网站首页 > 博客文章 正文
1 前言
镜像,可以理解为将应用程序和运行环境打包成“应用模板”,是容器的上层抽象。容器是镜像的运行实例,启动时传入相应的参数,即可运行应用程序。二者的关系类似于代码中的“类和对象”。
要以容器的方式运行应用程序,需要先制作镜像,在镜像中指定应用程序的运行环境、启动方式等信息,然后生成镜像、上传到镜像仓库中。后续要运行这个应用程序时,就会从镜像仓库中拉取这个镜像、然后以容器的方式运行。只要操作系统和硬件支持容器运行,就可以运行这个应用程序,屏蔽了环境差异,使部署运行变得简洁。
镜像仓库可分为2种:
- 远程仓库:可以理解成云仓库、公有仓库,是由某个组织、公司维护的仓库,对互联网开放,所有人共享。如官方的仓库(https://docker.hub.com);
- 本地仓库:可以理解为公司的私有仓库,不对外开放。一般情况下只在公司内网中使用,用于加快镜像拉取速度、维护公司资产。
那么,镜像仓库如何搭建呢?
2 远程仓库
远程仓库,一般使用的是docker官方、云公司或可信组织提供的镜像服务,不需要我们自己搭建。所以只需要修改docker的配置文件即可。
2.1 仓库配置
通过修改/etc/docker/daemon.json文件,添加仓库地址,即可实现远程仓库访问,如:
{
"registry-mirrors": ["https://docker.mirrors.ustc.edu.cn","https://docker.hub.com"],
"insecure-registries": ["192.168.1.213:8086"],
}
参数说明:
registry-mirrors: 远程仓库
insecure-registries: 私有仓库,http访问
配置好后,需要重新载入配置使仓库生效:
systemctl daemon-reload
systemctl restart docker
完成后再次查看docker详情:
[root@rbtnode1 ~]# docker info
Client:
Debug Mode: false
……………………
##中间内容省略
……………………
Labels:
Experimental: false
Insecure Registries:
dockerhub.kubekey.local:5000
127.0.0.0/8
Registry Mirrors:
https://docker.mirrors.ustc.edu.cn
https://hub.docker.com/
Live Restore Enabled: false
在“Registry Mirrors”中显示了刚刚添加的远程仓库地址。后续我们就可以执行“docker pull”或“docker run”拉取远程镜像到本地运行了。
2.2 注意事项
2.2.1 代理配置
在某些大型公司中由于存在网络限制,不允许我们直接访问外部地址,严重影响我们的工作效率,阻碍了我们的求知欲。这时,可以通过配置docker代理,来完成外部地址的访问。
说明:
有网络限制时,一般情况下公司都会提供代理服务器地址和认证的用户名、密码。
1、创建代理配置文件
文本如下:
$ mkdir -p /etc/systemd/system/docker.service.d
$ cd /etc/systemd/system/docker.service.d
$ vi http-proxy.conf
2、http-proxy.conf中填写如下内容
文本如下:
Environment="HTTP_PROXY=http://用户名:密码@代理ip:端口号”
Environment="HTTPS_PROXY=https://用户名:密码@代理ip:端口号”
根据公司提供的代理服务器类型,选择性配置。
3、重载配置,重启容器
systemctl daemon-reload
systemctl restart docker再执行 docker pull 就可以拉取镜像了。
2.2.2 磁盘规划
注意:
Docker 使用 /var/lib/docker 作为默认路径来存储所有 Docker 相关文件(包括镜像)。建议添加附加存储卷挂载到 /var/lib/docker 路径上。
当然,我们也可以通过修改 /etc/docker/daemon.json 文件,通过添加“graph”参数来修改Docker文件的存储路径,如:
此后拉取到的所有镜像文件和docker文件都会存储在/home/docker目录下:
3 自建仓库
为了拉取镜像更加方便快捷,我们可以创建本地仓库,先把远程镜像拉取到本地仓库中。然后在运行目标应用的容器时从本地仓库中获取镜像。
