Docker 私有仓库方案比较与搭建

作者博客：vps精选网

我们知道docker镜像可以托管到dockerhub中，跟代码库托管到github是一个道理。但如果我们不想把docker镜像公开放到dockerhub中，只想在部门或团队内部共享docker镜像，能不能项gitlab一样在搭建私有的仓库呢？答案是肯定的，docker也支持将镜像存到私有仓库。下面将验证docker原生的仓库和开源的私用仓库，并分析其特点。

1docker原生仓库搭建

1.1配置要求和基本原理

配置要求

要求docker版本：1.6+

Docker registry 版本 2.0+

仓库原理

Docker模型的核心部分是有效的利用分层镜像机制，镜像可以通过分层来进行继承，基于基础镜像，可以制作各种具体的应用镜像。不同的Docker容器可以共享一些基础的文件系统层，同时再加上自己独有的改动层，大大提高了存储的效率。由于最终镜像最终是以tar.gz的方式静态存储在服务器端，这种存储适用于对象存储而不是块存储。

一次docker pull （即用户从客户端向仓库拉镜像），发生的交互。

1客户端向索引请求ubuntu镜像下载地址

2索引回复：ubuntu所在仓库A、 ubuntu镜像的校验码（Checksum）和所有层的Token

3客户端向仓库A请求 ubuntu的所有层（仓库A负责存储ubuntu，以及它所依赖的层）

4仓库A向索引发起请求，验证用户Token的合法性

5索引返回这次请求是否合法

6客户端从仓库下载所有的层，仓库从后端存储中获取实际的文件数据，返给客户端

具体配置步骤参考官方文档：https://docs.docker.com/registry/deploying/

1.2搭建步骤

1.2.1搭建基础仓库

是在docker容器中运行原生私有仓库。

下载仓库镜像：

docker pull registry:2

运行仓库：

docker run -d -p 5000:5000 --restart=always --name registry registry:2

上传下载镜像到本地仓库

docker push localhost:5000/ubuntu

1.2.2配置存储

用以下命令启动仓库

docker run -d -p 5000:5000 --restart=always --name registry \

  -v /opt/registry:/var/lib/registry registry:2

-v /opt/registry:/var/lib/registry 表示将本地目录/opt/registry映射到仓库容器中的/var/lib/registry目录，该目录中存储仓库中的镜像文件。

1.2.3通信加密

客户端与仓库通信加密分为三个等级：不采用通信加密，采用自签名证书加密，采用通过认证的证书加密

1不采用tls加密

不用tls加密，就不能使用基础的用户认证功能

2采用通过认证的证书加密

官方推荐采用通过认证的证书加密，但目前无法获取通过认证的证书

3采用自签名的证书加密

本次原型搭建是采用自签名证书加密

推荐使用知名机构签名了的CA证书

1.2.4访问授权

注：要开启用户访问认证，就必须先采用通信加密

访问认证有三种方式：分别是silly、token、htpasswd

简单介绍下用htpasswd怎么实现访问认证

首先，创建用户的账号密码，下面命令创建了用户testuser/testpassword

mkdir auth

docker run --entrypoint htpasswd registry:2 -Bbn testuser testpassword > auth/htpasswd

然后，以htpasswd访问限制的方式开启registry

在开启命令后添加

-v `pwd`/auth:/auth -e "REGISTRY_AUTH=htpasswd" \

登陆registry

docker login –u testuser –p testpassword myregistrydomain.com:5000

这种方式就是在auth/htpasswd白名单中添加哪些用户，哪些用户就可以登陆registry。这种方式的权限控制比较粗略。

1.2.5 其他高级功能

另外原生的仓库还支持以下高级功能

对接AD/ldap：通过接入AD/ldap管理用户及授权

日志审计：方便查错及跟踪行为

分布式存储：在仓库中镜像数量剧增时，需要考虑对接分布式存储

负载均衡：仓库中镜像访问量剧增时，需要考虑采用负载均衡

1.3存在的问题

1原生的私有仓库提供的功能不够丰富，很多功能需要二次开发。如用户权限控制方面，基本没有实现，需要重新开发

2缺少UI界面，不适用于生产环境

2docker私有仓库开源解决方案比较

如果docker原生的仓库不能满足需求，这里提供了几种开源的解决方案。网上对私有仓库解决方案的比较不是很多，收集了以下三个较常见的私有仓库解决方案

2.1protus

Portus(by SUSE)是用于 Docker Registry API（v2）的开源前端和授权工具，最低要求registry版本是 2.1。它可以作为授权服务器和用户界面。

优缺点

优点：
1.安全：Portus 实现了最新的Docker Registry中定义的新的授权方案。它允许对你所有的镜像进行细颗粒度控制，你可以决定哪个用户和团队可 push/pull 镜像。
2.轻松管理用户: 在 Portus 映射你的公司，可以定义任意数量的 Team，并从 Team 添加和移除用户。Team 有三种类型的用户：Viewers ，只能 pull 镜像；Contributors，可以 push/pull 镜像；Owners，类似 contributors，但可以从 team 添加或移除用户。
3.搜索: Portus 提供你的私人注册表的内容的预览，同时有一个快速搜索镜像的功能。
4.审计: 用户的所有相关事件都会被Portus自动记录，并可被管理员进行用户分析。

5支持对接到AD/LDAP

缺点：

1UI界面不支持中文

部署过程

项目github托管地址：https://github.com/SUSE/Portus

注：部署完成后，界面无法与registry容器通信。也一直没找到如何解决，建议采用下一个方案harbor

2.2harbor

Project Harbor是由VMware公司中国团队为企业用户设计的Registry server开源项目，包括了权限管理(RBAC)、LDAP、审计、管理界面、自我注册、HA等企业必需的功能，同时针对中国用户的特点，设计镜像复制和中文支持等功能

优缺点

优点：

1可以实现 images 的私有存储

2支持日志统计

3支持基于角色的访问控制(Role Based Access Control)

4支持创建多项目

5提供了管理UI界面,并原生支持中文。

6支持AD/LDAP集成

缺点：

暂未发现

2.3AppHouse

未进行深入了解，如果后续有需要，可继续调研

3harbor私有仓库搭建步骤流程

参考官方教程：

https://github.com/vmware/harbor/blob/master/docs/installation_guide.md

过程比较简单，没遇到问题，不再赘述

4harbor 功能及使用说明

界面如下图：

通过测试以下功能均可用，且体验良好。

以管理员（admin/Harbor12345）登入登出registry

创建项目

创建用户test

以test身份pull/push 镜像

搜索功能

日志审计功能