一、背景与需求分析

在Docker使用过程中，开发者常面临两个核心问题：一是由于国内网络环境限制，直接拉取官方镜像速度慢甚至失败；二是企业内部分享镜像时缺乏安全可控的私有仓库，导致镜像管理混乱。本文将围绕这两个痛点，提供一套完整的解决方案，涵盖镜像源优化、私有仓库搭建、跨服务器镜像管理及删除操作。

二、修改Docker国内镜像源

2.1 镜像源的作用与选择

Docker默认使用Docker Hub作为镜像源，但国内用户常遇到下载慢或中断的问题。国内主流镜像源包括阿里云、腾讯云、华为云等提供的加速器，以及中科大、清华等高校开源镜像站。选择镜像源时需考虑稳定性、更新速度及覆盖范围。

2.2 配置方法（以Ubuntu为例）

1. 修改daemon.json文件
   在/etc/docker/daemon.json（若无则创建）中添加以下内容：

   {
     "registry-mirrors": [
       "https://<镜像源地址>.mirror.aliyuncs.com",
       "https://mirror.baidubce.com"
     ]
   }

   例如阿里云镜像源需先在阿里云容器镜像服务控制台获取专属加速地址。

2. 重启Docker服务

   sudo systemctl daemon-reload
   sudo systemctl restart docker

3. 验证配置
   执行docker info，在输出中查找Registry Mirrors字段，确认配置生效。

2.3 常见问题处理

• 配置不生效：检查文件权限是否为644，或尝试删除/var/lib/docker目录后重启（需备份数据）。
• 镜像源不稳定：建议配置多个镜像源，Docker会自动选择可用源。

三、搭建本地私有镜像仓库

3.1 私有仓库的价值

私有仓库可解决以下问题：

• 避免敏感镜像泄露到公网
• 加速内网镜像拉取
• 统一管理企业镜像版本

3.2 使用Docker Registry搭建

3.2.1 基础部署

# 拉取官方Registry镜像
docker pull registry:2
# 启动Registry容器
docker run -d \
  --name registry \
  -p 5000:5000 \
  -v /data/registry:/var/lib/registry \
  registry:2

• -p 5000:5000：将容器5000端口映射到宿主机
• -v：持久化存储镜像数据

3.2.2 配置HTTPS（生产环境必需）

1. 生成自签名证书：

   mkdir -p /certs
   openssl req -newkey rsa:4096 -nodes -sha256 -keyout /certs/domain.key \
     -x509 -days 365 -out /certs/domain.crt \
     -subj "/CN=registry.example.com"

2. 启动支持HTTPS的Registry：

   docker run -d \
     --name registry \
     -p 5000:5000 \
     -v /certs:/certs \
     -e REGISTRY_HTTP_ADDR=0.0.0.0:5000 \
     -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
     -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
     registry:2

3.2.3 添加认证（可选）

1. 生成密码文件：

   mkdir -p /auth
   docker run --entrypoint htpasswd \
     registry:2 -Bbn username password > /auth/htpasswd

2. 启动带认证的Registry：

   docker run -d \
     --name registry \
     -p 5000:5000 \
     -v /auth:/auth \
     -e REGISTRY_AUTH=htpasswd \
     -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
     -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
     registry:2

3.3 使用Harbor高级方案

对于企业级需求，推荐使用Harbor（VMware开源的企业级Registry）：

1. 下载Harbor安装包并解压
2. 修改harbor.yml中的hostname、https配置及密码
3. 执行./install.sh安装
4. 访问https://<harbor_ip>使用Web管理界面

四、配置其他Docker服务器拉取镜像

4.1 标记并推送镜像到私有仓库

# 标记镜像（假设本地有nginx:latest镜像）
docker tag nginx:latest registry.example.com/myrepo/nginx:v1
# 登录私有仓库（若配置认证）
docker login registry.example.com
# 推送镜像
docker push registry.example.com/myrepo/nginx:v1

4.2 其他服务器配置

1. 修改/etc/docker/daemon.json（若私有仓库使用自签名证书）：

   {
     "insecure-registries": ["registry.example.com:5000"]
   }

   重启Docker服务后生效。

2. 拉取镜像：

   docker pull registry.example.com/myrepo/nginx:v1

五、镜像删除操作

5.1 从私有仓库删除镜像

1. 通过Registry API删除（需Registry启用删除功能）：

   # 获取镜像清单
   curl -X GET https://registry.example.com/v2/myrepo/nginx/manifests/v1
   # 删除镜像（需替换digest值）
   curl -X DELETE https://registry.example.com/v2/myrepo/nginx/manifests/<digest>

2. 使用Harbor界面删除：登录Harbor Web，进入项目→镜像仓库→选择镜像→删除。

5.2 从本地删除镜像

# 删除单个镜像
docker rmi registry.example.com/myrepo/nginx:v1
# 强制删除所有未使用的镜像
docker system prune -a

六、最佳实践与注意事项

1. 镜像命名规范：建议采用<私有仓库地址>/<项目>/<镜像名>:<标签>格式
2. 定期清理：设置Cron任务定期删除未使用的镜像和缓存
3. 备份策略：对Registry数据目录进行定期备份
4. 安全加固：
   • 禁用Registry的匿名访问
   • 定期更新Registry镜像
   • 使用TLS 1.2及以上版本

七、总结

通过本文的方案，企业可实现：

• 国内镜像下载速度提升3-5倍
• 私有仓库镜像拉取速度比公网快10倍以上
• 镜像管理权限集中控制
• 符合等保2.0要求的镜像安全存储

建议读者根据实际规模选择基础Registry或Harbor方案，并逐步完善镜像生命周期管理流程。