摘要:正好我們?cè)谑褂米鳛榈膫}(cāng)庫(kù)��,同時(shí)提供了等諸多類型的倉(cāng)庫(kù)功能���。值得一提的是���,我們可以使用這個(gè)倉(cāng)庫(kù)從和下載鏡像,但是我們不能通過這個(gè)倉(cāng)庫(kù)推送鏡像到遠(yuǎn)程倉(cāng)庫(kù)����。
背景
我們一直使用 harbor 作為docker的鏡像倉(cāng)庫(kù)���,但Harbor只能作為私有倉(cāng)庫(kù),當(dāng)需要Docker Hub 或 Google Cloud Containers 上的鏡像時(shí)���,我們只能自己手動(dòng)pull���,重新打tag,再push到harbor上����。
當(dāng)需要拉取多個(gè)鏡像時(shí),這樣相當(dāng)麻煩���,尤其是我們使用Kubespray來(lái)部署Kubernetes集群����,僅僅準(zhǔn)備鏡像就需要花費(fèi)很多時(shí)間�����。
我們希望有一個(gè)Docker倉(cāng)庫(kù)�����,能同時(shí)托管私有鏡像�,還能代理訪問公共的鏡像倉(cāng)庫(kù)。
正好我們?cè)谑褂?b>Nexus作為Maven的倉(cāng)庫(kù)���,同時(shí)nexus3提供了Docker, yum, apt, npm, ruby gems, pypi 等諸多類型的倉(cāng)庫(kù)功能�����。
經(jīng)過技術(shù)調(diào)研�����,Nexus3完全可以達(dá)到我們的預(yù)期�。
Nexus3 提供了的3種類型的Docker倉(cāng)庫(kù)���,前兩者都可以創(chuàng)建多個(gè)倉(cāng)庫(kù)�����,最后一個(gè)則可以將他們?nèi)烤酆系揭粋€(gè)URL來(lái)訪問��。
docker (hosted): 自托管
docker (proxy): 代理
docker (group): 聚合
配置Docker倉(cāng)庫(kù)
運(yùn)行一個(gè)nexus3服務(wù)器
curl -SLO https://sonatype-download.global.ssl.fastly.net/repository/repositoryManager/3/nexus-3.12.1-01-unix.tar.gz
tar -C /data/nexus3 -xf nexus-3.12.1-01-unix.tar.gz
export RUN_AS_USER=root
/data/nexus3/exus-3.12.1-01/bin/nexus start
默認(rèn)端口是8081, 用戶名/密碼:admin/admin123
登錄nexus3�,點(diǎn)擊設(shè)置齒輪,并定位到左側(cè)的Repository:
創(chuàng)建一個(gè)hosted類型的docker倉(cāng)庫(kù)
Hosted類型倉(cāng)庫(kù)用作我們的私有倉(cāng)庫(kù)����,替代harbor的功能。
創(chuàng)建專用的blob
為了倉(cāng)庫(kù)數(shù)據(jù)的獨(dú)立性和安全性���,我們可以給每一個(gè)repository創(chuàng)建一個(gè)獨(dú)立的Blob塊存儲(chǔ)�����。
點(diǎn)擊 Repository下面的 Blob Stores - Create blob store:
Name:填寫一個(gè)易于辨認(rèn)的名字
Path:會(huì)自動(dòng)生成并補(bǔ)全�����。默認(rèn)在Nexus安裝目錄下面的sonatype-work/nexus3/blobs/下����,也可以修改到其它目錄或磁盤���,甚至可以是NFS或者cephfs的目錄���。
創(chuàng)建hosted類型的私有倉(cāng)庫(kù)
點(diǎn)擊 Repository下面的 Repositories - Create repository - docker(hosted) :
Name: 輸入一個(gè)簡(jiǎn)潔直觀的名字
Online: 勾選。這個(gè)開關(guān)可以設(shè)置這個(gè)Docker repo是在線還是離線���。
Repository Connectors
下面包含HTTP和HTTPS兩種類型的port�����。
有什么用呢�����?說(shuō)明講得很清楚:
連接器允許docker客戶端直接連接到docker倉(cāng)庫(kù)�����,并實(shí)現(xiàn)一些請(qǐng)求操作�,如docker pull, docker push, API查詢等���。但這個(gè)連接器不是必需的����,尤其是我們后面會(huì)用group類型的docker倉(cāng)庫(kù)來(lái)聚合它���。
因此����,這里我們不勾選并且不填寫端口,Nexus就不會(huì)啟動(dòng)一個(gè)監(jiān)聽到某個(gè)端口的連接器�����。
當(dāng)然�,如果你希望直接訪問該倉(cāng)庫(kù),你可以填寫一個(gè)端口如:8090�,然后在daemon.json中設(shè)置
"insecure-registries": [172.xx.xxx.xxx:8090"], 重啟docker后,通過如下命令訪問:
docker push 172.xx.xxx.xxx:8090/centos:7.5.1804
Force basic authentication
勾選����。這樣的話就不允許匿名訪問了,執(zhí)行docker pull或 docker push之前����,都要先登錄:docker login
