# 搭建docker私有化镜像仓库
基于操作系统:CentOS 8.4
**搭建此私有镜像仓库是为了制作并推送商城后端服务。**
1. 更换国内镜像加速器。
~~~shell
"registry-mirrors": [
"https://docker.m.daocloud.io",
"https://dockerproxy.com",
"https://docker.mirrors.ustc.edu.cn",
"https://docker.nju.edu.cn"
]
~~~
2. 修改/etc/docker/daemon.json文件:
~~~powershell
vim /etc/docker/daemon.json
~~~
以下内容:
~~~powershell
{
"log-driver":"json-file",
"log-opts": {"max-size":"50m", "max-file":"3"},
"registry-mirrors": [
"https://docker.m.daocloud.io",
"https://dockerproxy.com",
"https://docker.mirrors.ustc.edu.cn",
"https://docker.nju.edu.cn"
]
}
~~~
3. Docker开启远程API:
用vim编辑器修改docker.service文件:
~~~powershell
vim /usr/lib/systemd/system/docker.service
~~~
~~~
需要修改的部分:
~~~
~~~powershell
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
~~~
~~~
修改后的部分:
~~~
~~~powershell
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock
~~~
#### **注意:**如果docker服务使用宝塔安装的,以上修改配置文件的路径不生效的,可以查看修改配置文件路径为:`/etc/systemd/system/docker.service.d/docker.conf`
修改后的部分:
~~~shell
ExecStart=/usr/bin/dockerd --default-ulimit nofile=65535:65535 -H fd:// -H tcp://0.0.0.0:2375 --tlsverify --tlscacert=/data/docker-ca/ca.pem --tlscert=/data/docker-ca/server-cert.pem --tlskey=/data/docker-ca/server-key.pem
~~~
![](https://docs.suteshop.com/uploads/shopsuite-java/images/m_9d8fd9a1cc88929d068073ff5e39b45b_r.png "null")
3. 重启docker:
~~~powershell
sudo systemctl daemon-reload
sudo systemctl restart docker
~~~
4. 下载registry:2.5镜像
~~~powershell
docker pull registry:2.5
~~~
5. 创建用于持久化保存仓库中的镜像目录及相关配置。
~~~powershell
mkdir -p /data/registry
mkdir -p /data/registry/auth
mkdir -p /data/registry/config
~~~
6. 生成账号密码:
~~~powershell
docker run --entrypoint htpasswd registry:2.5 -Bbn name password >> /data/registry/auth/htpasswd
~~~
7. 设置配置文件:
~~~powershell
vim /data/registry/config/config.yml
~~~
以下内容:
~~~powershell
version: 0.1
log:
fields:
service: registry
storage:
delete:
enabled: true
cache:
blobdescriptor: inmemory
filesystem:
rootdirectory: /var/lib/registry
http:
addr: :5000
headers:
X-Content-Type-Options: [nosniff]
health:
storagedriver:
enabled: true
interval: 10s
threshold: 3
~~~
8. 启动镜像:
~~~powershell
docker run -d -p 5000:5000 --restart=always --name=registry \
-v /data/registry/config/:/etc/docker/registry/ \
-v /data/registry/auth/:/auth/ \
-e "REGISTRY_AUTH=htpasswd" \
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
-v /data/registry/:/var/lib/registry/ \
registry:2.5
~~~
9. 开启 http 形式访问私有仓库模式:
~~~powershell
vim /etc/docker/daemon.json
~~~
加入以下内容:127.0.0.1换成你自己的IP。
~~~powershell
{"insecure-registries":["127.0.0.1:5000"]}
~~~
10. 重启docker:
~~~powershell
sudo systemctl daemon-reload
sudo systemctl restart docker
~~~
## 由于端口暴露在外网,考虑安全性增加ca证书验证。
11. 创建存放证书的目录:
~~~shell
mkdir /data/docker-ca && cd /data/docker-ca
~~~
12. 创建CA证书私钥,期间需要输入两次用户名和密码,生成文件为ca-key.pem;
~~~shell
openssl genrsa -aes256 -out ca-key.pem 4096
~~~
13. 根据私钥创建CA证书,期间需要输入上一步设置的私钥密码,生成文件为ca.pem;
~~~shell
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
~~~
14. 创建服务端私钥,生成文件为server-key.pem;
~~~shell
openssl genrsa -out server-key.pem 4096
~~~
15. 创建服务端证书签名请求文件,用于CA证书给服务端证书签名,生成文件server.csr;
~~~shell
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
~~~
16. 创建CA证书签名好的服务端证书,期间需要输入CA证书私钥密码,生成文件为server-cert.pem;
~~~shell
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
~~~
17. 创建客户端私钥,生成文件为key.pem;
~~~shell
openssl genrsa -out key.pem 4096
~~~
18. 创建客户端证书签名请求文件,用于CA证书给客户证书签名,生成文件client.csr;
~~~shell
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
~~~
19. 为了让秘钥适合客户端认证,创建一个扩展配置文件extfile-client.cnf;
~~~shell
echo extendedKeyUsage = clientAuth > extfile-client.cnf
~~~
20. 创建CA证书签名好的客户端证书,期间需要输入CA证书私钥密码,生成文件为cert.pem;
~~~shell
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
~~~
21. 删除创建过程中多余的文件;
~~~shell
rm -rf ca.srl server.csr client.csr extfile-client.cnf
~~~
22. 最终生成文件如下,有了它们我们就可以进行基于TLS的安全访问了。
~~~shell
ca.pem CA证书
ca-key.pem CA证书私钥
server-cert.pem 服务端证书
server-key.pem 服务端证书私钥
cert.pem 客户端证书
key.pem 客户端证书私钥
~~~
23. 配置Docker支持TLS,用vim编辑器修改docker.service文件;
~~~shell
vim /usr/lib/systemd/system/docker.service
~~~
24. 修改以ExecStart开头的配置,开启TLS认证,并配置好CA证书、服务端证书和服务端私钥,修改内容如下;
~~~shell
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 --tlsverify --tlscacert=/data/docker-ca/ca.pem --tlscert=/data/docker-ca/server-cert.pem --tlskey=/data/docker-ca/server-key.pem -H unix://var/run/docker.sock --data-root /data/docker
~~~
#### **注意:**如果docker服务使用宝塔安装的,以上修改配置文件的路径不生效的,可以查看修改配置文件路径为:`/etc/systemd/system/docker.service.d/docker.conf`
修改后的部分:
~~~shell
ExecStart=/usr/bin/dockerd --default-ulimit nofile=65535:65535 -H fd:// -H tcp://0.0.0.0:2375 --tlsverify --tlscacert=/data/docker-ca/ca.pem --tlscert=/data/docker-ca/server-cert.pem --tlskey=/data/docker-ca/server-key.pem
~~~
![](https://docs.suteshop.com/uploads/shopsuite-java/images/m_9d8fd9a1cc88929d068073ff5e39b45b_r.png "null")
25. 重启Docker服务,这样我们的Docker服务就支持使用TLS进行远程访问了!
~~~shell
systemctl daemon-reload
systemctl restart docker
~~~
26. 下载证书:
~~~shell
ca.pem CA证书
cert.pem 客户端证书
key.pem 客户端证书私钥
~~~
**代码中已集成**
使用docker-maven-plugin来打包Docker镜像:
注意:一定要加https。开启TLS不再支持http了,需要改用https,修改配置为https。否则报:`HTTP 400 Bad Request`
~~~shell
<dockerHost>https://192.168.3.101:2375</dockerHost>
<dockerCertPath>D:\docker-ca</dockerCertPath> #本机存放证书密码的目录
~~~