标签:docker
Docker仓库
仓库(Repository)是集中存放镜像的地方。
一个容易混淆的概念是注册服务器(Registry)。实际上注册服务器是管理仓库的具体服务器,每个服务器上可以有多个仓库,而每个仓库下面有多个镜像。从这方面来说,仓库可以被认为是一个具体的项目或目录。例如对于仓库地址 docker.sina.com.cn/centos:centos63 来说,docker.sina.com.cn是注册服务器地址,centos 是仓库名,centos63 是仓库的 tag。
Docker Hub 官方仓库
目前 Docker 官方维护了一个公共仓库 Docker Hub,其中已经包括了超过 15,000 的镜像。大部分需求,都可以通过在 Docker Hub 中直接下载镜像来实现。
注册&登录
可以通过命令行执行docker login 命令来输入用户名、密码和邮箱来完成注册和登录。注册成功后,本地用户目录的 .docker/config.json中将保存用户的认证信息。
基本操作
用户无需登录即可通过docker search 命令来查找官方仓库中的镜像,并利用docker pull 命令来将它下载到本地。
根据是否是官方提供,可将镜像资源分为两类。一种是类似 centos 这样的基础镜像,被称为基础或根镜像。这些基础镜像是由 Docker 公司创建、验证、支持、提供。这样的镜像往往使用单个单词作为名字。还有一种类型,比如tianon/centos 镜像,它是由 Docker 的用户创建并维护的,往往带有用户名称前缀。可以通过前缀user_name/ 来指定使用某个用户提供的镜像,比如tianon用户。另外,在查找的时候通过 -s N 参数可以指定仅显示评价为 N 星以上的镜像。
拓扑:
说明:
docker.benet.com 这是docker registry服务器的主机名称,ip是192.168.1.107;因为https的SSL证书要用到主机名,所以要设置主机名。
dockerregistry 服务器作为处理docker镜像的最终上传和下载,用的是官方的镜像registry。
nginx 1.6.x 是一个用nginx作为反向代理服务器
注:关闭selinux
1)私有仓库https支持:
修改主机名:改为docker.benet.com
配置ip地址
连接xshell
做yum 安装依赖软件包
yum -y install pcre-devel zlib-devel openssl openssl-devel
在Nginx编译需要PCRE,因为Nginx的Rewrite模块和HTTP核心模块会使用到PCRE正则表达式。需要安装pcre和pcre-devel用yum就能安装。
Zlib库提供了开发人员的压缩算法,在nginx的模块中需要使用gzip压缩。
需要安装zlib和zlib-devel用yum就可以安装
在Nginx中如果需要为服务器提供安全则需要用到OpenSSL库。
需要安装的是openssl和openssl-devel。用yum就可以安装。
生成根密钥
生成根证书
为nginx web服务器生成ssl密钥
#mkdir /etc/pki/CA/ssl
#cd /etc/pki/CA/ssl
注:因为CA中心与要申请证书的nginx服务器是同一个所以就在本机上执行为nginx服务器生成ssl密钥了,否则应该是在另一台需要用到证书的服务器上生成。
查看nginx服务器的密钥
为nginx生成证书签署请求
同样会提示输入一些内容,Commone Name一定要是你要授予证书的服务器域名或主机名,challenge password不填。
私有CA根据请求来签发证书
安装,配置,运行nginx
配置防火墙 安装docker
编辑/etc/sysconfig/docker文件,加上如下一行
DOCKER_OPTS="--insecure-registry docker.benet.com --tlsverify --tlscacert /etc/pki/CA/cacert.pem"
把根证书复制到/etc/docker/certs.d/docker.yy.com/目录下
mkdir -p /etc/docker/certs.d/docker.benet.com
cp /etc/pki/CA/cacert.pem /etc/docker/certs.d/docker.benet.com/ca-certificates.crt
验证registry:
安装docker客户端
上传镜像到本地私有仓库
docker push docker.benet.com/centos:centos6
查看私有仓库是否有对应的镜像
# curl 192.168.0.167:5000/v1/search
查看镜像的存储目录和文件(在镜像服务器)
tree /opt/data/registry/repositories
(1) 弊端:
server端可以login到官方的Docker Hub,可以pull,push官方和私有仓库!
client端只能操作搭设好的私有仓库!
私有仓库不能search!
(2) 优点:
所有的build,pull,push操作只能在私有仓库的server端操作,降低企业风险!
(3) 当client端docker login到官方的https://index.docker.io/v1/网站,出现x509: certificate signed by unknown authority错误时
重命名根证书mv /etc/pki/tls/certs/ca-certificates.crt
/etc/pki/tls/certs/ca-certificates.crt.bak
重启docker服务! servicedocker restart!
本文出自 “刘小兔” 博客,转载请与作者联系!
标签:docker
原文地址:http://lyanhong.blog.51cto.com/12788695/1914566