Docker Registry API Support
Docker registry默認(rèn)使用的是API v2, 但是為了兼容性,我們可以勾選啟用API v1�。
Storage
Blob store,我們下拉選擇前面創(chuàng)建好的專用blob:blob-docker-private
Hosted
開發(fā)環(huán)境��,我們運(yùn)行重復(fù)發(fā)布��,因此Delpoyment policy 我們選擇Allow redeploy�。
截圖展示
創(chuàng)建一個(gè)proxy類型的docker倉(cāng)庫(kù)
proxy類型倉(cāng)庫(kù),可以幫助我們?cè)L問不能直接到達(dá)的網(wǎng)絡(luò)�,如另一個(gè)私有倉(cāng)庫(kù)�����,或者國(guó)外的公共倉(cāng)庫(kù)��,如Google cloud registry。
對(duì)于代理Docker hub, 官方有簡(jiǎn)要的文檔可以參考�����,就不再細(xì)寫����,請(qǐng)參考Proxy Repository for Docker
下面以創(chuàng)建一個(gè)Google cloud registry的代理為例,簡(jiǎn)要寫一下如何創(chuàng)建proxy類型的docker倉(cāng)庫(kù)���。
創(chuàng)建一個(gè)專用的blob
創(chuàng)建一個(gè)proxy類型的倉(cāng)庫(kù)
Name: proxy-google-containers
Repository Connectors: 不設(shè)置����。
Proxy
Remote Storage: Google cloud registry的地址:https://gcr.io
配置docker hub的proxy時(shí)�,這里填寫: https://registry-1.docker.io
Docker Index: Use proxy registry(specified above)
配置docker hub的Docker Index時(shí),點(diǎn)選Use Docker Hub或者填寫:https://index.docker.io/
Storage: blob-google-containers
截圖
創(chuàng)建一個(gè)group類型的docker倉(cāng)庫(kù)
group類型的docker倉(cāng)庫(kù)����,是一個(gè)聚合類型的倉(cāng)庫(kù)���。它可以將前面我們創(chuàng)建的3個(gè)倉(cāng)庫(kù)聚合成一個(gè)URL對(duì)外提供服務(wù),可以屏蔽后端的差異性���,實(shí)現(xiàn)類似透明代理的功能����。
Group類型創(chuàng)建過程類似于上面的proxy類型��。
名字比較簡(jiǎn)單:registry
啟用了一個(gè)監(jiān)聽在80端口的http連接器�����;
Storage:選擇專用的blob存儲(chǔ)blob-docker-group����;
group : 將左邊可選的3個(gè)倉(cāng)庫(kù),添加到右邊的members下��;
截圖
如何使用倉(cāng)庫(kù)
配置代理服務(wù)器
根據(jù)我們上面配置�,我們還無(wú)法直接使用倉(cāng)庫(kù),我們還得配置一個(gè)代理服務(wù)器�。
在 Setting - System - HTTP 下,設(shè)置一個(gè)代理服務(wù)器。
代理服務(wù)器我們使用V2Ray搭建�,這里不詳述。
使用倉(cāng)庫(kù)
根據(jù)以上配置���,這個(gè)倉(cāng)庫(kù)就有一個(gè)可以使用的URL了,可以使用下面的命令直接pull上面push的鏡像:
docker pull 172.xx.xxx.xxx/centos:7.5.1804
以上行為會(huì)優(yōu)先從本地倉(cāng)庫(kù)(docker-private)查找����,沒有再?gòu)拇韨}(cāng)庫(kù)(docker-hub 和 google-containers)查找�。
我們?cè)賮?lái)pull一個(gè) google-containers的鏡像看看:
docker pull 172.xx.xxx.xxx/google-containers/kubernetes-dashboard-amd64:v1.8.3
當(dāng)然,因?yàn)槲覀兊膫}(cāng)庫(kù)禁用了匿名用戶訪問�,你需要先登錄docker registry:
docker login 172.xx.xxx.xxx -u admin -p xxxxxxxxxx
成功了�。
同理,我們可以拉取docker hub上的鏡像�����,只要把url中的域名�����,替換成我們自己的域名就可以了�。
最后我們看下鏡像倉(cāng)庫(kù)的存儲(chǔ)結(jié)構(gòu):
可以看到,Docker Hub的官方倉(cāng)庫(kù)鏡像�����,被放到了libray 目錄下,GCR的則新建了一個(gè)google-containers 的目錄����,而其他的用戶的鏡像,則會(huì)被放在用戶名同名的目錄下�����,目錄名與遠(yuǎn)程目錄一致��。
值得一提的是�,我們可以使用這個(gè)倉(cāng)庫(kù)從Docker Hub和 Google Cloud Registry下載鏡像,但是我們不能通過這個(gè)倉(cāng)庫(kù)推送鏡像到遠(yuǎn)程倉(cāng)庫(kù)�。我們推送的所有鏡像都會(huì)被存儲(chǔ)在私有倉(cāng)庫(kù)內(nèi)。
