私有 Docker Registry 搭建与使用：管理企业内部镜像

好嘞，各位亲爱的程序猿、攻城狮、码农们，今天咱们来聊聊一个既实用又有趣的话题：私有 Docker Registry 搭建与使用，也就是如何打造一个属于咱们自己企业的“镜像仓库”！🚀

想象一下，咱们辛辛苦苦写好的代码，打包成 Docker 镜像，就像一个精心制作的便当🍱。如果每次都得跑到公共的 Docker Hub 去存取，那就像每天排队去公共食堂打饭，人多不说，还慢吞吞的，有时候还抢不到自己想吃的！更要命的是，有些私密的“便当”咱们可不想让别人看到啊！

所以，搭建一个私有的 Docker Registry，就像在公司里建一个专属食堂，想吃啥吃啥，方便快捷，安全可靠！😎

一、 为什么要拥有自己的“镜像食堂”？

咱们先来聊聊为什么要这么做，毕竟，不弄清楚动机，就像没加盐的菜，索然无味嘛！

优点	描述	举个栗子🌰
速度快！	想象一下，从内网下载镜像，那速度简直像火箭🚀一样！再也不用忍受公共网络龟速下载了！	开发小姐姐说：“自从用了私有 Registry，部署速度提升了 5 倍！再也不用加班等镜像下载了，可以早点回家追剧啦！📺”
安全！	咱们的“便当”只允许公司内部人员享用，再也不用担心敏感信息泄露啦！就像给自己的“便当”加了一道安全锁🔒！	公司安全部门的负责人说：“有了私有 Registry，我们就能更好地控制镜像的访问权限，确保公司核心代码的安全。再也不用担心被黑客叔叔盯上了！🕵️‍♂️”
可控！	咱们可以完全掌控镜像的版本、存储空间等等，想怎么玩就怎么玩！就像拥有了一个属于自己的“游戏机🎮”，想玩什么游戏自己说了算！	运维小哥哥说：“以前镜像版本管理混乱，经常部署错误版本。现在有了私有 Registry，可以清晰地管理各个版本的镜像，再也不用担心手抖部署错版本了！🤦‍♂️”
省钱！	如果你的团队经常从公共 Registry 拉取镜像，可能会产生额外的流量费用。有了私有 Registry，就可以省下这笔钱啦！就像自己种菜，再也不用花钱买菜啦！💰	CTO 大佬说：“搭建私有 Registry，虽然前期需要一些投入，但是长期来看，可以节省大量的带宽费用。这笔账怎么算都划算！📈”
合规！	对于某些行业，可能需要满足特定的合规要求，例如数据必须存储在本地。私有 Registry 可以帮助你满足这些要求。就像遵守交通规则🚦，安全出行！	法务小姐姐说：“搭建私有 Registry，可以确保我们的数据符合当地的法律法规，避免不必要的法律风险。合规经营，才能走得更远！⚖️”

总而言之，搭建私有 Docker Registry，好处多多，就像给你的开发流程加了一层 Buff，让你在代码的世界里更加游刃有余！💪

二、 搭建私有 Registry，Let’s do it!

搭建私有 Registry 的方式有很多种，今天咱们就来介绍一种最简单、最常用的方式：使用 Docker 官方提供的 registry 镜像。

1. 准备工作：

• 一台安装了 Docker 的服务器（可以是虚拟机、云服务器等等）
• 一颗渴望学习的心❤️

2. 启动 Registry 容器：

打开你的终端，输入以下命令：

docker run -d 
  --name registry 
  -v /opt/data/registry:/var/lib/registry 
  -p 5000:5000 
  --restart always 
  registry:latest

这条命令就像一句咒语，让 Docker 启动一个名为 registry 的容器，并完成以下工作：

• -d: 后台运行容器
• --name registry: 给容器起个名字，方便管理
• -v /opt/data/registry:/var/lib/registry: 将宿主机的 /opt/data/registry 目录挂载到容器的 /var/lib/registry 目录。这个目录用来存储镜像数据，非常重要！一定要指定一个合适的目录！
• -p 5000:5000: 将宿主机的 5000 端口映射到容器的 5000 端口。这样我们就可以通过宿主机的 5000 端口访问 Registry 了。
• --restart always: 确保容器在重启后自动启动。
• registry:latest: 使用官方的 registry 镜像的最新版本。

3. 验证 Registry 是否启动成功：

在终端输入以下命令：

docker ps

如果看到类似下面的输出，就说明 Registry 容器已经成功启动了！

CONTAINER ID   IMAGE             COMMAND                  CREATED         STATUS         PORTS                    NAMES
xxxxxxxxxxxx   registry:latest   "/entrypoint.sh /etc…"   2 minutes ago   Up 2 minutes   0.0.0.0:5000->5000/tcp   registry

4. 配置 Docker 客户端：

默认情况下，Docker 客户端会拒绝与非 HTTPS 的 Registry 通信。为了让我们的 Docker 客户端能够与私有 Registry 交互，我们需要进行一些配置。

