搭建docker registry私服,并且支持https推送
一、为什么写这篇文章
网上关于搭建docker registry的文章一大把,但是都是配置为http方式推送,且需要显示端口,这个在真正项目使用中,肯定不这么用,都是直接使用类似下面这条命令这样推送,但是docker registry直接启动之后如果不配置,使用下面的命令推送又会报错,于是打算自己写一篇记录一下,一是方便自己后来查看,二来分享给大家避免再浪费时间去试错。
bash
# 示例命令,实际操作时镜像及仓库域名自行替换
docker tag nginx my.registry.com/nginx
docker push my.registry.com/nginx未配置前,直接使用域名推送会报错
二、搭建过程
1.生成SSL证书
如果是生产环境直接从云服务商(如腾讯云、阿里云)申请受信任的SSL证书。我这里是本地的私服,直接使用命令生成
bash
# 创建目录
mkdir -p /etc/docker/certs.d/my.registry.com
# 生成ssl证书 域名需要替换成实际自己的
openssl req -newkey rsa:4096 -nodes -sha256 \
-keyout /etc/docker/certs.d/my.registry.com/domain.key \
-x509 -days 365 -out /etc/docker/certs.d/my.registry.com/domain.crt \
-subj "/CN=my.registry.com" \
-config <(cat /etc/pki/tls/openssl.cnf <(printf "[req]\nsubjectAltName=DNS:my.registry.com"))2.运行registry
bash
# 拉取registry镜像
docker pull registry
# 运行镜像
docker run -d \
--name registry \
-p 443:5000 \
-p 5000:5000 \
-v /etc/docker/certs.d/my.registry.com:/certs\
-v /usr/local/registry:/var/lib/registry \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
registry三、验证
1.初步验证
bash
[root@linux01 my.registry.com]# docker push my.registry.com/nginx
Using default tag: latest
Error response from daemon: Missing client certificate domain.cert for key domain.key发现还是推送不上去,但是这里的提示很明显,就是缺少domain.cert文件
2.解决问题
bash
# 进入容器内部
docker exec -it registry /bin/sh
# 拷贝文件 domain.cert
cp /certs/domain.crt /certs/domain.cert3.再次验证
如果你直接将上面命令中的domain.crt直接写成domain.cert,那么你可能会遇到这个错,所以还是按照步骤来执行吧。
补充:
假设registry在A机器搭建的,现在想在B机器上使用docker push,只需要将A机器生成的ssl证书相关文件拷贝到B机器上,就可以执行push了
