前言
自己在k8s上部署服务的过程中,需要用到一个私有的镜像仓库,记录一下搭建的过程。
准备
- 一台服务器
部署
- 部署docker。我的部署方式是基于docker进行部署,所以首先需要在服务器上部署docker,部署方式参考官方
- 拉取官方registry镜像:
docker pull registry - 创建配置文件:
vim config.yml
version: 0.1
log:
fields:
service: registry
storage:
cache:
blobdescriptor: inmemory
filesystem:
rootdirectory: /var/lib/registry
delete:
enabled: true
http:
addr: :5000
headers:
X-Content-Type-Options: [nosniff]
health:
storagedriver:
enabled: true
interval: 10s
threshold: 3
- 启动服务:
docker run -d --name registry -v data_path:/var/lib/registry -v config_path:/etc/docker/registry/config.yml -p 5000:5000 registry
使用nginx反向代理你的服务器
配置域名解析
由于我只是在家里使用,所以我在我的网关上配置一个dns解析,这样家里所有设备都能够正常解析了,如果需要外网访问的话,可以使用ddns配置解析,然后端口映射到nginx所在服务器
image.png
生成ssl证书(可选)
这里根据官方的教程,我们手动生成一个证书,然后客户端配置允许不安全即可。
$ mkdir -p certs
$ openssl req \
-newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
-addext "subjectAltName = DNS:myregistry.domain.com" \
-x509 -days 365 -out certs/domain.crt
添加nginx配置(使用https)
如果需要使用https的话,需要按照上面的步骤先生成证书,然后添加以下nginx配置
upstream registry-proxy {
server 192.168.3.5:5000;
}
server {
listen 443 ssl;
server_name your_domain; # 注意修改这里的域名,和下面的证书为上面生成的路径
ssl_certificate /etc/nginx/conf.d/certs/domain.crt;
ssl_certificate_key /etc/nginx/conf.d/certs/domain.key;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
client_max_body_size 0;
chunked_transfer_encoding on;
add_header 'Docker-Distribution-Api-Version' 'registry/2.0' always;
location / {
auth_basic off;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_read_timeout 900;
proxy_pass http://registry-proxy;
}
location /_ping {
auth_basic off;
proxy_pass http://registry-proxy;
}
location /v2/_ping {
auth_basic off;
proxy_pass http://registry-proxy;
}
location /v2/_catalog {
auth_basic off;
proxy_pass http://registry-proxy;
}
}
添加nginx配置(使用http)
如果仅在局域网环境下使用,可以选择使用http,添加如下nginx配置
upstream registry-proxy {
server 192.168.3.5:5000;
}
server {
listen 80;
server_name your_domain; # 注意修改这里的域名
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
client_max_body_size 0;
chunked_transfer_encoding on;
add_header 'Docker-Distribution-Api-Version' 'registry/2.0' always;
location / {
auth_basic off;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_read_timeout 900;
proxy_pass http://registry-proxy;
}
location /_ping {
auth_basic off;
proxy_pass http://registry-proxy;
}
location /v2/_ping {
auth_basic off;
proxy_pass http://registry-proxy;
}
location /v2/_catalog {
auth_basic off;
proxy_pass http://registry-proxy;
}
}
配置客户端
由于我们使用的是自签的证书(或者是http),需要在客户端配置信任,如果使用受信任的证书,比如使用lets encrypt的证书,那么可以跳过这一步。
$ mkdir -p /etc/docker
$ vim /etc/docker/daemon.json
{
"insecure-registries" : ["https://myregistrydomain.com"]
}
保存之后,重启下客户端的docker服务:systemctl restart docker
