8讲Docker | 2分钟搭建私人镜像仓库

一、为什么需要私人镜像仓库？

在Docker生态中，镜像仓库是存储和分发容器镜像的核心组件。公有云提供的镜像仓库（如Docker Hub、阿里云容器镜像服务等）虽然方便，但存在以下痛点：

1. 安全性风险：公有仓库可能被恶意攻击，导致镜像泄露或篡改。
2. 网络依赖：拉取镜像依赖外部网络，在离线环境或内网中无法使用。
3. 成本问题：公有仓库的私有镜像存储通常需要付费，尤其是大规模使用时。
4. 合规性要求：企业或开发者可能因数据主权、隐私保护等法规要求，必须使用私有仓库。

私人镜像仓库的搭建，能有效解决上述问题，实现镜像的自主可控、安全存储和高效分发。

二、2分钟搭建的核心原理

Docker官方提供了轻量级的镜像仓库工具——Docker Registry，它是一个开源的、无状态的镜像存储服务，支持通过HTTP API上传和下载镜像。其核心原理如下：

1. 基于Docker容器：Registry本身就是一个Docker镜像，直接运行即可启动服务。
2. 依赖极简：仅需Docker环境，无需额外安装数据库或存储系统（默认使用本地文件系统）。
3. 配置灵活：支持通过环境变量或配置文件调整存储路径、认证方式等参数。

三、2分钟搭建步骤详解

1. 环境准备

• Docker安装：确保服务器已安装Docker（版本建议≥19.03）。

  # Ubuntu示例安装命令
  sudo apt update && sudo apt install -y docker.io
  sudo systemctl enable --now docker

• 端口开放：确保服务器的5000端口（Registry默认端口）可被访问（如防火墙放行）。

2. 启动Registry容器

执行以下命令，1分钟内即可启动私人镜像仓库：

docker run -d \
  --name registry \
  -p 5000:5000 \
  --restart=always \
  -v /data/registry:/var/lib/registry \
  registry:2

• 参数说明：
  • -d：后台运行容器。
  • --name registry：指定容器名称为registry。
  • -p 5000:5000：将宿主机的5000端口映射到容器的5000端口。
  • --restart=always：容器退出时自动重启。
  • -v /data/registry:/var/lib/registry：将宿主机的/data/registry目录挂载到容器的/var/lib/registry（镜像存储路径）。
  • registry:2：使用官方Registry的v2版本镜像。

3. 验证仓库可用性

• 推送测试镜像：

  # 标记本地镜像为私有仓库地址（以nginx为例）
  docker tag nginx:latest localhost:5000/my-nginx:latest
  # 推送镜像
  docker push localhost:5000/my-nginx:latest

• 拉取测试镜像：

  docker pull localhost:5000/my-nginx:latest

  若推送和拉取均成功，说明仓库已正常运行。

四、进阶配置与优化

1. 启用HTTPS（生产环境必备）

默认情况下，Registry使用HTTP协议，存在中间人攻击风险。生产环境需配置HTTPS：

1. 生成证书：

   mkdir -p /data/certs
   openssl req -newkey rsa:4096 -nodes -sha256 -keyout /data/certs/domain.key \
     -x509 -days 365 -out /data/certs/domain.crt \
     -subj "/CN=registry.example.com"

2. 修改启动命令：

   docker run -d \
     --name registry \
     -p 5000:5000 \
     --restart=always \
     -v /data/registry:/var/lib/registry \
     -v /data/certs:/certs \
     -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
     -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
     registry:2

2. 添加基本认证

为防止未授权访问，可配置用户名和密码：

1. 生成密码文件：

   mkdir -p /data/auth
   docker run --entrypoint htpasswd \
     httpd:2 -Bbn testuser testpassword > /data/auth/htpasswd

2. 修改启动命令：

   docker run -d \
     --name registry \
     -p 5000:5000 \
     --restart=always \
     -v /data/registry:/var/lib/registry \
     -v /data/auth:/auth \
     -e REGISTRY_AUTH=htpasswd \
     -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
     -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
     registry:2

3. 存储后端扩展

默认使用本地文件系统存储镜像，若需高可用或分布式存储，可替换为以下后端：

• S3兼容存储（如MinIO、AWS S3）：

  docker run -d \
    --name registry \
    -p 5000:5000 \
    --restart=always \
    -e REGISTRY_STORAGE=s3 \
    -e REGISTRY_STORAGE_S3_ACCESSKEY=your-accesskey \
    -e REGISTRY_STORAGE_S3_SECRETKEY=your-secretkey \
    -e REGISTRY_STORAGE_S3_BUCKET=your-bucket \
    -e REGISTRY_STORAGE_S3_REGION=us-east-1 \
    registry:2

五、常见问题与解决方案

1. 推送镜像时报错x509: certificate signed by unknown authority：

   • 原因：客户端未信任Registry的HTTPS证书。
   • 解决：将证书文件（.crt）复制到客户端的/etc/docker/certs.d/registry.example.com:5000/目录（需创建目录）。

2. 镜像存储空间不足：

   • 解决：定期清理未使用的镜像层，或扩展存储后端（如切换为S3）。

3. 性能瓶颈：

   • 优化建议：
     • 使用SSD存储镜像。
     • 部署多个Registry实例并配置负载均衡。

六、总结与展望

通过本文的2分钟快速搭建方法，开发者可以低成本、高效率地部署私人镜像仓库，满足安全、合规和离线使用的需求。进一步优化方向包括：

1. 集成CI/CD：将Registry与Jenkins、GitLab CI等工具结合，实现镜像的自动构建和推送。
2. 镜像扫描：集成Clair、Trivy等工具，实现镜像漏洞的自动检测。
3. 多租户管理：通过Registry的API或扩展工具（如Harbor）实现更细粒度的权限控制。

私人镜像仓库是Docker生态中不可或缺的一环，掌握其搭建和运维技巧，将为容器化应用的部署和管理带来极大便利。