局域網內部署 Docker Registry

在局域網內部署 Docker Registry 能夠極大的提高平時 pull、push 鏡像的速度，從而縮短自動化操做的過程。同時也能夠緩解帶寬不足的問題，真是一舉多得。本文將從建立單機的 Docker Registry 開始，逐步完成局域網內可用的 Docker Registry 的建立，並重點解釋如何使用 IP 地址訪問 Registry 的方法。

注意，本文假設你已經在使用的 OS 中安裝了 docker 引擎。

建立本機使用的 Docker Registry

這是一個很是簡單的過程，簡單到只須要運行一個 docker 容器就能夠了：

$ docker run -d -p 5000:5000 --restart=always --name registry \
-v `pwd`/registry:/var/lib/registry \
registry:2

查看一下 5000 端口是否已被監聽：

看起來還不錯，讓咱們向本地的 Registry 中推送一個鏡像試試。
先找個鏡像，打上本身的 tag：

$ docker pull ubuntu
$ docker tag ubuntu localhost:5000/myubuntu:20170520

從上圖咱們能夠看到，兩個鏡像徹底是同樣的，只不過咱們建立的 tag 名稱不同而已。
接下來把鏡像 push 到本地的 Registry 中：

$ docker push localhost:5000/myubuntu:20170520

上圖顯示 push 操做成功了，那再看看文件系統發生了什麼變化：

在咱們掛載的 ~/registry 目錄的子目錄中出現了保存鏡像 myubuntu 的目錄，在這個目錄下保存了鏡像相關的數據。
最後咱們看看能不能從本身的庫中 pull 鏡像。先把本地的鏡像 localhost:5000/myubuntu:20170520 刪除掉：

$ docker rmi localhost:5000/myubuntu:20170520

而後從本地的庫中 pull 鏡像：

$ docker pull localhost:5000/myubuntu:20170520

是否是 pull 操做已經成功啦！

建立局域網內可用的 Docker Registry

前面建立的 Registry 能夠在局域網內使用嗎？咱們來作個試驗。
運行 Registry 的機器 IP 爲：192.168.171.156，咱們在局域網中的另外一臺機器上建立 tag 並執行推送命令：

推送失敗了！緣由是爲了保證安全，跨機的鏡像推送操做默認採用的都是 https 協議。也就是說，爲了在局域網內使用 Docker Registry， 咱們必須配置 https 版的 Registry 服務器。

選擇經過 IP 地址訪問 registry

因爲種種緣由，筆者沒法爲這臺 Docker Registry Server 提供一個有效的域名。好在它的 IP 地址是固定的，所以決定經過 IP 地址來訪問這臺 Registry 服務器。假設這臺機器的 IP 地址爲：10.32.2.140，下面的描述都以此 IP 地址爲例。

建立自簽名的證書

既然是在局域網中使用，所以不會大動干戈的去購買 https 證書，本身生成一個自簽名的就足夠了。但這也存在一個缺點，就是須要在做爲客戶端的 docker daemon 中安裝這個根證書，本文的稍後部分會介紹這一步驟。

在 ubuntu 系統中，下面的命令會在 dcerts 目錄下生成祕鑰和自簽名的證書：

openssl req \
    -newkey rsa:4096 -nodes -sha256 \
    -keyout dcerts/domain.key \
    -x509 -days 356 \
    -out dcerts/domain.crt

注意，在執行此命令前須要在當前目錄下建立 dcerts 目錄。此命令的細節本文就不解釋了，有興趣的同窗去查 openssl 命令的幫助文檔。

生成證書時，openssl 要求咱們輸入相關的信息。好比地域和公司、部門的信息。比較重要的是 Common Name，若是你是要爲某個域名生成證書，那麼這裏就應該是你的域名。咱們使用的是 IP 地址，因此我就想固然的把 IP 地址放在了這裏。很遺憾的是這並不正確！若是拿此時生成的證書去配置 Docker Registry，咱們將沒法完成 pull/push 操做。配置的 Registry 根本沒法在局域網中使用。
此處是一個很隱晦的 openssl 配置問題，當咱們使用 IP 地址做爲訪問服務器的名稱時就會碰到。解決的方法也很簡單，就是在生成證書的配置文件中指定 subjectAltName 。打開文件 /etc/ssl/openssl.cnf，在 [v3_ca] 節點添加配置項：
subjectAltName = IP:10.32.2.140

保存並退出，而後從新執行上面生成證書的命令。

運行 https 版的 Registry

有了前面建立的證書，咱們就能夠運行新版的 Registry 了：

$ docker run -d -p 5000:5000 \
    --restart=always \
    --name registry \
    -v `pwd`/dstorage:/var/lib/registry \
    -v `pwd`/dcerts:/certs \
    -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
    -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
    registry:2

命令中咱們把證書所在的目掛載到了容器的 /certs 目錄。而後分別指定了容器的環境變量 REGISTRY_HTTP_TLS_CERTIFICATE 和 REGISTRY_HTTP_TLS_KEY，這兩個環境變量會引用咱們常見的祕鑰文件和證書文件。
好了，到目前爲止新版的 Docker Registry 已經能夠提供服務了。

在 client 端設置根證書

爲了快速、方便和省錢，咱們沒有去購買商業版的證書。這種方式的弊端是：必須把咱們生成的根證書安裝到每個須要訪問 Registry 服務器的客戶端上。具體作法以下：
把前面生成的證書文件 dcerts/domain.crt 複製到須要訪問 Registry 服務器的機器上。放到目錄 /etc/docker/certs.d/10.32.2.140:5000/ 中，並重命名爲 ca.crt。固然這個目錄須要你本身建立。最後從新啓動 docker 服務：

$ sudo systemctl restart docker.service        // 不一樣的系統重啓服務的命令可能不同。

終於大功告成了，讓咱們往 Registry 中推送一個鏡像吧：

看，redis:3.2 已經被 tag 爲 10.32.2.140:5000/myredis:20170520，並推送到了局域網中的 Docker Registry Server 中。
爲了驗明正身，咱們仍是到 10.32.2.140 上去看一下文件存儲的狀態：

從這張圖中咱們能夠看到，myredis:20170520 真的已經被 Registry 保存到文件系統中了。

總結

因爲安全性的考慮，配置局域網內可用的 Docker Registry 稍微有點麻煩。尤爲是使用 IP 地址的配置方式，須要配置證書的 subjectAltName 才能正常工做。但完成配置後，使用局域網內的 Registry 仍是很爽的。但願本文對有相似需求的朋友們有所幫助。