• 方法一：修改 Docker 配置文件（不推荐，除非你的 Registry 真的没有 HTTPS）：

  编辑 /etc/docker/daemon.json 文件（如果不存在就创建一个），添加以下内容：

  {
    "insecure-registries": ["你的服务器IP地址:5000"]
  }

  例如：

  {
    "insecure-registries": ["192.168.1.100:5000"]
  }

  然后重启 Docker 服务：

  sudo systemctl restart docker

  警告： 这种方式会降低安全性，因为 Docker 客户端会信任所有来自该 Registry 的镜像。强烈建议配置 HTTPS！

• 方法二：配置 HTTPS (强烈推荐！):

  这才是正确的姿势！就像给你的“食堂”装上防盗门！🔐

  • 申请 SSL 证书： 可以使用 Let’s Encrypt 申请免费的 SSL 证书，或者购买商业证书。

  • 配置 Registry 容器： 将 SSL 证书和私钥挂载到 Registry 容器中，并配置相应的环境变量。

    docker run -d 
      --name registry 
      -v /opt/data/registry:/var/lib/registry 
      -v /path/to/your/cert.pem:/certs/domain.crt 
      -v /path/to/your/key.pem:/certs/domain.key 
      -e REGISTRY_HTTP_ADDR=0.0.0.0:443 
      -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt 
      -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key 
      -p 443:443 
      --restart always 
      registry:latest

    注意：

    • /path/to/your/cert.pem 和 /path/to/your/key.pem 替换成你的 SSL 证书和私钥的路径。
    • 需要将 443 端口映射到容器的 443 端口。
    • 可能需要配置防火墙规则，允许 443 端口的流量。

  • 配置 DNS： 将你的域名指向 Registry 服务器的 IP 地址。

  • 配置 Docker 客户端： 使用你的域名（例如 myregistry.example.com）访问 Registry。

  配置 HTTPS 后，Docker 客户端会验证 Registry 的 SSL 证书，确保通信的安全。

5. 推送和拉取镜像：

现在，我们可以开始使用我们的私有 Registry 了！

• 推送镜像：

  首先，给你的镜像打上标签，指定 Registry 的地址：

  docker tag your-image:tag 你的服务器IP地址:5000/your-image:tag

  例如：

  docker tag nginx:latest 192.168.1.100:5000/nginx:latest

  然后，推送镜像到 Registry：

  docker push 你的服务器IP地址:5000/your-image:tag

  例如：

  docker push 192.168.1.100:5000/nginx:latest

• 拉取镜像：

  docker pull 你的服务器IP地址:5000/your-image:tag

  例如：

  docker pull 192.168.1.100:5000/nginx:latest

  如果你配置了 HTTPS，需要使用你的域名：

  docker pull myregistry.example.com/your-image:tag

恭喜你！你已经成功搭建并使用了自己的私有 Docker Registry！🎉

三、 高级玩法：更多“食堂”功能！

除了基本的存储和访问镜像，私有 Registry 还可以玩出更多花样！

• 权限管理：

  就像给“食堂”的不同区域设置不同的访问权限，例如只有特定部门的员工才能访问某些私密的“便当”。可以使用 registry:2 镜像，它支持基于角色的访问控制 (RBAC)。

• 镜像垃圾回收：

  就像定期清理“食堂”里的过期食物，释放存储空间。可以使用 docker image prune 命令清理未使用的镜像层。

• 镜像扫描：

  就像给“便当”做体检，检查是否存在安全漏洞。可以使用 Clair 等工具扫描镜像，及时发现并修复安全问题。

• 镜像加速：

  就像给“食堂”配备更快的送餐员，提升镜像下载速度。可以使用 Harbor 等企业级 Registry，它支持镜像加速功能。

• 集成 CI/CD：

  将私有 Registry 集成到 CI/CD 流程中，实现自动化构建、测试和部署镜像。就像让“食堂”和外卖平台对接，自动生成和配送“便当”。

功能	描述	举个栗子🌰
权限管理	可以控制哪些用户或团队可以访问哪些镜像，确保镜像的安全。	只有财务部门的员工才能访问包含财务数据的镜像。
镜像垃圾回收	定期清理未使用的镜像层，释放存储空间。	每周清理一次超过 30 天未使用的镜像层，避免存储空间被无用的数据占用。
镜像扫描	扫描镜像中的安全漏洞，及时发现并修复安全问题。	使用 Clair 扫描所有上传到 Registry 的镜像，如果发现高危漏洞，则阻止镜像的部署。
镜像加速	使用 CDN 等技术加速镜像的下载速度。	使用 Harbor 的镜像加速功能，将镜像缓存到离用户最近的节点，提升镜像下载速度。
集成 CI/CD	将 Registry 集成到 CI/CD 流程中，实现自动化构建、测试和部署镜像。	每次代码提交后，CI/CD 系统会自动构建镜像，并将其推送到 Registry，然后自动部署到测试环境。

四、 总结：打造属于你的“镜像帝国”！

搭建私有 Docker Registry，就像打造一个属于自己的“镜像帝国”，让你在代码的世界里更加自由、安全、高效！🚀

希望今天的分享对你有所帮助！如果你在搭建和使用私有 Registry 的过程中遇到任何问题，欢迎随时提问！

最后，送给大家一句箴言：代码如诗，镜像如画，Registry 如家！ 🏠

祝大家编程愉快！🍻