服务器 
首页 > 服务器 > 浏览文章

centos7搭建docker私人仓库的方法(kubernetes)

(编辑:jimmy 日期: 2024/11/14 浏览:3 次 )

我们平时镜像都是习惯于放在公共仓库的,比如Dockerhub, Daocloud。但在企业里,我们经常会需要搭建公司自己的镜像仓库。

这篇文章讲解如何用docker提供的registry镜像来搭建自己的镜像仓库。

不添加ssl认证的仓库

下面用registry:2.6.2镜像创建docker仓库。

将宿主机的5000端口映射到容器的5000端口。

将宿主机/mnt/registry挂在到容器的/var/lib/registry目录,容器里的这个目录就是存放镜像的地方。这样可以将数据持久化,当容器挂掉时镜像不会丢失。

mkdir /mnt/registry

docker run -d  -p 5000:5000  --restart=always  --name registry  -v /mnt/registry:/var/lib/registry  registry:2.6.2

docker仓库是需要ssl认证的,由于现在没有添加ssl认证,需要在docker客户端添加参数:

vim /etc/sysconfig/docker

# 在OPTIONS下添加--insecure-registry=<host-ip>:5000
OPTIONS='--selinux-enabled --log-driver=json-file --signature-verification=false --insecure-registry=10.34.31.13:5000'

# 重启docker
systemctl restart docker

我们可以测试一下新建的仓库是否可用。

docker push 10.34.31.13:5000/hello-world:v1

但这样形式的仓库可用性不高,比如我们有多个镜像仓库要使用,我们需要经常去修改--insecure-registry参数。

下面会讲解如何创建一个https协议的高可用仓库。

创建一个带ssl认证的高可用仓库

1、安装openssl

yum install -y openssl

2、修改openssl.cnf文件

vim /etc/pki/tls/openssl.cnf

# 找到v3_ca,在下面添加宿主机的IP地址
[ v3_ca ]
subjectAltName = IP:10.34.31.13

如果没有修改这个文件,最后生成的ssl证书使用时会报错如下:

x509: cannot validate certificate 10.34.31.13 because it doesn't contain any IP SANs

3、生成ssl证书

mkdir /certs
openssl req -newkey rsa:4096 -nodes -sha256       -keyout /certs/domain.key -x509 -days 1000       -out /certs/domain.cert

# 生成证书的过程中需要填写以下参数,在Conmmon那一栏填写你为dokcer仓库准备的域名
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:10.34.31.13:5000
Email Address []:

4、创建docker仓库

# 这里启动方式跟上面差别不大,多了挂载/certs文件夹和添加了两个certificate参数
docker run -d  --restart=always  --name registry  -v /certs:/certs  -v /var/lib/registry:/var/lib/registry  -e REGISTRY_HTTP_ADDR=0.0.0.0:5000  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.cert  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key  -p 5000:5000  registry:2.6.2

5、配置docker客户端

# 以后需要使用这个仓库的机器,在客户端像这样配置一下就可以了
mkdir /etc/docker/certs.d/10.34.31.13:5000
cp /certs/domain.cert /etc/docker/certs.d/10.34.31.13:5000/ca.crt

# 现在就可以测试一下了
docker push 10.34.31.13:5000/hello-world:v1

使用kubernetes部署docker仓库

上面的容器是由doker直接启动的,由于我使用的是kubernetes集群,所以我希望一切容器都能由kubernetes来管理。

于是我为kubernetes集群添加了一个node节点,来做k8s集群的镜像仓库。

1、生成ssl证书

参考上面,在准备的node节点上生成ssl证书。

2、给node添加标签

因为我只想在这台节点上运行registry容器,所以需要给这台节点添加标签,便于k8s部署能只选到这台节点。

# n3是这个节点的hostname.如果没有添加k8s客户端权限,可以在master节点上执行。
kubectl label node n3 bind-registry=ture

3、创建registry目录,用于持久化images数据

mkdir /var/lib/registry

4、部署registry。dockerhub-dp.yaml我会在最后面贴出来。

kubectl create -f dockerhub-dp.yaml

5、配置docker客户端

这个跟上面一个思路,端口稍有不同。

# 以后需要使用这个仓库的机器,在客户端像这样配置一下就可以了
mkdir /etc/docker/certs.d/10.34.31.13:30003
cp /certs/domain.cert /etc/docker/certs.d/10.34.31.13:5000/ca.crt

为了访问方便,我将registry service的端口设置为了NodePort,但k8s限制这个端口只能设置为30000以上,所有我这里设置为了30003。

dockerhub-dp.yaml

apiVersion: apps/v1beta2
kind: Deployment
metadata:
 name: docker-local-hub
 namespace: kube-system
 labels:
  app: registry
spec:
 replicas: 1
 selector:
  matchLabels:
   app: registry
 template:
  metadata:
   labels:
    app: registry
  spec:
   containers:
   - name: registry
    image: registry:2.6.2
    ports:
    - containerPort: 5000
    env:
    - name: REGISTRY_HTTP_TLS_CERTIFICATE
     value: "/certs/domain.cert"
    - name: REGISTRY_HTTP_TLS_KEY
     value: "/certs/domain.key"
    volumeMounts:
    - mountPath: /var/lib/registry
     name: docker-hub
    - mountPath: /certs
     name: certs
   nodeSelector:
    bind-registry: "ture"
   volumes:
   - name: docker-hub
    hostPath:
     path: /var/lib/registry
     type: Directory
   - name: certs
    hostPath:
     path: /certs
     type: Directory
---
apiVersion: v1
kind: Service
metadata:
 name: docker-local-hub
 namespace: kube-system
 labels:
  app: registry
spec:
 selector:
  app: registry
 ports:
 - port: 5000
  targetPort: 5000
  nodePort: 30003
 type: NodePort

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。

上一篇:Nginx limit 限制访问模块的方法
下一篇:nginx返回json或者文本格式的方法
一句话新闻
高通与谷歌联手!首款骁龙PC优化Chrome浏览器发布
高通和谷歌日前宣布,推出首次面向搭载骁龙的Windows PC的优化版Chrome浏览器。
在对骁龙X Elite参考设计的初步测试中,全新的Chrome浏览器在Speedometer 2.1基准测试中实现了显著的性能提升。
预计在2024年年中之前,搭载骁龙X Elite计算平台的PC将面世。该浏览器的提前问世,有助于骁龙PC问世就获得满血表现。
谷歌高级副总裁Hiroshi Lockheimer表示,此次与高通的合作将有助于确保Chrome用户在当前ARM兼容的PC上获得最佳的浏览体验。