一、镜像仓库与Docker命令基础

1.1 镜像仓库的核心作用

镜像仓库是Docker生态中存储、分发和管理容器镜像的核心组件，分为公有仓库（如Docker Hub）和私有仓库。公有仓库适合开源项目快速分发，而私有仓库则能满足企业级应用对安全性、合规性和定制化的需求。通过私有仓库，团队可集中管理内部开发的镜像，控制访问权限，并避免依赖外部网络。

1.2 常用Docker命令解析

• docker pull：从仓库拉取镜像。例如：

  docker pull nginx:latest

  此命令会从Docker Hub下载最新版Nginx镜像。

• docker run：创建并启动容器。基础用法：

  docker run -d -p 80:80 --name my-nginx nginx

  参数说明：-d 后台运行，-p 80:80 映射主机80端口到容器，--name 指定容器名称。

• docker images：列出本地镜像，用于验证拉取结果。

• docker ps：查看运行中的容器，确认Nginx服务状态。

二、实验：搭建Nginx容器

2.1 实验目标与步骤

本实验旨在通过Docker快速部署Nginx服务，验证容器化应用的便捷性。步骤如下：

步骤1：拉取Nginx镜像

docker pull nginx:latest

执行后，可通过docker images确认镜像是否存在。

步骤2：运行Nginx容器

docker run -d -p 80:80 --name web-nginx nginx

• -d：后台运行，避免占用终端。
• -p 80:80：将主机80端口映射到容器的80端口（Nginx默认监听端口）。
• --name web-nginx：为容器指定易记的名称。

步骤3：验证服务

访问主机IP（或localhost），若看到Nginx默认欢迎页，则部署成功。

步骤4：停止与删除容器

docker stop web-nginx  # 停止容器
docker rm web-nginx    # 删除容器（可选）

2.2 高级配置：自定义Nginx镜像

若需修改Nginx配置，可基于官方镜像创建自定义镜像：

1. 创建Dockerfile：

   FROM nginx:latest
   COPY nginx.conf /etc/nginx/nginx.conf
   EXPOSE 80

2. 构建镜像：

   docker build -t my-nginx:v1 .

3. 运行自定义镜像：

   docker run -d -p 80:80 my-nginx:v1

三、创建私有镜像仓库

3.1 私有仓库的必要性

公有仓库虽方便，但存在以下问题：

• 安全性：敏感镜像可能泄露。
• 网络依赖：内网环境无法直接访问。
• 合规性：企业需满足数据主权要求。

私有仓库可解决这些问题，并提供镜像版本控制、访问审计等高级功能。

3.2 使用Docker Registry搭建私有仓库

步骤1：拉取Registry镜像

docker pull registry:2

步骤2：运行私有仓库

docker run -d -p 5000:5000 --name private-registry registry:2

• -p 5000:5000：Registry默认监听5000端口。
• 访问http://<主机IP>:5000/v2/_catalog可查看仓库中的镜像列表。

步骤3：标记并推送镜像

1. 标记本地镜像：

   docker tag nginx:latest localhost:5000/my-nginx:v1

2. 推送镜像：

   docker push localhost:5000/my-nginx:v1

   若报错HTTP 401，需配置认证（见下文）。

3.3 增强安全性：配置HTTPS与认证

生成TLS证书

mkdir -p certs
openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key -x509 -days 365 -out certs/domain.crt

按提示填写信息，生成domain.key和domain.crt。

运行带TLS的Registry

docker run -d \
  -p 5000:5000 \
  --name secure-registry \
  -v $(pwd)/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

配置客户端认证

1. 创建htpasswd文件：

   mkdir auth
   docker run --entrypoint htpasswd httpd:2 -Bbn username password > auth/htpasswd

2. 重启Registry并加载认证：

   docker run -d \
     -p 5000:5000 \
     --name auth-registry \
     -v $(pwd)/auth:/auth \
     -e REGISTRY_AUTH=htpasswd \
     -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
     -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
     -v $(pwd)/certs:/certs \
     -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
     -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
     registry:2

3. 登录仓库：

   docker login <主机IP>:5000

   输入用户名和密码后，即可推送镜像。

四、最佳实践与常见问题

4.1 镜像命名规范

私有仓库镜像应遵循<仓库地址>/<项目>/<镜像>:<标签>格式，例如：

docker tag nginx:latest my-registry.example.com/web/nginx:v1

4.2 清理无用镜像

定期清理未使用的镜像和容器：

docker system prune -a  # 删除所有未使用的镜像、容器和网络

4.3 故障排查

• 推送失败：检查网络连接、TLS配置和认证信息。
• 端口冲突：确保5000端口未被占用。
• 权限问题：以root用户运行或配置正确的目录权限。

五、总结与扩展

本文通过实验演示了如何使用Docker命令快速部署Nginx，并详细介绍了私有仓库的搭建与安全配置。私有仓库不仅提升了镜像管理的效率，还为团队提供了安全可控的发布环境。未来可进一步探索：

• 使用Harbor等企业级仓库管理工具。
• 集成CI/CD流水线实现镜像自动构建与推送。
• 通过镜像签名确保镜像来源可信。

通过掌握这些技能，开发者能够更高效地管理容器化应用，满足企业级场景的需求。