当只有一个节点时,我们可能体会不到这种方式的优势。当有系统中有2个以上的节点时,只需要拉取一次远程镜像,其余节点只需要从本地仓库中获取镜像即可,节省了流量和时间。
自建镜像仓库有两种类型:Registry和Harbor。
- Registry是Docker自带的镜像仓库,部署运行非常简洁,非常适合在测试时使用。
- Harbor是VMware公司开源的企业级Docker Registry项目,其目标是帮助用户迅速搭建一个企业级的Docker Registry服务。Harbor在Docker公司开源的Registry 基础上,提供了图形管理UI、基于角色的访问控制(Role Based AccessControl)、AD/LDAP集成、以及审计日志(Auditlogging)等企业用户需求的功能。
Registry是镜像仓库的基础服务,所以本文仅以Registry为例进行说明。
3.1 准备工作
由于访问Registry默认使用的是HTTPS协议,所以需要证书。这里我们使用自签证书:
文本如下:
mkdir -p certs
#自签证书
openssl req \
-newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
-x509 -days 36500 -out certs/domain.crt
注意:
自签证书时,CN(Common Name)是镜像仓库的域名,如 dockerhub.kubekey.local。
一定要填写域名!
然后将这个域名填写到各主机的 /etc/hosts文件中。如:
3.2 创建仓库
执行如下命令拉取镜像,启动仓库:
参数解释:
-v "$(pwd)"/certs:/certs,指定certs路径,使用上一步骤中生成的证书;
-v
/home/dockerRegistry:/var/lib/registry,docker默认路径映射到主机的/home/dockerRegistry;-e REGISTRY_HTTP_ADDR=0.0.0.0:443, 仓库的监听地址;
-e
REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt ,使用的证书;-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key, 使用的证书key;
-p 443:443, 内部端口映射;
3.3 仓库验证
在certs上一级目录,执行如下指令测试仓库:
root@node-1:/home/dockerRegistry# curl --ssl --cacert `pwd`/certs/domain.crt https://dockerhub.kubekey.local/v2/_catalog
{"repositories":[]}
会以json格式返回仓库中的内容。(本例中,仓库为空)。
3.4 将远程镜像导入本地仓库
3.4.1 ssl访问
由于我们创建的仓库采用的https协议,所以在访问之前需要在客户端中配置docker的证书和key。复制“准备工作”步骤中的证书到指定目录,并使 Docker 信任该证书:
注意:
证书的路径与域名相关联。当你复制路径时,如果与上面设置的路径不同,请使用实际域名。
假设你的仓库开放的不是443端口,而是5000端口,那么在生成证书时,CN要写成:
dockerhub.kubekey.local:5000这时,客户端的证书路径也需要按照域名来建设,如:
此时的ca.crt要放在
dockerhub.kubekey.local:5000 这个目录下。
3.4.2 非ssl访问
如果嫌ssl访问麻烦,我们也可以简洁一点,采用“不安全”的方式访问仓库。只需要在docker的配置文件中加入insecure-registries的配置即可:
说明:这里本地仓库的监听端口是5000。如果是443端口,就可以写:
重载配置、重启容器后,就可以畅快操作本地仓库了。
3.4.3 导入镜像
将远程镜像导入本地仓库(这里以及后面的步骤都以
dockerhub.kubekey.local:5000 这个仓库为例)需要如下几个步骤:
1、拉取远程镜像到本地,这里以redis为例:
docker pull redis:5.0.14-alpine2、给镜像重新打tag:
docker tag redis:5.0.14-alpine dockerhub.kubekey.local:5000/library/redis:5.0.14-alpine
3、推送到本地仓库:
docker push dockerhub.kubekey.local:5000/library/redis:5.0.14-alpine
