摘要:用戶訪問通過使用負(fù)載均衡服務(wù)的和端口�。的負(fù)載均衡服務(wù)����,需要做源會話保持配置。其次��,自身沒有基于角色權(quán)限訪問控制�,所有可以訪問負(fù)載均衡服務(wù)的用戶都能隨意的推送和拉取鏡像���。
在正文之前���,我們先來看一下�,如果沒有容器��,通常會如何部署 Docker Registry���?關(guān)于這個問題�,我簡單畫了一個草圖:
下面簡單解釋一下:
Nginx:用來做 Docker Registry 的代理和軟件負(fù)載均衡Keepalived 采用主備加虛擬 IP 的方式�,解決 Nginx 的單點(diǎn)問題,保證 Nginx 服務(wù)的高可用性��。
Docker Registry:這是 Docker 官方開源的私有鏡像倉庫項(xiàng)目��,對應(yīng) github 上的 docker-distribution 項(xiàng)目�,也是私有鏡像倉庫的核心。
Redis:大名鼎鼎的 Key-Value 數(shù)據(jù)庫����,很多應(yīng)用場景中,將其作為緩存使用。在 Docker Registry中也不例外����,用來緩存 Docker Image 的 laryer metadata���,帶來的好處即是 laryer metadata 的快速訪問�����。
Storage Cluster Docker Registry:以存儲驅(qū)動的方式支持多種后端存儲��。例如:Docker Registry2.3 目前支持如下的存儲驅(qū)動:
這里簡單做個補(bǔ)充��,官方文檔也有介紹如何貢獻(xiàn)新的 Docker Registry 存儲驅(qū)動�。
下面我們來看一下��,在 Rancher 環(huán)境下���,一個簡化版 Docker Registry 的部署結(jié)構(gòu)圖�,如下圖所示:
這個圖是以 Rancher 下服務(wù)的視角畫的����,部署這樣一個簡單的 Docker Registry,需要四個服務(wù),分別是外部存儲服務(wù)����、Redis Cache 服務(wù)、Docker Registry 服務(wù)和負(fù)載均衡服務(wù)�。用戶訪問 Docker Registry 通過使用負(fù)載均衡服務(wù)的IP和端口。Docker Registry 的負(fù)載均衡服務(wù)�,需要做源 IP會話保持配置。
到此為止�,我們就在 Rancher 環(huán)境下部署了一個簡化版的 Docker Registry 服務(wù)。至于我為什么說其是簡化版呢?是因?yàn)楝F(xiàn)在這個版本存在一些問題�。
首先,Docker Registry 本身沒有 Web UI����,鏡像的檢索,只能通過命令行工具完成����,使用起來非常不方便。
其次�,Docker Registry 自身沒有基于角色權(quán)限訪問控制,所有可以訪問負(fù)載均衡服務(wù)的用戶都能隨意的推送和拉取鏡像�����。
最后,Docker Registry 本身是提供了基于 token 的認(rèn)證機(jī)制�,需要接入 Authorization Service,這個服務(wù)官方?jīng)]有實(shí)現(xiàn)�����,需要我們自己實(shí)現(xiàn)或者借助開源實(shí)現(xiàn)�����。
SUSE Portus 完美地解決了上述問題�。下面我們看一下���,在 Rancher 環(huán)境下加入 SUSE Portus的服務(wù)結(jié)構(gòu)圖:
Portus Core Cluster 服務(wù)負(fù)責(zé)給 Docker Registry 提供 token 認(rèn)證服務(wù)和接收 Docker Registry 發(fā)送的鏡像推送的通知����,同步 Docker Registry 中的鏡像信息到 SUSE Portus 的數(shù)據(jù)庫中���。該服務(wù)本身無狀態(tài)��,可以水平擴(kuò)展PortusCronSync負(fù)責(zé)定時請求DockerRegistryAPI 同步鏡像數(shù)據(jù)到SUSEPortus的數(shù)據(jù)庫中��。
當(dāng)用戶向 Docker Registry 推送一個鏡像后�,Docker Registry 會發(fā)送通知給 SUSE Portus,如果網(wǎng)絡(luò)閃斷�,或者 SUSE Portu 服務(wù)中斷,會做有限次數(shù)的重試��。這樣可能會導(dǎo)致 SUSE Portu 無法收到鏡像推送的通知���,造成兩端數(shù)據(jù)的不一致���。Portus Cron Sync 就是為了解決這個問題而存在的。
SUSE Portus 的 token 認(rèn)證服務(wù)完全滿足官方的認(rèn)證模型����,Docker 官方的認(rèn)證模型如下圖所示:
Docker Registry 關(guān)于認(rèn)證服務(wù)的配置和通知目標(biāo)服務(wù)的配置,都在 Docker Registry 容器的/etc/docker/registry/config.yml 中:
最后�,我們可以按照 Rancher Catalog 的規(guī)范,制作一些基礎(chǔ)鏡像�����,然后把這個服務(wù) Catalog化�����,做成一鍵部署�。
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/27959.html
