式适用于快速创建相似容器环境，但需注意缺失的运行时配置需手动补充。

1.3 高级应用场景

1.3.1 增量备份策略

结合docker commit和导出命令实现增量备份：

# 提交容器变更
docker commit my_container my_image:v2
# 导出增量镜像
docker save -o delta.tar my_image:v2

1.3.2 跨平台迁移

通过docker save生成的归档文件包含所有必要元数据，可在不同架构（x86/ARM）间迁移，但需注意基础镜像的兼容性。

二、私有仓库搭建方案

2.1 Registry基础部署

Docker官方提供的Registry镜像可快速搭建私有仓库：

docker run -d -p 5000:5000 --name registry registry:2

该方案适用于小型团队，但缺乏认证和存储管理功能。

2.2 增强型仓库配置

2.2.1 基础认证配置

通过Nginx反向代理实现HTTP Basic认证：

server {
    listen 5000;
    auth_basic "Registry Auth";
    auth_basic_user_file /etc/nginx/.htpasswd;
    location / {
        proxy_pass http://registry:5000;
    }
}

使用htpasswd生成认证文件：

htpasswd -c .htpasswd admin

2.2.2 存储后端配置

支持多种存储驱动，以S3兼容存储为例：

# docker-compose.yml示例
registry:
  image: registry:2
  environment:
    REGISTRY_STORAGE: s3
    REGISTRY_STORAGE_S3_ACCESSKEY: your_access_key
    REGISTRY_STORAGE_S3_SECRETKEY: your_secret_key
    REGISTRY_STORAGE_S3_BUCKET: registry-bucket

2.3 Harbor企业级方案

Harbor提供完整的权限管理、镜像扫描和日志审计功能：

# 安装示例
curl -L https://github.com/goharbor/harbor/releases/download/v2.6.0/harbor-offline-installer-v2.6.0.tgz | tar xz
cd harbor
cp harbor.yml.tmpl harbor.yml
# 修改配置后执行
./install.sh

关键配置项包括：

• hostname: 仓库访问域名
• http.port: 服务端口
• harbor_admin_password: 管理员密码
• database.password: 数据库密码

2.4 仓库管理最佳实践

2.4.1 镜像命名规范

采用<registry>/<project>/<image>:<tag>格式，例如：

registry.example.com/devops/nginx:1.23

2.4.2 清理策略

配置自动清理旧版本镜像：

# config.yml示例
delete:
  enabled: true
  dryrun: false
  templates:
    - "*.expired"

2.4.3 镜像签名验证

启用Notary实现内容信任：

export DOCKER_CONTENT_TRUST=1
docker push registry.example.com/app:latest

三、企业级部署方案

3.1 高可用架构

采用三节点集群部署，结合负载均衡器：

客户端 → HAProxy → Registry节点1
                  → Registry节点2
                  → Registry节点3

每个节点配置共享存储（如NFS或对象存储），通过Keepalived实现VIP切换。

3.2 监控集成方案

3.2.1 Prometheus监控

配置Registry的Metrics接口：

# docker-compose.yml
registry:
  image: registry:2
  environment:
    REGISTRY_HTTP_SECRET: your_secret
    REGISTRY_METRICS_ENABLED: "true"
  ports:
    - "5000:5000"
    - "5001:5001"  # Metrics端口

3.2.2 Grafana仪表盘

导入Docker Registry专用仪表盘模板，监控关键指标：

• 存储使用率
• 请求延迟
• 镜像推送频率

3.3 安全加固措施

3.3.1 TLS加密配置

生成自签名证书：

openssl req -newkey rsa:4096 -nodes -sha256 \
  -keyout domain.key -x509 -days 365 \
  -out domain.crt -subj "/CN=registry.example.com"

配置Registry使用证书：

registry:
  image: registry:2
  volumes:
    - ./domain.crt:/etc/registry/domain.crt
    - ./domain.key:/etc/registry/domain.key
  environment:
    REGISTRY_HTTP_TLS_CERTIFICATE: /etc/registry/domain.crt
    REGISTRY_HTTP_TLS_KEY: /etc/registry/domain.key

3.3.2 漏洞扫描集成

配置Clair或Trivy进行自动化扫描：

# Harbor配置示例
scan:
  enabled: true
  scanner: clair
  clair:
    url: http://clair-scanner:6060

四、故障排查指南

4.1 常见问题处理

4.1.1 镜像推送失败

检查日志定位具体错误：

docker logs registry

常见原因包括：

• 存储配额不足
• 认证信息错误
• 网络连接问题

4.1.2 性能瓶颈分析

使用docker stats监控Registry容器资源使用：

docker stats registry

重点关注：

• CPU使用率持续高于80%
• 内存占用接近限制
• 网络I/O延迟

4.2 日志分析技巧

配置Registry的详细日志：

# docker-compose.yml
registry:
  image: registry:2
  environment:
    REGISTRY_LOG_LEVEL: debug
    REGISTRY_STORAGE_DELETE_ENABLED: "true"

关键日志字段解析：

• auth.user: 认证用户
• request.method: HTTP方法
• request.remoteaddr: 客户端IP

本文系统阐述了Docker镜像与容器的全生命周期管理，从基础操作到企业级私有仓库搭建，提供了可落地的技术方案。实际部署时建议先在测试环境验证配置，逐步过渡到生产环境。对于大型企业，推荐采用Harbor等成熟解决方案，结合自动化运维工具实现镜像管理的标准化和流程化。