这时,就可以在镜像仓库主机上的/home/dockerRegistry路径下,看到对应的目录:
注意:
镜像仓库的目录(运行时指定)跟docker的目录(默认是/var/lib/docker)是相互独立的,镜像互不相干。
3.4.4 使用本地仓库镜像
上述步骤都完成后,就可以通过域名使用本地镜像了。在已经配置好环境(hosts文件、docker配置文件)的机器上执行:
docker run dockerhub.kubekey.local:5000/library/redis:5.0.14-alpine
注意:域名不可少。
4 删除镜像的常用命令
当镜像被打过tag后,就不能使用IMAGE_ID来删除镜像了,会报错:有关联的镜像存在。我们需要先将tag后的镜像删掉,才能删除原始镜像。
这里教大家一个批量删除的方法:
docker rmi $(docker images|grep dockerhub.kubekey.local|awk '{a=$1":"$2;print a}')
如,镜像仓库包含如下镜像:
想删除包含“dockerhub.kubekey.local” 标签的镜像,就可以执行上面的命令。
写在最后
本文介绍了docker镜像和仓库的概念、远程仓库和本地仓库的差异、Harbor和Registry的不同,以及本地仓库的简易搭建方法。帮助大家深入了解镜像仓库的使用以及注意事项。
猜你喜欢
- 2025-05-11 idea整合dockerfile插件,打包镜像(docker环境可不安装)
- 2025-05-11 超详细!基于k8s+docker+jenkins的一站式 DevOps 环境搭建教程-下
- 2025-05-11 Kubernetes(K8s)+ GitLab + Jenkins 实现CI/CD
- 2025-05-11 轻量容器如何改变开发世界?Docker 基本概念与架构详解
- 2025-05-11 微服务时代,运维必须了解的那些事(服务架构演变)
- 2025-05-11 目前还能用的Docker容器加速方案和可用镜像源
- 2025-05-11 替代虚拟机的容器Docker安装教程——(Windows版)
- 2025-05-11 k8s系列-06-containerd的基本操作
- 2025-05-11 K8s+Jenkins+Harbor+Gitlab+Pipeline+Rust 持续集成(三)
- 2025-05-11 揭秘!GitLab CI/CD 配置的秘诀(gitlab ci trigger)
欢迎 你 发表评论:
- 366℃用AI Agent治理微服务的复杂性问题|QCon
- 358℃初次使用IntelliJ IDEA新建Maven项目
- 353℃手把手教程「JavaWeb」优雅的SpringMvc+Mybatis整合之路
- 351℃Maven技术方案最全手册(mavena)
- 348℃安利Touch Bar 专属应用,让闲置的Touch Bar活跃起来!
- 346℃InfoQ 2024 年趋势报告:架构篇(infoq+2024+年趋势报告:架构篇分析)
- 344℃IntelliJ IDEA 2018版本和2022版本创建 Maven 项目对比
- 342℃从头搭建 IntelliJ IDEA 环境(intellij idea建包)
- 最近发表
- 标签列表
-
- powershellfor (55)
- messagesource (56)
- aspose.pdf破解版 (56)
- promise.race (63)
- 2019cad序列号和密钥激活码 (62)
- window.performance (66)
- qt删除文件夹 (72)
- mysqlcaching_sha2_password (64)
- ubuntu升级gcc (58)
- nacos启动失败 (64)
- ssh-add (70)
- jwt漏洞 (58)
- macos14下载 (58)
- yarnnode (62)
- abstractqueuedsynchronizer (64)
- source~/.bashrc没有那个文件或目录 (65)
- springboot整合activiti工作流 (70)
- jmeter插件下载 (61)
- 抓包分析 (60)
- idea创建mavenweb项目 (65)
- vue回到顶部 (57)
- qcombobox样式表 (68)
- vue数组concat (56)
- tomcatundertow (58)
- pastemac (61)
本文暂时没有评论,来添加一个吧(●'◡'●)