搭建私有容器镜像仓库可通过Docker Registry实现,首先运行registry:2镜像启动服务,将5000端口映射至宿主机;接着为镜像打上localhost:5000前缀标签并推送;生产环境需配置HTTPS与认证,生成自签名证书及htpasswd认证文件,挂载至容器并设置环境变量启用安全访问;客户端需信任证书并登录后方可拉取或推送镜像。
搭建私有容器镜像仓库是企业级容器部署中的常见需求,既能提升镜像拉取速度,又能保障镜像安全与内部共享。使用 Docker Registry 是最简单高效的方案之一。下面介绍如何在 Linux 系统上部署一个轻量级的私有镜像仓库(Docker Registry)。
1. 安装并运行 Docker Registry
Docker 官方提供了名为 registry 的镜像,可直接用于快速搭建私有仓库。
确保系统已安装 Docker,然后执行以下命令启动 Registry 服务:
docker run -d --name registry -p 5000:5000 registry:2
该命令会:
- 以后台模式运行容器
- 将容器的 5000 端口映射到宿主机
- 使用官方 registry 镜像版本 2
此时,私有仓库已在本地运行,地址为 http://localhost:5000。
2. 推送镜像到私有仓库
要推送镜像,需先给镜像打上符合私有仓库格式的标签:
docker tag ubuntu:latest localhost:5000/my-ubuntu
然后推送:
docker push localhost:5000/my-ubuntu
推送成功后,可通过 API 查看仓库中镜像列表:
curl http://localhost:5000/v2/_catalog
返回结果类似:
{"repositories":["my-ubuntu"]}
3. 配置 HTTPS 与认证(生产环境建议)
默认情况下,Docker 只允许通过 HTTPS 连接私有仓库(除本地信任的 HTTP 例外)。若要在生产环境使用,建议配置 HTTPS 和用户认证。
生成自签名证书(可选):
mkdir -p /opt/registry/certs openssl req -newkey rsa:4096 -nodes -sha256 -keyout /opt/registry/certs/domain.key -x509 -days 365 -out /opt/registry/certs/domain.crt
创建用户认证文件:
mkdir /opt/registry/auth docker run --entrypoint htpasswd httpd:alpine -Bbn username password > /opt/registry/auth/htpasswd
使用证书和认证启动 Registry:
docker run -d --name registry -p 5000:5000 -v /opt/registry/certs:/certs -v /opt/registry/auth:/auth -v /opt/registry/data:/var/lib/registry -e REGISTRY_HTTP_ADDR=0.0.0.0:5000 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key -e REGISTRY_AUTH=htpasswd -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd registry:2
此时需要先将 domain.crt 证书复制到所有客户端的 Docker 信任目录,并重启 Docker 服务。
4. 客户端配置信任与登录
若使用了自定义 HTTPS 证书,需在客户端执行:
sudo mkdir -p /etc/docker/certs.d/your-domain.com:5000 sudo cp domain.crt /etc/docker/certs.d/your-domain.com:5000/ca.crt
然后登录:
docker login your-domain.com:5000
输入用户名密码后即可 push/pull 镜像。
基本上就这些。搭建私有 Registry 不复杂但容易忽略证书和权限配置,建议测试阶段用 HTTP,上线前务必启用 HTTPS 与认证机制。